Jak používat protokoly přenosů globálního zabezpečeného přístupu (Preview)
Monitorování provozu pro globální zabezpečený přístup je důležitou aktivitou pro zajištění správné konfigurace vašeho tenanta a zajištění toho, aby vaši uživatelé získali co nejlepší prostředí. Protokoly přenosů globálního zabezpečeného přístupu (Preview) poskytují přehled o tom, kdo přistupuje k jakým prostředkům, odkud k nim přistupuje, a o tom, z jaké akce došlo.
Tento článek popisuje, jak používat protokoly přenosů pro globální zabezpečený přístup.
Požadavky
- Role globálního správce zabezpečeného přístupu v Microsoft Entra ID.
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Jak protokoly provozu fungují
Protokoly globálního zabezpečeného přístupu poskytují podrobnosti o síťovém provozu. Abyste tyto podrobnosti lépe pochopili a mohli je analyzovat, abyste mohli monitorovat vaše prostředí, je užitečné se podívat na tři úrovně protokolů a jejich vzájemné vztahy.
Uživatel, který přistupuje na web, představuje jednu relaci a v této relaci může existovat více připojení a v rámci daného připojení může existovat více transakcí.
- Relace: Relace je identifikována první adresou URL, ke které uživatel přistupuje. Tato relace by pak mohla otevřít mnoho připojení, například news site, který obsahuje více reklam z několika různých webů.
- Připojení: Připojení zahrnuje zdrojovou a cílovou IP adresu, zdrojový a cílový port a plně kvalifikovaný název domény (FQDN). Součásti připojení se skládají z 5 řazené kolekce členů.
- Transakce: Transakce je jedinečný pár požadavků a odpovědí.
V rámci každé instance protokolu uvidíte ID připojení a ID transakce v podrobnostech. Pomocí filtrů se můžete podívat na všechna připojení a transakce pro jednu relaci.
Zobrazení protokolů provozu
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
- Protokoly provozu monitorování>globálního zabezpečeného přístupu>
V horní části stránky se zobrazí souhrn všech transakcí a také rozpis jednotlivých typů provozu. Výběrem tlačítek Microsoftu 365 nebo Privátního přístupu vyfiltrujte protokoly podle jednotlivých typů provozu.
Poznámka:
V tomto okamžiku nejsou v podrobnostech protokolu k dispozici informace o ID relace.
Zobrazení podrobností protokolu
Výběrem libovolného protokolu ze seznamu zobrazíte podrobnosti. Tyto podrobnosti poskytují cenné informace, které je možné použít k filtrování protokolů pro konkrétní podrobnosti nebo řešení potíží se scénářem. Podrobnosti lze přidat jako sloupec a použít k filtrování protokolů.
Možnosti filtru a sloupce
Protokoly provozu můžou obsahovat mnoho podrobností, takže pokud chcete spustit jenom některé sloupce, jsou viditelné. Povolte a zakažte sloupce na základě úloh analýzy nebo řešení potíží, které provádíte, protože může být obtížné zobrazit protokoly s příliš mnoha vybranými sloupci. Možnosti sloupce a filtru odpovídají každé položce v podrobnostech o aktivitě.
Pokud chcete změnit zobrazené sloupce, vyberte sloupce v horní části stránky.
Pokud chcete protokoly provozu filtrovat na konkrétní podrobnosti, vyberte tlačítko Přidat filtr a zadejte podrobnosti, podle které chcete filtrovat.
Pokud se například chcete podívat na všechny protokoly z konkrétního připojení:
Vyberte podrobnosti protokolu a zkopírujte
connectionId
z podrobností o aktivitě.Vyberte Přidat filtr a zvolte ID připojení.
Do zobrazeného pole vložte
connectionId
a vyberte Použít.
Scénáře řešení potíží
Při řešení potíží a analýze můžou být užitečné následující podrobnosti:
- Pokud vás zajímá velikost odesílaného a přijatého provozu, povolte sloupce Odesílané bajty a přijaté bajty. Výběrem záhlaví sloupce seřadíte protokoly podle velikosti protokolů.
- Pokud kontrolujete aktivitu sítě pro rizikového uživatele, můžete výsledky filtrovat podle hlavního názvu uživatele a pak zkontrolovat weby, ke kterým přistupuje.
- Pokud chcete vyhledat provoz na typy webů, které chcete blokovat nebo povolit, povolte sloupec kategorie webu.
Podrobnosti protokolu poskytují cenné informace o síťovém provozu. Ne všechny podrobnosti jsou definovány v následujícím seznamu, ale následující podrobnosti jsou užitečné pro řešení potíží a analýzu:
- ID transakce: Jedinečný identifikátor představující dvojici požadavků a odpovědí.
- ID připojení: Jedinečný identifikátor představující připojení, které iniciovalo protokol.
- Kategorie zařízení: Typ zařízení, ze kterého byla transakce inicializována. Klient nebo vzdálená síť.
- Akce: Akce proběhla v síťové relaci. Buď povoleno , nebo odepřeno.
Konfigurace nastavení diagnostiky pro export protokolů
Protokoly provozu globálního zabezpečeného přístupu (Preview) můžete exportovat do koncového bodu pro další analýzu a upozorňování. Tato integrace je nakonfigurovaná v nastavení diagnostiky Microsoft Entra.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
Vyberte Přidat nastavení diagnostiky.
Zadejte název nastavení diagnostiky.
Vyberte možnost
NetworkAccessTrafficLogs
.Vyberte podrobnosti o cíli, kam chcete protokoly odeslat. Zvolte libovolné nebo všechny následující cíle. V závislosti na výběru se zobrazí další pole.
- Odeslat do pracovního prostoru Služby Log Analytics: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
- Archivace účtu úložiště: Zadejte počet dní, po které chcete uchovávat data v polích Uchovávání dnů , které se zobrazí vedle kategorií protokolů. V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
- Streamování do centra událostí: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
- Odeslat partnerskému řešení: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.