Så här använder du trafikloggarna global säker åtkomst (förhandsversion)

Att övervaka trafiken för global säker åtkomst (förhandsversion) är en viktig aktivitet för att säkerställa att klientorganisationen är korrekt konfigurerad och att användarna får bästa möjliga upplevelse. De globala trafikloggarna för säker åtkomst ger insikt i vem som har åtkomst till vilka resurser, var de kommer åt dem från och vilka åtgärder som vidtogs.

Den här artikeln beskriver hur du använder trafikloggarna för global säker åtkomst.

Förutsättningar

• En global administratörsroll för säker åtkomst i Microsoft Entra-ID.
• Förhandsgranskningen kräver en Microsoft Entra ID P1-licens. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Så här fungerar trafikloggarna

De globala loggarna för säker åtkomst innehåller information om din nätverkstrafik. För att bättre förstå informationen och hur du kan analysera informationen för att övervaka din miljö är det bra att titta på de tre nivåerna i loggarna och deras relation till varandra.

En användare som kommer åt en webbplats representerar en session och inom den sessionen kan det finnas flera anslutningar, och inom den anslutningen kan det finnas flera transaktioner.

• Session: En session identifieras av den första URL:en som en användare kommer åt. Den sessionen kan sedan öppna många anslutningar, till exempel en nyhetswebbplats som innehåller flera annonser från flera olika webbplatser.
• Anslut ion: En anslutning innehåller käll- och mål-IP,käll- och målporten och fullständigt kvalificerat domännamn (FQDN). Anslutningskomponenterna består av 5 tuppeln.
• Transaktion: En transaktion är ett unikt begärande- och svarspar.

I varje logginstans kan du se anslutnings-ID och transaktions-ID i informationen. Genom att använda filtren kan du titta på alla anslutningar och transaktioner för en enda session.

Så här visar du trafikloggarna

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
2. Global säker åtkomst (förhandsversion)>Övervaka>trafikloggar.

Överst på sidan visas en sammanfattning av alla transaktioner samt en uppdelning för varje typ av trafik. Välj knapparna Microsoft 365 eller Privat åtkomst för att filtrera loggarna efter varje trafiktyp.

Kommentar

För närvarande är sessions-ID-information inte tillgänglig i logginformationen.

Visa logginformationen

Välj valfri logg i listan för att visa informationen. Den här informationen ger värdefull information som kan användas för att filtrera loggarna för specifik information eller för att felsöka ett scenario. Informationen kan läggas till som en kolumn och användas för att filtrera loggarna.

Filter- och kolumnalternativ

Trafikloggarna kan ge många detaljer, så för att starta visas bara vissa kolumner. Aktivera och inaktivera kolumnerna baserat på de analys- eller felsökningsuppgifter du utför, eftersom loggarna kan vara svåra att visa med för många kolumner markerade. Kolumn- och filteralternativen överensstämmer med varje objekt i aktivitetsinformationen.

Välj Kolumner överst på sidan för att ändra de kolumner som visas.

Om du vill filtrera trafikloggarna efter en specifik detalj väljer du knappen Lägg till filter och anger sedan den information som du vill filtrera efter.

Om du till exempel vill titta på alla loggar från en specifik anslutning:

1. Välj logginformationen och kopiera connectionId från aktivitetsinformationen.

2. Välj Lägg till filter och välj Anslut ions-ID.

3. I fältet som visas klistrar du in connectionId och väljer Använd.

   

Felsökningsscenarier

Följande information kan vara till hjälp vid felsökning och analys:

• Om du är intresserad av storleken på trafiken som skickas och tas emot aktiverar du kolumnerna Skickade byte och Mottagna byte. Välj kolumnrubriken för att sortera loggarna efter storleken på loggarna.
• Om du granskar nätverksaktiviteten för en riskfylld användare kan du filtrera resultatet efter användarens huvudnamn och sedan granska de webbplatser som de kommer åt.
• Om du vill söka efter trafik till de typer av webbplatser som du vill blockera eller tillåta aktiverar du kolumnen Webbkategori .

Logginformationen ger värdefull information om din nätverkstrafik. Alla detaljer definieras inte i listan nedan, men följande information är användbar för felsökning och analys:

• Transaktions-ID: Unik identifierare som representerar paret för begäran/svar.
• Anslut ion-ID: Unik identifierare som representerar anslutningen som initierade loggen.
• Enhetskategori: Enhetstyp som transaktionen initierades från. Antingen klient - eller fjärrnätverk.
• Åtgärd: Den åtgärd som vidtas i nätverkssessionen. Tillåts eller nekas.

Konfigurera diagnostikinställningar för att exportera loggar

Du kan exportera trafikloggarna global säker åtkomst till en slutpunkt för ytterligare analys och aviseringar. Den här integreringen konfigureras i Diagnostikinställningar för Microsoft Entra.

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>

3. Välj Lägg till diagnostikinställning.

4. Ge diagnostikinställningen ett namn.

5. Välj NetworkAccessTrafficLogs.

6. Välj målinformationen för var du vill skicka loggarna. Välj någon eller alla av följande mål. Ytterligare fält visas, beroende på ditt val.

   • Skicka till Log Analytics-arbetsytan: Välj lämplig information från menyerna som visas.
   • Arkivera till ett lagringskonto: Ange hur många dagar du vill behålla data i rutorna Kvarhållningsdagar som visas bredvid loggkategorierna. Välj lämplig information från menyerna som visas.
   • Strömma till en händelsehubb: Välj lämplig information från menyerna som visas.
   • Skicka till partnerlösning: Välj lämplig information från menyerna som visas.

Användningsvillkor

Din användning av Microsoft Entra privatåtkomst och Microsoft Entra internetåtkomst förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstens villkor för de avtal där du fick tjänsterna. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.

Nästa steg

• Läs mer om instrumentpanelen för trafik
• Visa granskningsloggarna för global säker åtkomst
• Visa de berikade Microsoft 365-loggarna