Como usar os logs enriquecidos do Microsoft 365 com acesso seguro global (visualização)

Com o tráfego do Microsoft 365 fluindo através do serviço de Internet Privada Microsoft Entra, você deseja obter informações sobre o desempenho, a experiência e a disponibilidade dos aplicativos do Microsoft 365 que sua organização usa. Os logs enriquecidos do Microsoft 365 fornecem as informações necessárias para obter esses insights. Você pode integrar os logs com uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para análise posterior.

Este artigo descreve as informações nos logs e como exportá-los.

Pré-requisitos

Para usar os logs enriquecidos, você precisa das seguintes funções, configurações e assinaturas:

Funções e Permissões

• Uma função de Administrador Global é necessária para habilitar os logs enriquecidos do Microsoft 365.
• A pré-visualização requer uma licença Microsoft Entra ID P1. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
• Para usar o perfil de encaminhamento de tráfego do Microsoft 365, uma licença do Microsoft 365 E3 é recomendada.

Configurações

• Perfil do Microsoft 365 - Verifique se o perfil do Microsoft 365 está habilitado. O Microsoft Entra Internet Access é necessário para capturar o tráfego direcionado aos serviços do Microsoft 365, que é fundamental para o enriquecimento de logs.
• Política de Tráfego Comum do Microsoft 365 e do Office Online - Necessária para o enriquecimento de log. Certifique-se de que está ativado.
• Envio de dados do locatário - Confirma que o tráfego, conforme configurado nos perfis de encaminhamento, é encapsulado com precisão para o serviço Global Secure Access.
• Configuração de configurações de diagnóstico - Configure as configurações de diagnóstico do Microsoft Entra para canalizar os logs para um ponto de extremidade designado, como um espaço de trabalho do Log Analytics. Os requisitos para cada ponto de extremidade diferem e são descritos na seção Configurar configurações de diagnóstico deste artigo.

Subscrições

• Licença Microsoft Entra ID P1 - Necessária para acesso de visualização. Comprar ou obter licenças de avaliação é uma opção, se necessário.
• Licença Microsoft 365 E3 - Recomendada para empregar o perfil de encaminhamento de tráfego do Microsoft 365.

Você deve configurar o ponto de extremidade para onde deseja rotear os logs antes de definir as configurações de diagnóstico. Os requisitos para cada ponto de extremidade variam e são descritos na seção Configurar configurações de diagnóstico.

O que os logs fornecem

Os logs enriquecidos do Microsoft 365 fornecem informações sobre cargas de trabalho do Microsoft 365, para que você possa revisar dados de diagnóstico de rede, dados de desempenho e eventos de segurança relevantes para aplicativos do Microsoft 365. Por exemplo, se o acesso ao Microsoft 365 estiver bloqueado para um usuário em sua organização, você precisará de visibilidade sobre como o dispositivo do usuário está se conectando à sua rede.

Esses logs fornecem:

• Latência melhorada
• Informações adicionais adicionadas aos logs originais
• Endereço IP preciso

Esses logs são um subconjunto dos logs disponíveis nos logs de auditoria do Microsoft 365. Os logs são enriquecidos com mais informações, incluindo o ID do dispositivo, o sistema operacional e o endereço IP original. Os logs enriquecidos do SharePoint fornecem informações sobre arquivos que foram baixados, carregados, excluídos, modificados ou reciclados. Itens de lista excluídos ou reciclados também são incluídos nos logs enriquecidos.

Como visualizar os logs

A visualização dos logs enriquecidos do Microsoft 365 é um processo de duas etapas. Primeiro, você precisa habilitar o enriquecimento de log do Global Secure Access. Em segundo lugar, você precisa definir as configurações de diagnóstico do Microsoft Entra para rotear os logs para um ponto de extremidade, como um espaço de trabalho do Log Analytics.

Nota

No momento, apenas os logs do SharePoint Online estão disponíveis para enriquecimento de log.

Habilitar o enriquecimento de log

Para habilitar os logs enriquecidos do Microsoft 365:

1. Entre no centro de administração do Microsoft Entra como Administrador Global.

2. Navegue até Acesso Seguro Global (visualização)>Registro de configurações>globais.

3. Selecione o tipo de logs do Microsoft 365 que você deseja habilitar.

4. Selecione Guardar.

   

Os logs enriquecidos levam até 72 horas para se integrarem totalmente ao serviço.

Definir definições de Diagnóstico

Para exibir os logs enriquecidos do Microsoft 365, você deve exportar ou transmitir os logs para um ponto de extremidade, como um espaço de trabalho do Log Analytics ou uma ferramenta SIEM. O ponto de extremidade deve ser configurado antes que você possa definir as configurações de diagnóstico.

Configurar um ponto de extremidade

• Para integrar logs com o Log Analytics, você precisa de um espaço de trabalho do Log Analytics.

  • Crie um espaço de trabalho do Log Analytics.
  • Integre logs com o Log Analytics

• Para transmitir logs para uma ferramenta SIEM, você precisa criar um hub de eventos do Azure e um namespace de hub de eventos.

  • Configure um namespace de Hubs de Eventos e um hub de eventos.
  • Transmitir logs para um hub de eventos

• Para arquivar logs em uma conta de armazenamento, você precisa de uma conta de armazenamento do Azure para a qual tenha ListKeys permissões.

  • Crie uma conta de armazenamento do Azure.
  • Arquivar registos numa conta de armazenamento

Enviar logs para um ponto de extremidade

Com o ponto de extremidade criado, você pode definir as configurações de diagnóstico.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.

3. Selecione Adicionar configuração de diagnóstico.

4. Dê um nome à sua configuração de diagnóstico.

5. Selecione EnrichedOffice365AuditLogs.

6. Selecione os detalhes de destino para onde você gostaria de enviar os logs. Escolha um ou todos os seguintes destinos. Mais campos aparecem, dependendo da sua seleção.

   • Enviar para o espaço de trabalho do Log Analytics: selecione os detalhes apropriados nos menus exibidos.
   • Arquivar em uma conta de armazenamento: forneça o número de dias que você gostaria de reter os dados nas caixas Dias de retenção que aparecem ao lado das categorias de log. Selecione os detalhes apropriados nos menus que aparecem.
   • Transmitir para um hub de eventos: selecione os detalhes apropriados nos menus exibidos.
   • Enviar para solução de parceiro: selecione os detalhes apropriados nos menus exibidos.

O exemplo a seguir é o envio dos logs enriquecidos para um espaço de trabalho do Log Analytics, que requer a seleção do espaço de trabalho Assinatura e do Log Analytics nos menus exibidos.

Termos de Utilização

A sua utilização das experiências e funcionalidades de pré-visualização do Microsoft Entra Private Access e do Microsoft Entra Internet Access é regida pelos termos e condições do serviço online de pré-visualização do(s) contrato(s) ao abrigo do(s) qual(is) obteve os serviços. As Visualizações Prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado mais detalhadamente nos Termos de Licença Universal para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft ("DPA") e em quaisquer outros avisos fornecidos com a Visualização.

Próximos passos

• Explore os logs de Acesso Seguro Global e as opções de monitoramento
• Saiba mais sobre os logs de auditoria do Global Secure Access
• Logs de auditoria enriquecidos do Microsoft 365