Så här använder du Microsoft 365-loggar med global säker åtkomst
När din Microsoft-trafik flödar via den privata Internettjänsten Microsoft Entra vill du få insikter om prestanda, upplevelse och tillgänglighet för De Microsoft 365-appar som din organisation använder. De berikade Microsoft 365-loggarna ger dig den information du behöver för att få dessa insikter. Du kan integrera loggarna med ett siem-verktyg (säkerhetsinformation och händelsehantering) från tredje part för ytterligare analys.
Den här artikeln beskriver informationen i loggarna och hur du exporterar dem.
Förutsättningar
Om du vill använda de berikade loggarna behöver du följande roller, konfigurationer och prenumerationer:
Roller och behörigheter
- En global administratörsroll krävs för att aktivera de berikade Microsoft 365-loggarna.
- Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
- Om du vill använda Microsofts trafikvidarebefordringsprofil rekommenderas en Microsoft 365 E3-licens.
-konfigurationer
- Microsoft-profil – Kontrollera att Microsoft-profilen är aktiverad. Microsofts trafikvidarebefordringsprofil krävs för att samla in trafik som dirigeras till Microsoft 365-tjänster, vilket är grundläggande för loggberikning.
- Microsoft 365 Common och Office Online Traffic Policy – krävs för loggberikning. Kontrollera att den är aktiverad.
- Klientorganisation skickar data – Bekräftar att trafiken, som konfigurerats i vidarebefordran av profiler, är korrekt tunnelad till tjänsten global säker åtkomst.
- Konfiguration av diagnostikinställningar – Konfigurera Microsoft Entra-diagnostikinställningar för att kanalisera loggarna till en angiven slutpunkt, till exempel en Log Analytics-arbetsyta. Kraven för varje slutpunkt skiljer sig åt och beskrivs i avsnittet Konfigurera diagnostikinställningar i den här artikeln.
Prenumerationer
- Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
- Microsoft 365 E3-licens – Rekommenderas för att använda Microsofts trafikvidarebefordringsprofil.
Du måste konfigurera slutpunkten för var du vill dirigera loggarna innan du konfigurerar diagnostikinställningar. Kraven för varje slutpunkt varierar och beskrivs i avsnittet Konfigurera diagnostikinställningar .
Vad loggarna tillhandahåller
De berikade Microsoft 365-loggarna innehåller information om Microsoft 365-arbetsbelastningar, så att du kan granska nätverksdiagnostikdata, prestandadata och säkerhetshändelser som är relevanta för Microsoft 365-appar. Om åtkomsten till Microsoft 365 till exempel blockeras för en användare i din organisation behöver du insyn i hur användarens enhet ansluter till nätverket.
De här loggarna innehåller:
- Förbättrad svarstid
- Ytterligare information har lagts till i ursprungliga loggar
- Korrekt IP-adress
Dessa loggar är en delmängd av loggarna som är tillgängliga i Microsoft 365-granskningsloggarna. Loggarna utökas med mer information, inklusive enhets-ID, operativsystem och ursprunglig IP-adress. Berikade SharePoint-loggar innehåller information om filer som har laddats ned, laddats upp, tagits bort, ändrats eller återvunnits. Borttagna eller återvunna listobjekt ingår också i de berikade loggarna.
Så här visar du loggarna
Att visa de berikade Microsoft 365-loggarna är en tvåstegsprocess. Först måste du aktivera logganrikningen från Global Säker åtkomst. För det andra måste du konfigurera Microsoft Entra-diagnostikinställningar för att dirigera loggarna till en slutpunkt, till exempel en Log Analytics-arbetsyta.
Kommentar
För närvarande är endast SharePoint Online-loggar tillgängliga för loggberikning.
Aktivera loggberikning
Så här aktiverar du Enriched Microsoft 365-loggarna:
- Logga in på administrationscentret för Microsoft Entra som global administratör.
- Bläddra till Loggning av globala inställningar>för säker åtkomst>.
- Välj den typ av Microsoft 365-loggar som du vill aktivera.
- Välj Spara.
Det tar upp till 72 timmar för berikade loggar att integreras fullständigt med tjänsten.
Konfigurera diagnostikinställningar
Om du vill visa de berikade Microsoft 365-loggarna måste du exportera eller strömma loggarna till en slutpunkt, till exempel en Log Analytics-arbetsyta eller ett SIEM-verktyg. Slutpunkten måste konfigureras innan du kan konfigurera diagnostikinställningar.
Konfigurera en slutpunkt
För att integrera loggar med Log Analytics behöver du en Log Analytics-arbetsyta.
Om du vill strömma loggar till ett SIEM-verktyg måste du skapa en Azure-händelsehubb och ett namnområde för händelsehubben.
Om du vill arkivera loggar till ett lagringskonto behöver du ett Azure-lagringskonto som du har
ListKeysbehörighet för.
Skicka loggar till en slutpunkt
När slutpunkten har skapats kan du konfigurera diagnostikinställningar.
Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>
Välj Lägg till diagnostikinställning.
Ge diagnostikinställningen ett namn.
Välj
EnrichedOffice365AuditLogs.Välj målinformationen för var du vill skicka loggarna. Välj någon eller alla av följande mål. Fler fält visas, beroende på ditt val.
- Skicka till Log Analytics-arbetsytan: Välj lämplig information från menyerna som visas.
- Arkivera till ett lagringskonto: Ange hur många dagar du vill behålla data i rutorna Kvarhållningsdagar som visas bredvid loggkategorierna. Välj lämplig information från menyerna som visas.
- Strömma till en händelsehubb: Välj lämplig information från menyerna som visas.
- Skicka till partnerlösning: Välj lämplig information från menyerna som visas.
I följande exempel skickas de berikade loggarna till en Log Analytics-arbetsyta, vilket kräver att du väljer arbetsytan Prenumeration och Log Analytics från menyerna som visas.
