Sdílet prostřednictvím

Jak používat záznamy provozu globálního zabezpečeného přístupu (náhled)

  • Článek

Monitorování provozu pro globální zabezpečený přístup je důležitou aktivitou pro zajištění správné konfigurace vašeho tenanta a zajištění toho, aby vaši uživatelé získali co nejlepší prostředí. Protokoly provozu globálního zabezpečeného přístupu (náhled) poskytují přehled o tom, kdo přistupuje k jakým prostředkům, odkud k nim přistupuje, a jaké akce byly provedeny.

Tento článek popisuje, jak používat protokoly přenosů pro globální zabezpečený přístup.

Požadavky

  • Role globálního správce zabezpečeného přístupu v Microsoft Entra ID.
  • Role globální čtečky protokolu zabezpečeného přístupu v Microsoft Entra ID.
  • Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Jak protokoly provozu fungují

Protokoly globálního zabezpečeného přístupu poskytují podrobnosti o síťovém provozu. Abyste tyto podrobnosti lépe pochopili a mohli je analyzovat, abyste mohli monitorovat vaše prostředí, je užitečné se podívat na tři úrovně protokolů a jejich vzájemné vztahy.

Uživatel, který přistupuje na web, představuje jednu relaci a v této relaci může existovat více připojení a v rámci daného připojení může existovat více transakcí.

  • Relace: Relace je identifikována první adresou URL, ke které uživatel přistupuje. Tato relace by pak mohla otevřít řadu připojení, například na zpravodajský web, který obsahuje více reklam z několika různých webů.
  • Připojení: Připojení zahrnuje zdrojovou a cílovou IP adresu, zdrojový a cílový port a plně kvalifikovaný název domény (FQDN). Komponenty spojení tvoří 5-tice.
  • Transakce: Transakce je jedinečný pár požadavků a odpovědí.

V rámci každé instance protokolu uvidíte ID připojení a ID transakce v podrobnostech. Pomocí filtrů se můžete podívat na všechna připojení a transakce pro jednu relaci.

Zobrazení protokolů provozu

  1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako Čtenář sestav.
  2. Globální zabezpečený přístup>Monitorujte>provozní protokoly.

V horní části stránky se zobrazí souhrn všech transakcí a také rozpis jednotlivých typů provozu. Výběrem tlačítek Microsoftu 365 nebo Privátního přístupu vyfiltrujte protokoly podle jednotlivých typů provozu.

Poznámka:

V tomto okamžiku nejsou v podrobnostech protokolu k dispozici informace o ID relace.

Zobrazení podrobností protokolu

Výběrem libovolného protokolu ze seznamu zobrazíte podrobnosti. Tyto podrobnosti poskytují cenné informace, které je možné použít k filtrování protokolů pro konkrétní podrobnosti nebo řešení potíží se scénářem. Podrobnosti lze přidat jako sloupec a použít k filtrování protokolů.

Snímek obrazovky s podrobnostmi aktivity záznamu provozu

Možnosti filtru a sloupce

Protokoly provozu můžou obsahovat mnoho podrobností, proto jsou zpočátku viditelné pouze některé sloupce. Povolte a zakažte sloupce na základě úloh analýzy nebo řešení potíží, které provádíte, protože může být obtížné zobrazit protokoly s příliš mnoha vybranými sloupci. Možnosti sloupce a filtru odpovídají každé položce v podrobnostech o aktivitě.

Pokud chcete změnit zobrazené sloupce, vyberte sloupce v horní části stránky.

Pokud chcete protokoly provozu filtrovat na konkrétní podrobnosti, vyberte tlačítko Přidat filtr a zadejte podrobnosti, podle které chcete filtrovat.

Pokud se například chcete podívat na všechny protokoly z konkrétního připojení:

  1. Vyberte podrobnosti protokolu a zkopírujte connectionId z podrobností o aktivitě.

  2. Vyberte Přidat filtr a zvolte ID připojení.

  3. Do zobrazeného pole vložte connectionId a vyberte Použít.

    Snímek obrazovky s filtrem protokolu provozu

Scénáře řešení potíží

Při řešení potíží a analýze můžou být užitečné následující podrobnosti:

  • Pokud vás zajímá velikost odesílaného a přijatého provozu, povolte sloupce Odesílané bajty a přijaté bajty. Výběrem záhlaví sloupce seřadíte protokoly podle velikosti protokolů.
  • Pokud kontrolujete aktivitu sítě pro rizikového uživatele, můžete výsledky filtrovat podle hlavního názvu uživatele a pak zkontrolovat weby, ke kterým přistupuje.
  • Pokud chcete vyhledat návštěvnost na typech webových stránek, které chcete blokovat nebo povolit, povolte sloupec kategorie webu.

Podrobnosti protokolu poskytují cenné informace o síťovém provozu. Ne všechny podrobnosti jsou definovány v následujícím seznamu, ale následující podrobnosti jsou užitečné pro řešení potíží a analýzu:

  • ID transakce: Jedinečný identifikátor představující dvojici požadavků a odpovědí.
  • ID připojení: Jedinečný identifikátor představující připojení, které iniciovalo protokol.
  • Kategorie zařízení: Typ zařízení, ze kterého byla transakce inicializována. Klient nebo vzdálená síť.
  • Akce: Přijaté opatření v síťové relaci. Buď povoleno , nebo odepřeno.

Konfigurace nastavení diagnostiky pro export protokolů

Protokoly provozu globálního zabezpečeného přístupu (Preview) můžete exportovat do koncového bodu pro další analýzu a upozorňování. Tato integrace je nakonfigurovaná v nastavení diagnostiky Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Přejděte do Identita>Sledování a zdraví>Nastavení diagnostiky.

  3. Vyberte Přidat nastavení diagnostiky.

  4. Zadejte název nastavení diagnostiky.

  5. Vyberte možnost NetworkAccessTrafficLogs.

  6. Vyberte podrobnosti o cíli, kam chcete protokoly odeslat. Zvolte libovolné nebo všechny následující cíle. V závislosti na výběru se zobrazí další pole.

    • Odeslat do pracovního prostoru Log Analytics: Z nabídek, které se zobrazí, vyberte odpovídající detaily.
    • Archivace na úložný účet: Zadejte počet dní, po které chcete uchovávat data do kolonky Počet dnů uchovávání, které se zobrazují vedle kategorií protokolů. V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
    • Streamování do centra událostí: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
    • Odeslat partnerskému řešení: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.

Další kroky