Como usar logos enriquecidos do Microsoft 365 com Acesso Seguro Global (versão prévia)

Com o tráfego do Microsoft 365 fluindo pelo serviço de Internet Privada do Microsoft Entra, talvez você queira obter insights sobre o desempenho, a experiência e a disponibilidade dos aplicativos do Microsoft 365 que sua organização usa. Os logs enriquecidos do Microsoft 365 fornecem as informações necessárias para obter esses insights. Você pode integrar os logs a uma ferramenta SIEM (gerenciamento de eventos e informações de segurança) de terceiros para análise posterior.

Este artigo descreve as informações nos logs e como exportá-las.

Pré-requisitos

Para usar os logs enriquecidos, você precisa das seguintes funções, configurações e assinaturas:

Funções e permissões

• Uma função de Administrador Global é necessária para habilitar os logs enriquecidos do Microsoft 365.
• A versão prévia requer uma licença P1 do Microsoft Entra ID. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
• Para usar o perfil de encaminhamento de tráfego do Microsoft 365, recomenda-se uma licença do Microsoft 365 E3.

Configurações

• Perfil do Microsoft 365 – Certifique-se de que o perfil do Microsoft 365 está habilitado. O Acesso à Internet do Microsoft Entra é necessário para capturar tráfego direcionado aos serviços do Microsoft 365, o que é essencial para o enriquecimento de logs.
• Política de tráfego do Office Online e do Microsoft 365 Common – Necessária para o enriquecimento de logs. Certifique-se de que ela está habilitada.
• Locatário que envia dados – Confirma que o tráfego, conforme configurado em perfis de encaminhamento, é enviado por túnel com precisão para o serviço de Acesso Seguro Global.
• Definição das Configurações de Diagnóstico – Define as configurações de diagnóstico do Microsoft Entra para canalizar os logs para um ponto de extremidade designado, como um workspace do Log Analytics. Os requisitos para cada ponto de extremidade variam e são descritos na seção Definir configurações de diagnóstico deste artigo.

Assinaturas

• Licença do Microsoft Entra ID P1 – Necessária para o acesso à versão prévia. Comprar ou obter licenças de avaliação é uma opção, se necessário.
• Licença do Microsoft 365 E3 – Recomendada para empregar o perfil de encaminhamento de tráfego do Microsoft 365.

Você deve configurar o ponto de extremidade para onde deseja rotear os logs antes de definir as configurações de diagnóstico. Os requisitos para cada ponto de extremidade variam e são descritos na seção Definir configurações de diagnóstico.

O que os logs fornecem

Os logs enriquecidos do Microsoft 365 fornecem informações sobre cargas de trabalho do Microsoft 365 para que você possa examinar dados de diagnóstico de rede, dados de desempenho e eventos de segurança relevantes para aplicativos do Microsoft 365. Por exemplo, se o acesso ao Microsoft 365 for bloqueado para um usuário em sua organização, você precisará de visibilidade de como o dispositivo do usuário está se conectando à sua rede.

Esses logs fornecem:

• Latência melhorada
• Informações adicionadas aos logs originais
• Endereço IP preciso

Esses logs são um subconjunto dos logs disponíveis nos logs de auditoria do Microsoft 365. Os logs são enriquecidos com mais informações, incluindo a ID do dispositivo, o sistema operacional e o endereço IP original. Os logs enriquecidos do SharePoint fornecem informações sobre arquivos que foram baixados, carregados, excluídos, modificados ou reciclados. Os itens de lista excluídos ou reciclados também são incluídos nos logs enriquecidos.

Como exibir os logs

Exibir os logs enriquecidos do Microsoft 365 é um processo de duas etapas. Primeiro, você precisa habilitar o enriquecimento de logs por meio do Acesso Seguro Global. Em segundo lugar, você precisar definir as configurações de diagnóstico do Microsoft Entra para rotear os logs para um ponto de extremidade, com um workspace do Log Analytics.

Observação

No momento, somente os logs do SharePoint Online estão disponíveis para enriquecimento de log.

Habilitar o enriquecimento de log

Para habilitar os logs enriquecidos do Microsoft 365:

1. Entre no centro de administração do Microsoft Entra como Administrador global.

2. Navegue até Acesso Seguro Global (versão prévia)>Configurações globais>Registro em log.

3. Selecione o tipo de logs do Microsoft 365 que você deseja habilitar.

4. Selecione Salvar.

   

Os logs enriquecidos levam até 72 horas para serem totalmente integrados ao serviço.

Definir as configurações de diagnóstico

Para exibir os logs enriquecidos do Microsoft 365, você deve exportar ou transmitir os logs para um ponto de extremidade, como um workspace do Log Analytics ou uma ferramenta SIEM. O ponto de extremidade deve ser configurado antes que você possa definir as configurações de diagnóstico.

Configurar um ponto de extremidade

• Para integrar logs ao Log Analytics, você precisa de um workspace do Log Analytics.

  • Criar um espaço de trabalho do Log Analytics.
  • Integrar logs no Log Analytics

• Para transmitir logs para uma ferramenta SIEM, você precisa criar um hub de eventos do Azure e um namespace do hub de eventos.

  • Configurar um namespace dos Hubs de Eventos e um hub de eventos.
  • Transmitir logs para um hub de eventos

• Para arquivar logs em uma conta de armazenamento, você precisa de uma conta de armazenamento do Azure para a qual você tenha permissões ListKeys.

  • Criar uma conta de Armazenamento do Azure.
  • Arquivar logs em uma conta de armazenamento

Enviar logs para um ponto de extremidade

Com o ponto de extremidade criado, você pode definir as configurações de diagnóstico.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.

3. Selecione Adicionar configuração de diagnóstico.

4. Dê um nome à sua configuração de diagnóstico.

5. Selecione EnrichedOffice365AuditLogs.

6. Selecione os Detalhes de destino para onde deseja enviar os logs. Escolha qualquer um ou todos os destinos a seguir. Mais campos são exibidos, dependendo da seleção.

   • Enviar para o workspace do Log Analytics: selecione os detalhes apropriados nos menus exibidos.
   • Arquivar em uma conta de armazenamento: forneça o número de dias que você deseja manter os dados nas caixas Dias de retenção que aparecem ao lado das categorias de log. Selecione os detalhes apropriados nos menus exibidos.
   • Transmitir para um hub de eventos: selecione os detalhes apropriados nos menus exibidos.
   • Enviar para a solução do parceiro: selecione os detalhes apropriados nos menus exibidos.

O exemplo a seguir é enviar os logs enriquecidos para um workspace do Log Analytics, o que requer a seleção da assinatura e do workspace do Log Analytics nos menus que aparecem.

Termos de Uso

Seu uso do Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra experiências e recursos de preview é regido pelos termos e condições de serviço online de preview dos contratos sob os quais você obteve os serviços. As prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado nos Termos de Licença Universais para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (“DPA”) e quaisquer outros avisos fornecidos com a preview.

Próximas etapas

• Explorar os logs de Acesso Seguro Global e as opções de monitoramento
• Saiba mais sobre os logs de auditoria do Acesso Seguro Global
• Logs de auditoria enriquecidos do Microsoft 365