Использование журналов трафика глобального безопасного доступа (предварительная версия)

Мониторинг трафика для глобального безопасного доступа является важным действием для обеспечения правильной настройки вашего клиента и того, что ваши пользователи получают лучший интерфейс. Журналы трафика глобального безопасного доступа (предварительная версия) предоставляют сведения о том, кто обращается к ресурсам, откуда они обращаются, и какие действия произошли.

В этой статье описывается, как использовать журналы трафика для глобального безопасного доступа.

Предварительные условия

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
• Роль читателя журнала глобального безопасного доступа в Microsoft Entra ID.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Как работают журналы трафика

Журналы глобального безопасного доступа предоставляют сведения о сетевом трафике. Чтобы лучше понять эти сведения и как можно проанализировать эти сведения для мониторинга среды, полезно ознакомиться с тремя уровнями журналов и их отношениями друг с другом.

Пользователь, обращаюющийся к веб-сайту, представляет один сеанс, и в этом сеансе может быть несколько подключений, и в этом соединении может быть несколько транзакций.

• Сеанс: сеанс определяется первым URL-адресом, к которым обращается пользователь. Затем этот сеанс может открыть множество подключений, например новостной сайт, содержащий несколько объявлений с нескольких разных сайтов.
• Подключение: подключение включает исходный и целевой IP-адрес, порт источника и назначения и полное доменное имя (FQDN). Компоненты подключения состоят из 5 кортежей.
• Транзакция: транзакция — это уникальная пара запросов и ответов.

В каждом экземпляре журнала можно просмотреть идентификатор подключения и идентификатор транзакции в подробных сведениях. С помощью фильтров можно просмотреть все подключения и транзакции для одного сеанса.

Просмотр журналов трафика

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли читателя отчетов.
2. Глобальный безопасный доступ>Монитор>Журналы трафика.

В верхней части страницы отображается сводка всех транзакций, а также разбивка по каждому типу трафика. Выберите кнопки доступа Microsoft 365 или Private, чтобы отфильтровать журналы по каждому типу трафика.

Примечание.

В настоящее время сведения об идентификаторе сеанса недоступны в сведениях журнала.

Просмотр сведений о журнале

Выберите любой журнал из списка, чтобы просмотреть сведения. Эти сведения предоставляют ценные сведения, которые можно использовать для фильтрации журналов для конкретных сведений или устранения неполадок в сценарии. Сведения можно добавить в качестве столбца и использовать для фильтрации журналов.

Параметры фильтра и столбца

Журналы трафика могут содержать множество сведений, поэтому для запуска отображаются только некоторые столбцы. Включите и отключите столбцы на основе выполняемых задач анализа или устранения неполадок, так как журналы могут быть трудными для просмотра с слишком большим количеством выбранных столбцов. Параметры столбца и фильтра соответствуют каждому элементу в сведениях о действии.

Выберите столбцы в верхней части страницы, чтобы изменить отображаемые столбцы.

Чтобы отфильтровать журналы трафика до определенной детали, нажмите кнопку "Добавить фильтр ", а затем введите сведения, которые нужно отфильтровать.

Например, если вы хотите просмотреть все журналы из определенного подключения:

1. Выберите сведения о журнале и скопируйте connectionId данные из подробностей действия.

2. Выберите " Добавить фильтр " и выберите "Идентификатор подключения".

3. В появившемся поле вставьте connectionId и нажмите кнопку "Применить".

   

Журналы подключений

Журналы подключений предоставляют сводку по всем связанным транзакциям, включая общее число транзакций и заблокированные транзакции, что позволяет быстро идентифицировать любые заблокированные действия.

Связь представляет собой несколько транзакций, произошедших за последние 24 часа, и имеющих одинаковый идентификатор корреляции потока. Хотя журналы транзакций предоставляют подробные сведения об отдельных транзакциях, журналы подключений предлагают более высокий уровень обзора путем агрегирования нескольких транзакций. Подключения регистрируются в режиме реального времени с состоянием "Активный или закрытый", предоставляя администраторам видимость трафика практически в режиме реального времени.

В настоящее время мы предоставляем возможность предварительного просмотра новой вкладки в разделе "Журналы трафика" для просмотра подключений.

Транзакции, связанные с каждым подключением, просматриваются путем выбора вкладки "Транзакции ".

Сценарии устранения неисправностей

Следующие сведения могут быть полезны для устранения неполадок и анализа.

• Если вы заинтересованы в размере отправленного и полученного трафика, включите столбцы "Отправленные байты " и " Полученные байты ". Выберите заголовок столбца, чтобы отсортировать лог-файлы по их размеру.
• Если вы просматриваете сетевое действие для рискованного пользователя, вы можете отфильтровать результаты по имени участника-пользователя, а затем просмотреть сайты, к которым они обращаются.
• Чтобы найти трафик на типы веб-сайтов, доступ к которым требуется заблокировать или разрешить, включите столбец категории веб-сайта .

Сведения о журнале содержат ценные сведения о сетевом трафике. Не все сведения определены в списке ниже, но следующие сведения полезны для устранения неполадок и анализа:

• Идентификатор транзакции: уникальный идентификатор, представляющий пару запросов и ответа.
• Идентификатор подключения: уникальный идентификатор, представляющий соединение, инициируемое журналом.
• Категория устройства: тип устройства, из которого инициируется транзакция. Клиент или удаленная сеть.
• Действие: действие, выполняемое в сетевом сеансе. Разрешено или запрещено.

Настройка параметров диагностики для экспорта журналов

Журналы трафика глобального безопасного доступа (предварительная версия) можно экспортировать в конечную точку для дальнейшего анализа и оповещения. Эта интеграция настроена в параметрах диагностики Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к Entra ID>Мониторинг и работоспособность>Диагностические параметры.

3. Выберите "Добавить параметр диагностики".

4. Присвойте параметру диагностики имя.

5. Выберите NetworkAccessTrafficLogs.

6. Выберите сведения о назначении для отправки журналов. Выберите любое или все из следующих направлений. Отображаются дополнительные поля в зависимости от выбранного значения.

   • Отправка в рабочую область Log Analytics: Выберите соответствующие сведения из отображаемых меню.
   • Архивируйте в учетную запись хранения: Укажите количество дней хранения данных в полях "Дни хранения ", которые отображаются рядом с категориями журналов. Выберите соответствующие сведения из отображаемых меню.
   • Потоковая передача в концентратор событий: Выберите соответствующие сведения из отображаемых меню.
   • Отправка в партнерское решение: Выберите соответствующие сведения из отображаемых меню.

Следующие шаги

• Сведения о панели мониторинга трафика
• Просмотр журналов аудита для глобальной системы безопасного доступа
• Просмотр обогащенных журналов Microsoft 365