Was sind Remotenetzwerk-Integritätsprotokolle?

Remote-Netzwerke wie z. B. eine Filiale, verlassen sich auf lokale Kundengeräte (Customer Premises Equipment, CPE), um Benutzer an diesen Standorten mit den benötigten Onlineressourcen und -diensten zu verbinden. Benutzer erwarten, dass CPE funktioniert, damit sie ihre Arbeit erledigen können. Damit jeder verbunden bleibt, müssen Sie die Integrität des IPSec-Tunnels und der BGP (Border Gateway Protocol)-Routenankündigung sicherstellen. Diese lang andauernden Tunnel- und Routinginformationen sind die Schlüssel zu Ihrer Remote-Netzwerk-Integrität.

In diesem Artikel werden verschiedene Methoden für den Zugriff auf und die Analyse der Remotenetzwerkintegritätsprotokolle beschrieben.

• Zugreifen auf Protokolle im Microsoft Entra Admin Center oder der Microsoft Graph-API
• Exportieren von Protokollen in Log Analytics oder ein SIEM-Tool (Security Information & Events Management)
• Analysieren von Protokollen mithilfe einer Azure-Arbeitsmappe für Microsoft Entra
• Herunterladen von Protokollen für die langfristige Speicherung

Voraussetzungen

Um die Remotenetzwerkintegritätsprotokolle im Microsoft Entra Admin Center anzuzeigen, benötigen Sie Folgendes:

• Eine der folgenden Rollen: Global Secure Access-Administrator oder Sicherheitsadministrator.
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
• Für den Zugriff auf die Protokolle mit der Microsoft Graph-API und die Integration mit Log Analytics und Azure-Arbeitsmappen sind separate Rollen erforderlich.

Anzeigen der Protokolle

Um die Remote-Netzwerk-Integritätsprotokolleanzuzeigen, können Sie entweder das Microsoft Entra Admin Center oder die Microsoft Graph-API verwenden.

Microsoft Entra Admin Center

So zeigen Sie Remote-Netzwerk-Integritätsprotokolle im Microsoft Entra Admin Center an:

1. Melden Sie sich beim Microsoft Entra Admin Center als Global Secure Access-Administrator an.

2. Navigieren Sie zu Global Secure Access>Überwachen>Remotenetzwerkintegritätsprotokolle.

   

Microsoft Graph-API

Global Secure Access-Remote-Netzwerk-Integritätsprotokolle können mithilfe von Microsoft Graph auf dem /beta-Endpunkt angezeigt und verwaltet werden.

Sie benötigen eine der folgenden Berechtigungen für den Zugriff auf die Protokolle mit der Microsoft Graph-API:

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

So greifen Sie auf Remotenetzwerkintegritätsprotokolle mit der Microsoft Graph-API zu:

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie GET als HTTP-Methode aus.
3. Wählen Sie BETA als API-Version aus.
4. Führen Sie die folgende Abfrage aus:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Antwort (abgeschnitten):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Konfigurieren von Diagnoseeinstellungen zum Generieren von Exportprotokollen

Das Integrieren von Protokollen in ein SIEM-Tool wie Log Analytics wird über Diagnoseeinstellungen in Microsoft Entra ID konfiguriert. Dieser Vorgang wird im Artikel Konfigurieren von Microsoft Entra-Diagnoseeinstellungen für Aktivitätsprotokolle ausführlich behandelt.

Zum Konfigurieren von Diagnoseeinstellungen benötigen Sie Folgendes:

• Sicherheitsadministratorzugriff
• Einen Log Analytics-Arbeitsbereich.

Die grundlegenden Schritte zum Konfigurieren von Diagnoseeinstellungen lauten wie folgt:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.

3. Alle vorhandenen Diagnoseeinstellungen werden in der Tabelle angezeigt. Wählen Sie entweder Einstellungen bearbeiten zum Ändern einer vorhandenen Einstellung oder Diagnoseeinstellung hinzufügen zum Erstellen einer neuen Einstellung aus.

4. Geben Sie einen Namen ein.

5. Wählen Sie die RemoteNetworkHealthLogs (und alle anderen Protokolle) aus, die Sie einbeziehen möchten.

   

6. Wählen Sie die Ziele aus, an die Sie die Protokolle senden möchten.

7. Wählen Sie das Abonnement und das Ziel aus den angezeigten Dropdownmenüs aus.

8. Wählen Sie die Schaltfläche Speichern aus.

Hinweis

Es kann bis zu drei Tage dauern, bis die Protokolle am Ziel angezeigt werden.

Sobald Ihre Protokolle an Log Analytics weitergeleitet wurden, können Sie die folgenden Features nutzen:

• Erstellen Sie Warnungsregeln, um Benachrichtigungen für Elemente wie einen BGP-Tunnelfehler zu erhalten.
  • Weitere Informationen finden Sie unter Erstellen einer Warnungsregel.
• Visualisieren Sie die Daten mit einer Azure-Arbeitsmappe für Microsoft Entra (im nächsten Abschnitt behandelt).
• Integrieren Sie Protokolle mit Microsoft Sentinel für Sicherheitsanalysen und Bedrohungserkennungen.
  • Weitere Informationen hierzu finden Sie in der Schnellstartanleitung Onboarding von Microsoft Sentinel.

Analysieren von Protokollen mit einer Arbeitsmappe

Azure-Arbeitsmappen für Microsoft Entra stellen eine visuelle Darstellung Ihrer Daten bereit. Nachdem Sie einen Log Analytics-Arbeitsbereich und Diagnoseeinstellungen konfiguriert haben, um Ihre Protokolle mit Log Analytics zu integrieren, können Sie eine Arbeitsmappe verwenden, um die Daten über diese leistungsstarken Tools zu analysieren.

Sehen Sie sich diese hilfreichen Ressourcen für Arbeitsmappen an:

• Erstellen einer Azure-Arbeitsmappe
• Verwenden von Identitätsarbeitsmappen
• Erstellen einer Arbeitsmappenwarnung

Herunterladen von Protokollen

Eine Schaltfläche Herunterladen ist in allen Protokollen verfügbar, sowohl innerhalb von Global Secure Access als auch für die Überwachung und Integrität von Microsoft Entra. Sie können Protokolle als JSON- oder CSV-Datei herunterladen. Weitere Informationen finden Sie unter Herunterladen von Protokollen.

Wenn Sie die Ergebnisse der Protokolle eingrenzen möchten, wählen Sie Filter hinzufügen aus. Sie können nach folgenden Kriterien filtern:

• Beschreibung
• Remote-Netzwerk-ID
• Quell-IP
• Ziel-IP
• Anzahl angekündigter BGP-Routen

In der folgenden Tabelle werden die einzelnen Felder in den Remote-Netzwerk-Integritätsprotokolle beschrieben.

Name	Beschreibung
Datum/Uhrzeit der Erstellung	Zeit der ursprünglichen Ereignisgenerierung
Quell-IP-Adresse	Die IP-Adresse des CPE. Das Quell-IP/Ziel-IP Adresspaar ist für jeden IPsec-Tunnel eindeutig.
IP-Adresse des Ziels	Die IP-Adresse des Microsoft Entra-Gateways. Das Quell-IP/Ziel-IP Adresspaar ist für jeden IPsec-Tunnel eindeutig.
Status	Tunnel verbunden: Dieses Ereignis wird generiert, wenn ein IPsec-Tunnel erfolgreich hergestellt wird. Tunnel getrennt: Dieses Ereignis wird generiert, wenn ein IPsec-Tunnel getrennt wird. BGP verbunden: Dieses Ereignis wird generiert, wenn eine BGP-Konnektivität erfolgreich hergestellt wird. BGP getrennt: Dieses Ereignis wird generiert, wenn eine BGP-Verbindung unterbrochen wird. Remotenetzwerk aktiv: Diese regelmäßige Statistik wird alle 15 Minuten für alle aktiven Tunnel generiert.
Beschreibung	Optionale Beschreibung des Ereignisses.
Anzahl angekündigter BGP-Routen	Optionale Anzahl der über den IPsec-Tunnel angekündigten BGP-Routen. Dieser Wert ist 0 für „Tunnel verbunden“-, „Tunnel getrennt“-, „BGP verbunden“- und „BGP getrennt“-Ereignisse.
Gesendete Bytes	Optionale Anzahl von Bytes, die während der letzten 15 Minuten von der Quelle an das Ziel über einen Tunnel gesendet wurden. Dieser Wert ist 0 für „Tunnel verbunden“-, „Tunnel getrennt“-, „BGP verbunden“- und „BGP getrennt“-Ereignisse.
Empfangene Bytes	Optionale Anzahl von Bytes, die von der Quelle über einen Tunnel während der letzten 15 Minuten empfangen wurden. Dieser Wert ist 0 für „Tunnel verbunden“-, „Tunnel getrennt“-, „BGP verbunden“- und „BGP getrennt“-Ereignisse.
Remote-Netzwerk-ID	Die ID des Remote-Netzwerks, dem der Tunnel zugeordnet ist.

Nächste Schritte

• Aktivieren der angereicherten Microsoft 365-Protokolle
• Erkunden von Global Secure Access-Datenverkehrsprotokollen