Comment utiliser des journaux de trafic de l’Accès global sécurisé (préversion)
Le monitoring du trafic pour l’Accès global sécurisé est une activité importante pour veiller à ce que votre tenant soit configuré correctement et que vos utilisateurs bénéficient de la meilleure expérience possible. Les journaux du trafic de l’Accès global sécurisé (préversion) fournissent un aperçu sur les personnes qui accèdent aux ressources, l’endroit à partir duquel elles y accèdent et l’action qui a eu lieu.
Cet article explique comment utiliser les journaux du trafic pour Global Secure Access.
Prérequis
- Un rôle Administrateur Accès global sécurisé dans Microsoft Entra ID.
- Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’évaluation gratuite.
Fonctionnement des journaux du trafic
Les journaux Global Secure Access fournissent des informations sur votre trafic réseau. Pour mieux comprendre ces informations et la façon dont vous pouvez les analyser pour surveiller votre environnement, il est utile d’examiner les trois niveaux des journaux et leur relation entre eux.
Un utilisateur qui accède à un site web représente une session et, au sein de cette session, il peut exister plusieurs connexions et, au sein de cette connexion, il peut y avoir plusieurs transactions.
- Session : une session est identifiée par la première URL à laquelle un utilisateur accède. Cette session peut alors ouvrir de nombreuses connexions, par exemple, un site d’actualités qui contient plusieurs annonces publicitaires provenant de plusieurs sites différents.
- Connexion : une connexion inclut l’adresse IP source et de destination, le port source et de destination, ainsi que le nom de domaine complet (FQDN). Les composants de connexion comprennent les 5 tuples.
- Transaction : une transaction est une paire de requête et de réponse unique.
Au sein de chaque instance de journal, vous pouvez voir l’ID de connexion et l’ID de transaction dans les détails. En tirant parti de filtres, vous pouvez examiner toutes les connexions et transactions pour une session unique.
Affichage des journaux du trafic
- Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
- Accès global sécurisé (préversion)>Monitorer>Journaux du trafic.
Le haut de la page affiche un résumé de toutes les transactions ainsi qu’une répartition pour chaque type de trafic. Sélectionnez les boutons Microsoft 365 ou Accès privé afin de filtrer les journaux pour chaque type de trafic.
Remarque
Les informations d’ID de session ne sont pas disponibles dans les détails du journal pour le moment.
Afficher les informations du journal
Sélectionnez n’importe quel journal de la liste pour afficher les détails. Ces détails fournissent des informations importantes pouvant être utilisées pour filtrer des éléments spécifiques des journaux ou pour résoudre un scénario. Les informations peuvent être ajoutées sous forme de colonne et utilisées pour filtrer les journaux.
Options de filtre et de colonne
Les journaux de trafic pouvant fournir de nombreuses informations, seules quelques colonnes sont visibles pour démarrer. Activez et désactivez les colonnes en fonction des tâches d’analyse ou de résolution des problèmes que vous effectuez, car l’affichage des journaux d’activité peut être difficile si un nombre trop important de colonnes est sélectionné. Les options de colonne et de filtre s’alignent sur chaque élément dans les détails de l’activité.
Sélectionnez Colonnes en haut de la page pour modifier les colonnes affichées.
Pour filtrer les journaux du trafic sur un détail spécifique, sélectionnez le bouton Ajouter un filtre, puis entrez l’information par laquelle vous souhaitez filtrer.
Par exemple, si vous souhaitez examiner tous les journaux d’une connexion spécifique :
Sélectionnez le détail du journal et copiez le dans
connectionId
à partir des informations de l’activité.Sélectionnez Ajouter un filtre, puis choisissez ID de connexion.
Dans le champ qui s’affiche, collez
connectionId
, puis sélectionnez Appliquer.
Scénarios de résolution des problèmes
Les informations suivantes peuvent être utiles pour l’analyse et la résolution des problèmes :
- Si la taille du trafic envoyé et reçu vous intéresse, activez les colonnes Octets envoyés et Octets reçus. Sélectionnez l’en-tête de colonne pour trier les journaux en fonction de la taille des journaux.
- Si vous passez en revue l’activité réseau d’un utilisateur à risque, vous pouvez filtrer les résultats par nom d’utilisateur principal, puis examiner les sites auxquels il accède.
- Pour rechercher le trafic vers les types de sites web que vous souhaitez bloquer ou autoriser, activez la colonne Catégorie Web.
Les détails du journal fournissent des informations importantes sur votre trafic réseau. Les détails ne sont pas tous définis dans la liste ci-dessous, mais les informations suivantes sont utiles pour l’analyse et la résolution des problèmes :
- ID de transaction : identificateur unique représentant la paire demande/réponse.
- ID de connexion : identificateur unique représentant la connexion à l’origine du journal.
- Catégorie d’appareil : type d’appareil à partir duquel la transaction a démarré. Client ou réseau distant.
- Action : mesure prise sur la session réseau. Autorisé ou Refusé.
Configurer des paramètres de diagnostic pour exporter des journaux
Vous pouvez exporter les journaux du trafic de l’Accès global sécurisé (préversion) vers un point de terminaison à des fins d’alerte et d’analyse plus approfondies. Cette intégration est configurée dans les paramètres de diagnostic Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
Sélectionnez Ajouter un paramètre de diagnostic.
Donnez un nom à votre paramètre de diagnostic.
Sélectionnez
NetworkAccessTrafficLogs
.Sélectionnez les détails de destination pour l’endroit où vous souhaitez envoyer les journaux. Choisissez l’une ou l’autre des destinations suivantes. Des champs supplémentaires s’affichent, en fonction de votre sélection.
- Envoyer à l’espace de travail Log Analytics : Sélectionnez les détails appropriés dans les menus qui s’affichent.
- Archivez dans un compte de stockage : Indiquez le nombre de jours pendant lesquels vous souhaitez conserver les données dans les zones Jours de rétention qui s’affichent en regard des catégories de journaux. Sélectionnez les détails appropriés dans les menus qui s’affichent.
- Diffuser vers un hub d’événements : Sélectionnez les détails appropriés dans les menus qui s’affichent.
- Envoyer à la solution partenaire : Sélectionnez les détails appropriés dans les menus qui s’affichent.