Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När din Microsoft-trafik flödar via Microsoft Entra Internet Access för Microsoft Services vill du få insikter om prestanda, upplevelse och tillgänglighet för de Microsoft 365-appar som din organisation använder. Med global säker åtkomst kan Microsoft 365-granskningsloggar enkelt berikas med den information du behöver för att få dessa insikter. Du kan integrera loggarna med ett siem-verktyg (säkerhetsinformation och händelsehantering) från tredje part för ytterligare analys.
Den här artikeln beskriver informationen i loggarna och hur du använder dem för ovanstående insikter.
Förutsättningar
Om du vill använda de berikade loggarna behöver du följande roller, konfigurationer och prenumerationer:
Roller och behörigheter
- En säkerhetsadministratörsroll krävs för att exportera globala loggar för nätverkstrafik med säker åtkomst i diagnostikinställningar.
-konfigurationer
- Microsoft-profil – Kontrollera att Microsoft-trafikprofilen är aktiverad. Microsofts trafikvidarebefordringsprofil krävs för att samla in trafik som dirigeras till Microsoft 365-tjänster, vilket är grundläggande för loggberikning.
- Hyresgäst skickar data – Bekräftar att trafiken, som konfigurerats i vidarebefordringsprofiler, är korrekt tunnelad till tjänsten Global Secure Access.
- Konfiguration av diagnostikinställningar – Konfigurera Microsoft Entra-diagnostikinställningar för att kanalisera loggarna till en angiven slutpunkt, till exempel en Log Analytics-arbetsyta eller Sentinel-arbetsyta. Kraven för varje slutpunkt skiljer sig åt och beskrivs i avsnittet Konfigurera diagnostikinställningar i den här artikeln.
- Exportera OfficeActivity-loggtabellen – Tabellen OfficeActivity måste exporteras till samma LogAnalytics- eller Microsoft Sentinel-arbetsyta som GSA-trafikloggarna eller något annat SIEM- eller loggsystem från tredje part.
Prenumerationer
- Produkten kräver licensiering för att aktivera trafikvidarebefordringsprofilen för Microsoft Services. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
Du måste konfigurera slutpunkten för var du vill dirigera loggarna innan du konfigurerar diagnostikinställningar. Kraven för varje slutpunkt varierar och beskrivs i avsnittet Konfigurera diagnostikinställningar .
Vad loggarna tillhandahåller
Microsoft 365-granskningsloggar innehåller information om Microsoft 365-arbetsbelastningar, så att du kan granska nätverksdiagnostikdata, prestandadata och säkerhetshändelser som är relevanta för Microsoft 365-appar. Med de berikade egenskaperna från global säker åtkomst innehåller loggdata enhetsinformation som är relaterad till användaraktiviteterna. Om åtkomsten till Microsoft 365 till exempel blockeras för en användare i din organisation behöver du insyn i hur användarens enhet ansluter till nätverket.
De här loggarna innehåller:
- Ytterligare information har lagts till i ursprungliga loggar
- Korrekt IP-adress
Efter stegen i den här artikeln utökas loggarna med mer information, inklusive enhets-ID, operativsystem och ursprunglig IP-adress. Berikade SharePoint-loggar innehåller information om filer som har laddats ned, laddats upp, tagits bort, ändrats eller återvunnits. Borttagna eller återanvända listobjekt ingår också i de berikade loggarna.
Så här visar du loggarna
Att visa berikade Microsoft 365-granskningsloggar är en engångsprocess i två steg. Först måste du samla in loggar för global säker åtkomstnätverkstrafik och Microsoft 365 Unified Audit-loggar till samma slutpunkt (Microsoft Sentinel är den rekommenderade arbetsytan). För det andra måste du skapa en egen kopplingsfråga för att korrelera data mellan de två tabellerna eller använda arbetsboken "Global säker åtkomst OOTB Enriched Microsoft 365-loggar" som redan tillämpar de frågor som behövs.
Anteckning
För närvarande är endast SharePoint Online-loggar tillgängliga för loggberikning.
Anteckning
MS365-granskningsloggar har genomgått en funktionsändring. I stället för att skapa en separat ny loggström kan du nu använda de två befintliga loggtabellerna – Microsoft 365 OfficeActivity- och Global Secure Access NetworkAccessTraffic-tabeller – och sedan kombinera data med hjälp av ett unikt token-ID.
Konfigurera diagnostikinställningar
Om du vill visa de berikade Microsoft 365-loggarna måste du exportera eller strömma loggarna till en slutpunkt, till exempel en Log Analytics-arbetsyta eller ett SIEM-verktyg. Slutpunkten måste konfigureras innan du kan konfigurera diagnostikinställningar.
Konfigurera en slutpunkt
För att integrera loggar med Log Analytics behöver du en Log Analytics-arbetsyta.
Om du vill strömma loggar till ett SIEM-verktyg måste du skapa en Azure-händelsehubb och ett namnområde för händelsehubben.
Om du vill arkivera loggar till ett lagringskonto behöver du ett Azure-lagringskonto som du har
ListKeysbehörighet för.
Skicka loggar till en slutpunkt
När slutpunkten har skapats kan du konfigurera diagnostikinställningar.
Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra tillInställningar för övervakning och> för >.
Välj Lägg till diagnostikinställning.
Ge diagnostikinställningen ett namn.
Välj
NetworkAccessTrafficLogs.Välj målinformationen för var du vill skicka loggarna. Välj någon eller alla av följande mål. Fler fält visas, beroende på ditt val.
- Skicka till Log Analytics-arbetsytan: Välj lämplig information från menyerna som visas.
- Arkivera till ett lagringskonto: Ange hur många dagar du vill behålla data i rutorna Kvarhållningsdagar som visas bredvid loggkategorierna. Välj lämplig information från menyerna som visas.
- Strömma till en händelsehubb: Välj lämplig information från menyerna som visas.
- Skicka till partnerlösning: Välj lämplig information från menyerna som visas.