Jak používat protokoly přenosů globálního zabezpečeného přístupu (Preview)

Monitorování provozu pro globální zabezpečený přístup je důležitou aktivitou pro zajištění správné konfigurace vašeho tenanta a zajištění toho, aby vaši uživatelé získali co nejlepší prostředí. Protokoly přenosů globálního zabezpečeného přístupu (Preview) poskytují přehled o tom, kdo přistupuje k jakým prostředkům, odkud k nim přistupuje, a o tom, z jaké akce došlo.

Tento článek popisuje, jak používat protokoly přenosů pro globální zabezpečený přístup.

Požadavky

• Role globálního správce zabezpečeného přístupu v Microsoft Entra ID.
• Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Jak protokoly provozu fungují

Protokoly globálního zabezpečeného přístupu poskytují podrobnosti o síťovém provozu. Abyste tyto podrobnosti lépe pochopili a mohli je analyzovat, abyste mohli monitorovat vaše prostředí, je užitečné se podívat na tři úrovně protokolů a jejich vzájemné vztahy.

Uživatel, který přistupuje na web, představuje jednu relaci a v této relaci může existovat více připojení a v rámci daného připojení může existovat více transakcí.

• Relace: Relace je identifikována první adresou URL, ke které uživatel přistupuje. Tato relace by pak mohla otevřít mnoho připojení, například news site, který obsahuje více reklam z několika různých webů.
• Připojení: Připojení zahrnuje zdrojovou a cílovou IP adresu, zdrojový a cílový port a plně kvalifikovaný název domény (FQDN). Součásti připojení se skládají z 5 řazené kolekce členů.
• Transakce: Transakce je jedinečný pár požadavků a odpovědí.

V rámci každé instance protokolu uvidíte ID připojení a ID transakce v podrobnostech. Pomocí filtrů se můžete podívat na všechna připojení a transakce pro jednu relaci.

Zobrazení protokolů provozu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
2. Protokoly provozu monitorování>globálního zabezpečeného přístupu>

V horní části stránky se zobrazí souhrn všech transakcí a také rozpis jednotlivých typů provozu. Výběrem tlačítek Microsoftu 365 nebo Privátního přístupu vyfiltrujte protokoly podle jednotlivých typů provozu.

Poznámka:

V tomto okamžiku nejsou v podrobnostech protokolu k dispozici informace o ID relace.

Zobrazení podrobností protokolu

Výběrem libovolného protokolu ze seznamu zobrazíte podrobnosti. Tyto podrobnosti poskytují cenné informace, které je možné použít k filtrování protokolů pro konkrétní podrobnosti nebo řešení potíží se scénářem. Podrobnosti lze přidat jako sloupec a použít k filtrování protokolů.

Možnosti filtru a sloupce

Protokoly provozu můžou obsahovat mnoho podrobností, takže pokud chcete spustit jenom některé sloupce, jsou viditelné. Povolte a zakažte sloupce na základě úloh analýzy nebo řešení potíží, které provádíte, protože může být obtížné zobrazit protokoly s příliš mnoha vybranými sloupci. Možnosti sloupce a filtru odpovídají každé položce v podrobnostech o aktivitě.

Pokud chcete změnit zobrazené sloupce, vyberte sloupce v horní části stránky.

Pokud chcete protokoly provozu filtrovat na konkrétní podrobnosti, vyberte tlačítko Přidat filtr a zadejte podrobnosti, podle které chcete filtrovat.

Pokud se například chcete podívat na všechny protokoly z konkrétního připojení:

1. Vyberte podrobnosti protokolu a zkopírujte connectionId z podrobností o aktivitě.

2. Vyberte Přidat filtr a zvolte ID připojení.

3. Do zobrazeného pole vložte connectionId a vyberte Použít.

   

Scénáře řešení potíží

Při řešení potíží a analýze můžou být užitečné následující podrobnosti:

• Pokud vás zajímá velikost odesílaného a přijatého provozu, povolte sloupce Odesílané bajty a přijaté bajty. Výběrem záhlaví sloupce seřadíte protokoly podle velikosti protokolů.
• Pokud kontrolujete aktivitu sítě pro rizikového uživatele, můžete výsledky filtrovat podle hlavního názvu uživatele a pak zkontrolovat weby, ke kterým přistupuje.
• Pokud chcete vyhledat provoz na typy webů, které chcete blokovat nebo povolit, povolte sloupec kategorie webu.

Podrobnosti protokolu poskytují cenné informace o síťovém provozu. Ne všechny podrobnosti jsou definovány v následujícím seznamu, ale následující podrobnosti jsou užitečné pro řešení potíží a analýzu:

• ID transakce: Jedinečný identifikátor představující dvojici požadavků a odpovědí.
• ID připojení: Jedinečný identifikátor představující připojení, které iniciovalo protokol.
• Kategorie zařízení: Typ zařízení, ze kterého byla transakce inicializována. Klient nebo vzdálená síť.
• Akce: Akce proběhla v síťové relaci. Buď povoleno , nebo odepřeno.

Konfigurace nastavení diagnostiky pro export protokolů

Protokoly provozu globálního zabezpečeného přístupu (Preview) můžete exportovat do koncového bodu pro další analýzu a upozorňování. Tato integrace je nakonfigurovaná v nastavení diagnostiky Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.

3. Vyberte Přidat nastavení diagnostiky.

4. Zadejte název nastavení diagnostiky.

5. Vyberte možnost NetworkAccessTrafficLogs.

6. Vyberte podrobnosti o cíli, kam chcete protokoly odeslat. Zvolte libovolné nebo všechny následující cíle. V závislosti na výběru se zobrazí další pole.

   • Odeslat do pracovního prostoru Služby Log Analytics: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
   • Archivace účtu úložiště: Zadejte počet dní, po které chcete uchovávat data v polích Uchovávání dnů , které se zobrazí vedle kategorií protokolů. V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
   • Streamování do centra událostí: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
   • Odeslat partnerskému řešení: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.

Další kroky

• Informace o řídicím panelu provozu
• Zobrazení protokolů auditu pro globální zabezpečený přístup
• Zobrazení obohacených protokolů Microsoftu 365