Использование расширенных журналов Microsoft 365 для глобального безопасного доступа

Обзор

С трафиком Майкрософт, проходящим через Microsoft Entra Internet Access для служб Майкрософт, вы хотите получить аналитические сведения о производительности, опыте и доступности приложений Microsoft 365, которые использует ваша организация. Благодаря глобальному безопасному доступу журналы аудита Microsoft 365 можно легко дополнить информацией, необходимой для получения этих аналитических сведений. Журналы можно интегрировать с сторонним средством управления безопасностью и событиями (SIEM) для дальнейшего анализа.

В этой статье описываются сведения в журналах и их использование для приведенных выше аналитических сведений.

Предварительные условия

Чтобы использовать обогащенные журналы, вам потребуются следующие роли, конфигурации и подписки:

Обязательные роли и разрешения

  • Роль администратора безопасности необходима для экспорта журналов сетевого трафика глобального безопасного доступа в параметрах диагностики.

Обязательные конфигурации

  • Профиль Майкрософт— убедитесь, что профиль трафика Майкрософт включен. Профиль пересылки трафика Microsoft необходим для отслеживания трафика, направленного на службы Microsoft 365, что является фундаментальным для обогащения журналов.
  • Клиент, отправляющий данные . Подтверждает, что трафик, настроенный в профилях пересылки, точно туннелируется в службу глобального безопасного доступа.
  • Конфигурация параметров диагностики - Настройка параметров диагностики Microsoft Entra для направления журналов в указанную конечную точку, например, рабочую область Log Analytics или рабочую область Sentinel. Требования для каждой конечной точки отличаются и описаны в разделе "Настройка параметров диагностики " этой статьи.
  • Экспорт таблицы журнала OfficeActivity. Таблица OfficeActivity должна быть экспортирована в ту же рабочую область LogAnalytics или Microsoft Sentinel, что и журналы трафика GSA или другую стороннюю систему SIEM или Log.

Обязательные подписки

Перед настройкой параметров диагностики необходимо настроить конечную точку для маршрутизации журналов. Требования для каждой конечной точки зависят и описаны в разделе "Настройка параметров диагностики ".

Что содержится в журналах

Журналы аудита Microsoft 365 предоставляют сведения о рабочих нагрузках Microsoft 365, чтобы просмотреть данные диагностики сети, данные производительности и события безопасности, относящиеся к приложениям Microsoft 365. В журнальных данных Global Secure Access, обогащенных свойствами, содержится информация об устройствах, связанная с действиями пользователей. Например, если доступ к Microsoft 365 заблокирован для пользователя в вашей организации, необходимо узнать, как устройство пользователя подключается к сети.

Эти журналы предоставляют следующие возможности:

  • Дополнительные сведения, добавленные в исходные журналы
  • Точный IP-адрес

Следуя инструкциям в этой статье, журналы обогащены дополнительными сведениями, включая идентификатор устройства, операционную систему и исходный IP-адрес. Обогащенные журналы SharePoint предоставляют сведения о файлах, которые были загружены, отправлены, удалены, изменены или переработаны. Удаленные или переработанные элементы списка также включены в расширенные журналы.

Просмотр журналов

Просмотр обогащенных журналов аудита Microsoft 365 — это однократный двухэтапный процесс. Сначала необходимо собрать журналы сетевого трафика глобального безопасного доступа и журналы единого аудита Microsoft 365 в ту же конечную точку (Microsoft Sentinel — это рекомендуемая рабочая область). Во-вторых, необходимо создать собственный запрос на объединение, чтобы сопоставить данные между двумя таблицами, или использовать книгу Global Secure Access OOTB Enriched Microsoft 365 Logs, которая уже применяет необходимые запросы.

Примечание.

В настоящее время для обогащения журналов доступны только журналы SharePoint Online.

Примечание.

Функции журналов аудита MS365 были изменены. Вместо создания отдельного потока журналов теперь можно использовать две существующие таблицы журналов — Microsoft 365 OfficeActivity и Global Secure Access NetworkAccessTraffic, а затем объединить данные с помощью уникального идентификатора токена.

Настройка параметров диагностики

Чтобы просмотреть обогащенные журналы Microsoft 365, необходимо экспортировать или передавать журналы в конечную точку, например рабочую область Log Analytics или средство SIEM. Перед настройкой параметров диагностики необходимо настроить конечную точку.

Настройка конечной точки

Отправка журналов в конечную точку

С помощью созданной конечной точки можно настроить параметры диагностики.

  1. Войдите в административный центр Microsoft Entra в качестве как минимум Администратора безопасности.

  2. Перейдите к Entra ID>Мониторинг и работоспособность>Диагностические параметры.

  3. Выберите "Добавить настройку диагностики".

  4. Присвойте параметру диагностики имя.

  5. Выберите NetworkAccessTrafficLogs.

  6. Выберите сведения о месте назначения, куда вы хотите отправить журналы. Выберите одно или все из следующих направлений. Отображаются дополнительные поля в зависимости от выбранного фрагмента.

    • Отправка в рабочую область Log Analytics: выберите соответствующие данные из отображаемых меню.
    • Архив в учетную запись хранения: укажите количество дней, которые вы хотите сохранить в полях "Дни хранения", которые отображаются рядом с категориями журналов. Выберите соответствующие сведения из отображаемых меню.
    • Передача данных в концентратор событий: выберите нужные сведения из отображаемых меню.
    • Отправить в партнерское решение: выберите соответствующие сведения из отображаемых меню.

Следующие шаги

  • Last updated on