Verwenden der angereicherten Microsoft 365-Protokolle für globalen sicheren Zugriff

Da Ihr Microsoft-Datenverkehr über den Microsoft Entra Private Internet-Dienst fließt, möchten Sie Erkenntnisse zur Leistung, zur Umgebung und zur Verfügbarkeit der Microsoft 365-Apps erhalten, die Ihre Organisation verwendet. Die angereicherten Microsoft 365-Protokolle enthalten die Informationen, die Sie benötigen, um diese Erkenntnisse zu gewinnen. Sie können die Protokolle zur weiteren Analyse in ein SIEM-Tool (Security Information and Event Management, Verwaltung von sicherheitsrelevanten Informationen und Ereignissen) eines Drittanbieters integrieren.

In diesem Artikel werden die Informationen in den Protokollen und deren Export beschrieben.

Voraussetzungen

Um die angereicherten Protokolle verwenden zu können, benötigen Sie die folgenden Rollen, Konfigurationen und Abonnements:

Rollen und Berechtigungen

• Die Rolle Globaler Administrator ist erforderlich, um die angereicherten Microsoft 365-Protokolle zu aktivieren.
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
• Zum Verwenden des Microsoft-Profils für die Datenverkehrsweiterleitung wird eine Microsoft 365 E3-Lizenz empfohlen.

Konfigurationen

• Microsoft-Profil: Stellen Sie sicher, dass das Microsoft-Profil aktiviert ist. Ein Microsoft-Profil für die Datenverkehrsweiterleitung ist erforderlich, um Datenverkehr zu erfassen, der an Microsoft 365-Dienste gerichtet ist, was für die Protokollanreicherung von grundlegender Bedeutung ist.
• Microsoft 365 Common and Office Online Traffic Policy: Erforderlich für die Protokollanreicherung. Stellen Sie sicher, dass sie aktiviert ist.
• Senden von Daten durch Den Mandanten: Bestätigt, dass Datenverkehr, wie in Weiterleitungsprofilen konfiguriert, exakt in den globalen Dienst für den sicheren Zugriff getunnelt wird.
• Konfiguration von Diagnoseeinstellungen: Richten Sie Microsoft Entra-Diagnoseeinstellungen ein, um die Protokolle an einen bestimmten Endpunkt zu kanalisieren, z. B. einen Log Analytics-Arbeitsbereich. Die Anforderungen für jeden Endpunkt unterscheiden sich und werden im Abschnitt Diagnoseeinstellungen konfigurieren in diesem Artikel beschrieben.

Abonnements

• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
• Microsoft 365 E3-Lizenz: Empfohlen für die Verwendung des Microsoft-Datenverkehrsweiterleitungsprofils

Sie müssen den Endpunkt konfigurieren, für den Sie die Protokolle weiterleiten möchten, bevor Sie Diagnoseeinstellungen konfigurieren. Die Anforderungen für die einzelnen Endpunkte variieren und werden im Abschnitt Konfigurieren von Diagnoseeinstellungen beschrieben.

In den Protokollen enthaltene Informationen

Die angereicherten Microsoft 365-Protokolle enthalten Informationen zu Microsoft 365-Workloads, sodass Sie Netzwerkdiagnosedaten, Leistungsdaten und Sicherheitsereignisse überprüfen können, die für Microsoft 365-Apps relevant sind. Wenn beispielsweise der Zugriff auf Microsoft 365 für eine*n Benutzer*in in Ihrer Organisation blockiert ist, benötigen Sie Einblick in die Verbindung zwischen dem Benutzergerät und Ihrem Netzwerk.

Diese Protokolle bieten Folgendes:

• Kürzere Wartezeit
• Zusätzliche Informationen zu ursprünglichen Protokollen hinzugefügt
• Exakte IP-Adresse

Diese Protokolle sind eine Teilmenge der Protokolle, die in den Microsoft 365-Überwachungsprotokollen verfügbar sind. Die Protokolle werden mit zusätzlichen Informationen angereichert, einschließlich der Geräte-ID, des Betriebssystems und der ursprünglichen IP-Adresse. Angereicherte SharePoint-Protokolle enthalten Informationen zu Dateien, die heruntergeladen, hochgeladen, gelöscht, geändert oder wiederverwendet wurden. Gelöschte oder wiederverwendete Listenelemente sind ebenfalls in den angereicherten Protokollen enthalten.

Anzeigen der Protokolle

Das Anzeigen der angereicherten Microsoft 365-Protokolle ist ein zweistufiger Prozess. Zunächst müssen Sie die Protokollanreicherung über globalen sicheren Zugriff aktivieren. Zweitens müssen Sie Microsoft Entra-Diagnoseeinstellungen konfigurieren, um die Protokolle an einen Endpunkt, z. B. einen Log Analytics-Arbeitsbereich, weiterzuleiten.

Hinweis

Derzeit sind nur SharePoint Online-Protokolle für die Protokollanreicherung verfügbar.

Aktivieren der Protokollanreicherung

So aktivieren Sie die angereicherten Microsoft 365-Protokolle

1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
2. Navigieren Sie zu Globaler sicherer Zugriff>Einstellungen>Protokollierung.
3. Wählen Sie den Typ der Microsoft 365-Protokolle aus, die Sie aktivieren möchten.
4. Wählen Sie Speichern aus.

Die vollständige Integration der angereicherten Protokolle in den Dienst kann bis zu 72 Stunden dauern.

Konfigurieren von Diagnoseeinstellungen

Um die angereicherten Microsoft 365-Protokolle anzuzeigen, müssen Sie die Protokolle exportieren oder an einen Endpunkt streamen, z. B. einen Log Analytics-Arbeitsbereich oder ein SIEM-Tool. Der Endpunkt muss konfiguriert werden, bevor Sie Diagnoseeinstellungen konfigurieren können.

Konfigurieren eines Endpunkts

• Zum Integrieren von Protokollen in Log Analytics benötigen Sie einen Log Analytics-Arbeitsbereich.

  • Erstellen eines Log Analytics-Arbeitsbereichs
  • Integrieren von Protokollen in Log Analytics

• Zum Streamen von Protokollen an ein SIEM-Tool müssen Sie einen Azure Event Hub und einen Event Hub-Namespace erstellen.

  • Einrichten eines Event Hubs-Namespace und eines Event Hub
  • Streamen von Protokollen an einen Event Hub

• Zum Archivieren von Protokollen in einem Speicherkonto benötigen Sie ein Azure-Speicherkonto, für das Sie über Berechtigungen vom Typ ListKeys verfügen.

  • Erstellen Sie ein Azure-Speicherkonto.
  • Archivieren von Protokollen in einem Speicherkonto

Senden von Protokollen an einen Endpunkt

Nachdem Ihr Endpunkt erstellt wurde, können Sie Diagnoseeinstellungen konfigurieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.

3. Wählen Sie Diagnoseeinstellung hinzufügen aus.

4. Benennen Sie die Diagnoseeinstellung.

5. Wählen Sie EnrichedOffice365AuditLogs aus.

6. Wählen Sie in den Zieldetails aus, wohin Sie die Protokolle senden möchten. Wählen Sie eines oder alle der folgenden Ziele. Je nach Auswahl werden mehr Felder angezeigt.

   • An Log Analytics-Arbeitsbereich senden: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
   • In einem Speicherkonto archivieren: Geben Sie in den Feldern für Aufbewahrungstage neben den Protokollkategorien die Anzahl der Tage an, die die Daten aufbewahrt werden sollen. Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
   • An einen Event Hub streamen: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
   • An eine Partnerlösung streamen: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.

Im folgenden Beispiel werden die angereicherten Protokolle an einen Log Analytics-Arbeitsbereich gesendet. Dafür müssen Sie das Abonnement und den Log Analytics-Arbeitsbereich in den angezeigten Menüs auswählen.

Nächste Schritte

• Erkunden der Protokoll- und Überwachungsoptionen für globalen sicheren Zugriff
• Informationen zu Überwachungsprotokollen für globalen sicheren Zugriff (Vorschau)
• Angereicherte Microsoft 365-Überwachungsprotokolle