Küresel Güvenli Erişim ile zenginleştirilmiş Microsoft 365 günlüklerini kullanma

Genel bakış

Microsoft Hizmetleri için Microsoft Entra Internet Access üzerinden akan Microsoft trafiğiniz sayesinde, kuruluşunuzun kullandığı Microsoft 365 uygulamalarının performansı, deneyimi ve kullanılabilirliği hakkında içgörüler elde etmek istiyorsunuz. Genel Güvenli Erişim ile Microsoft 365 Denetim günlükleri, bu içgörüleri elde etmek için ihtiyacınız olan bilgilerle kolayca zenginleştirilebilir. Daha fazla analiz için günlükleri üçüncü taraf güvenlik bilgileri ve olay yönetimi (SIEM) aracıyla tümleştirebilirsiniz.

Bu makalede günlüklerdeki bilgiler ve yukarıdaki içgörüler için bunların nasıl kullanılacağı açıklanmaktadır.

Önkoşullar

Zenginleştirilmiş günlükleri kullanmak için aşağıdaki rollere, yapılandırmalara ve aboneliklere ihtiyacınız vardır:

Gerekli roller ve izinler

  • Tanılama Ayarları'nda Genel Güvenli Erişim Ağ Trafiği Günlüklerini dışarı aktarmak için bir Güvenlik Yöneticisi rolü gereklidir.

Gerekli yapılandırmalar

  • Microsoft Profili - Microsoft trafik profilinin etkinleştirildiğinden emin olun. Microsoft 365 hizmetlerine yönlendirilen trafiği yakalamak ve bu nedenle günlük zenginleştirme için temel olan bir Microsoft trafik yönlendirme profili gereklidir.
  • Verileri gönderen kiracı - İletme profillerinde yapılandırıldığı gibi trafiğin Genel Güvenli Erişim hizmetine doğru şekilde tünellendiğini onaylar.
  • Tanılama Ayarları Yapılandırma - Logları bir Log Analytics çalışma alanı veya Sentinel çalışma alanı gibi belirlenmiş bir uç noktaya yönlendirmek için Microsoft Entra tanılama ayarlarını yapın. Her uç noktanın gereksinimleri farklıdır ve bu makalenin Tanılama ayarlarını yapılandırma bölümünde özetlenmiştir.
  • OfficeActivity günlük tablosunu dışarı aktarma - OfficeActivity tablosu, GSA trafik günlükleriyle aynı LogAnalytics veya Microsoft Sentinel çalışma alanına veya başka bir üçüncü taraf SIEM veya Log sistemine aktarılmalıdır.

Gerekli abonelikler

  • Ürün, Microsoft Hizmetleri için trafik iletme profilini etkinleştirmek için lisans gerektirir. Ayrıntılar için Genel Güvenli Erişim nedir?'nin lisanslama bölümüne bakın. Gerekirse lisans satın alabilir veya deneme lisansları alabilirsiniz.

Tanılama ayarlarını yapılandırmadan önce günlükleri yönlendirmek istediğiniz yer için uç noktayı yapılandırmanız gerekir. Her uç noktanın gereksinimleri farklılık gösterir ve Tanılama ayarlarını yapılandırma bölümünde açıklanmıştır.

Günlükler ne sağlar?

Microsoft 365 denetim günlükleri, Microsoft 365 uygulamalarıyla ilgili ağ tanılama verilerini, performans verilerini ve güvenlik olaylarını gözden geçirebilmeniz için Microsoft 365 iş yükleri hakkında bilgi sağlar. Global Secure Access günlük verilerinin kullanıcı etkinlikleriyle ilgili cihaz bilgilerini de içeren zenginleştirilmiş özellikleri vardır. Örneğin, kuruluşunuzdaki bir kullanıcı için Microsoft 365 erişimi engellenmişse, kullanıcının cihazının ağınıza nasıl bağlanıyor olduğuna ilişkin görünürlük sahibi olmanız gerekir.

Bu günlükler şunları sağlar:

  • Özgün günlüklere ek bilgiler eklendi
  • Doğru IP adresi

Bu makaledeki adımların ardından günlükler cihaz kimliği, işletim sistemi ve özgün IP adresi gibi daha fazla bilgiyle zenginleştirilmiş durumdadır. Zenginleştirilmiş SharePoint günlükleri indirilen, karşıya yüklenen, silinen, değiştirilen veya geri dönüştürülen dosyalar hakkında bilgi sağlar. Silinen veya geri dönüştürülen liste öğeleri zenginleştirilmiş günlüklere de eklenir.

Günlükleri görüntüleme

Zenginleştirilmiş Microsoft 365 denetim günlüklerini görüntülemek tek seferlik, iki adımlı bir işlemdir. İlk olarak, Genel Güvenli Erişim Ağ Trafiği günlüklerini ve Microsoft 365 Birleşik Denetim günlüklerini aynı uç noktaya toplamanız gerekir (Önerilen çalışma alanı Microsoft Sentinel'dir). İkincisi, verileri iki tablo arasında ilişkilendirmek için kendi birleştirme sorgunuzu oluşturmanız veya gerekli sorguları zaten uygulayan Genel Güvenli Erişim OOTB Zenginleştirilmiş Microsoft 365 Günlükleri çalışma kitabını kullanmanız gerekir.

Not

Şu anda günlük zenginleştirme için yalnızca SharePoint Online günlükleri kullanılabilir.

Not

MS365 denetim günlükleri bir özellik değişikliğine uğramıştır. Ayrı bir yeni günlük akışı oluşturmak yerine artık mevcut iki günlük tablosunu (Microsoft 365 OfficeActivity ve Genel Güvenli Erişim NetworkAccessTraffic tabloları) kullanabilir ve ardından Benzersiz Belirteç Kimliği kullanarak verileri birleştirebilirsiniz.

Tanılama ayarlarını yapılandırma

Zenginleştirilmiş Microsoft 365 günlüklerini görüntülemek için günlükleri Log Analytics çalışma alanı veya SIEM aracı gibi bir uç noktaya aktarmanız veya akışla aktarmanız gerekir. Tanılama ayarlarını yapılandırabilmeniz için önce uç noktanın yapılandırılması gerekir.

Uç noktayı yapılandırma

Günlükleri uç noktaya gönderme

Uç noktanız oluşturulduktan sonra Tanılama ayarlarını yapılandırabilirsiniz.

  1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

  2. Entra ID>İzleme ve sistem durumu>Tanılama ayarları'na göz atın.

  3. Tanılama ayarları ekle'yi seçin.

  4. Tanılama ayarınıza bir ad verin.

  5. NetworkAccessTrafficLogs öğesini seçin.

  6. Günlükleri göndermek istediğiniz yer için Hedef ayrıntılarını seçin. Aşağıdaki hedeflerden birini veya tümünü seçin. Seçiminize bağlı olarak daha fazla alan görüntülenir.

    • Log Analytics çalışma alanına gönder: Görüntülenen menülerden uygun ayrıntıları seçin.
    • Depolama hesabında arşivle: Günlük kategorilerinin yanında görünen Bekletme günleri kutularında verileri saklamak istediğiniz gün sayısını belirtin. Görüntülenen menülerden uygun ayrıntıları seçin.
    • Bir olay hub'ına akışla aktarma: Görüntülenen menülerden uygun ayrıntıları seçin.
    • İş ortağı çözümüne gönder: Görüntülenen menülerden uygun ayrıntıları seçin.

Sonraki adımlar

  • Last updated on