分享方式:


如何使用全域安全存取流量記錄 (預覽)

監視全域安全存取的流量是確保租用戶正確設定的重要活動,而且您的用戶獲得最佳的體驗。 全域安全存取流量記錄 (預覽) 可讓您深入瞭解誰正在存取哪些資源、從何處存取資源,以及採取哪些動作。

本文說明如何針對全球安全存取使用流量記錄。

必要條件

流量記錄的運作方式

全球安全存取記錄會提供網路流量的詳細資料。 若要進一步了解這些詳細資料,以及如何分析那些詳細資料來監視您的環境,查看三個層級的記錄以及其與彼此的關係會很有幫助。

存取網站的使用者代表一個「工作階段」,而在該工作階段內可能會有多個「連線」,而且在該連線內可能會有多個「交易」

  • 工作階段:工作階段是由使用者存取的第一個 URL 所識別。 然後,該工作階段可以開啟許多連線,例如包含來自數個不同網站之多個廣告的新聞網站。
  • 連線:連線包括來源和目的地 IP、來源和目的地連接埠,以及完整網域名稱 (FQDN)。 連線元件是由 5 個元組所組成。
  • 交易:交易是唯一的要求和回應組。

在每個記錄執行個體內,您可以在詳細資料中看到連線識別碼和交易識別碼。 透過使用篩選,您可以查看單一工作階段的所有連線和交易。

如何檢視流量記錄

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心
  2. 全域安全存取>監視器>流量記錄。

頁面頂端會顯示所有交易的摘要,以及每種流量類型的明細。 選取 [Microsoft 365] 或 [私人存取] 按鈕,以將記錄篩選至每個流量類型。

注意

目前,記錄詳細資料中無法提供工作階段識別碼資訊。

檢視記錄詳細資料

從清單中選取任何記錄以檢視詳細資料。 這些詳細資料能提供寶貴的資訊,可用來篩選記錄以取得特定詳細資料,或針對案例進行疑難排解。 詳細資料可以新增為資料行,並用來篩選記錄。

此螢幕擷取畫面顯示流量記錄活動詳細資料。

篩選和資料行選項

流量記錄可以提供許多詳細資料,因此一開始只會顯示某些資料行。 請根據您正在執行的分析或疑難排解工作來啟用和停用資料行,因為在選取太多資料行的情況下,記錄可能會很難以檢視。 資料行和篩選選項會與 [活動詳細資料] 中的每個項目一致。

從頁面頂端選取 [資料行],以變更顯示的資料行。

若要篩選流量記錄至特定詳細資料,請選取 [新增篩選] 按鈕,然後輸入您想要篩選的詳細資料。

例如,如果您想要查看來自特定連線的所有記錄:

  1. 選取記錄詳細資料,然後從 [活動詳細資料] 複製 connectionId

  2. 選取 [新增篩選],然後選擇 [連線識別碼]

  3. 在出現的欄位中,貼上 connectionId,然後選取 [套用]

    此螢幕擷取畫面顯示流量記錄篩選。

疑難排解案例

下列詳細資料可能有助於進行疑難排解和分析:

  • 如果您對傳送和接收的流量大小感興趣,請啟用 [已傳送的位元組] 和 [已接收的位元組] 資料行。 選取資料行標頭,來依記錄的大小對記錄進行排序。
  • 如果您要檢閱風險性使用者的網路活動,您可以依使用者主體名稱篩選結果,然後檢閱其正在存取的網站。
  • 若要尋找您想要封鎖或允許的網站類型流量,請啟用 [Web 類別] 資料行。

記錄詳細資料會提供有關網路流量的重要資訊。 並非所有詳細資料都定義於下列清單中,但下列詳細資料對於疑難排解和分析非常有用:

  • 交易識別碼:代表要求/回應組的唯一識別碼。
  • 連線識別碼:代表起始記錄之連線的唯一識別碼。
  • 裝置類別:從中起始交易的裝置類型。 可以是 [用戶端] 或 [遠端網路]
  • 動作:對網路工作階段所採取的動作。 可以是 [允許] 或 [拒絕]

設定診斷設定以匯出記錄

您可以將全域安全存取流量記錄 (預覽) 匯出至端點,以進行進一步分析和警示。 此整合是在 Microsoft Entra 診斷設定中設定。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]

  3. 選取 [新增診斷設定]

  4. 指定診斷設定的名稱。

  5. 選取 NetworkAccessTrafficLogs

  6. 針對您想要傳送記錄的位置,選取 [目的地詳細資料]。 選擇下列任一或所有目的地。 視您的選取項目而定,會出現其他欄位。

    • 傳送至 Log Analytics 工作區:從出現的功能表中選取適當的詳細資料。
    • 封存至儲存體帳戶:在出現在記錄類別旁邊的 [保留天數] 方塊中輸入您想要保留資料的天數。 從出現的功能表中選取適當的詳細資料。
    • 串流至事件中樞:從出現的功能表中選取適當的詳細資料。
    • 傳送至合作夥伴解決方案:從出現的功能表中選取適當的詳細資料。

下一步