Condividi tramite


Che cosa sono i log di integrità della rete remota?

Le reti remote, ad esempio una succursale, si basano su attrezzature locali del cliente (CPE) per connettere gli utenti in tali località alle risorse e ai servizi online necessari. Gli utenti si aspettano che le attrezzature CPE funzionino in modo che possano svolgere il proprio lavoro. Per mantenere tutti connessi, è necessario garantire l'integrità del tunnel IPSec e dell'annuncio della route BGP (Border Gateway Protocol). Queste informazioni sul tunnel e sul routing a esecuzione prolungata sono le chiavi per garantire l'integrità della rete remota.

Questo articolo descrive diversi metodi per accedere e analizzare i log di integrità della rete remota.

  • Accedere ai log nell'interfaccia di amministrazione di Microsoft Entra o nell'API Microsoft Graph
  • Esportare i log in Log Analytics o in uno strumento SIEM (Security Information and Events Management)
  • Analizzare i log usando una cartella di lavoro di Azure per Microsoft Entra
  • Scaricare i log per l'archiviazione a lungo termine

Prerequisiti

Per visualizzare i log di integrità della rete remota nell'interfaccia di amministrazione di Microsoft Entra, è necessario:

Visualizzare i log

Per visualizzare i log di integrità della rete remota, è possibile usare l'Interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.

Per visualizzare i log di integrità della rete remota nell'Interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'Accesso globale sicuro.

  2. Passare a Global Secure Access>Monitor>Remote network health logs (Log di integrità della rete remota).

    Screenshot dei log di integrità della rete remota.

Configurare le impostazioni diagnostiche per esportare i log

L'integrazione dei log con uno strumento SIEM come Log Analytics viene configurata tramite le impostazioni di diagnostica in Microsoft Entra ID. Questo processo è descritto in dettaglio nell'articolo Configurare le impostazioni di diagnostica di Microsoft Entra per i log attività.

Per configurare le impostazioni di diagnostica è necessario:

I passaggi di base per configurare le impostazioni di diagnostica sono i seguenti:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

  2. Passare a Identità> Monitoraggio e stato>Impostazioni di diagnostica .

  3. Tutte le impostazioni di diagnostica esistenti vengono visualizzate nella tabella. Selezionare Modifica impostazioni se è disponibile un'impostazione esistente o selezionare Aggiungi impostazione di diagnostica per creare una nuova impostazione.

  4. Specificare un nome.

  5. Selezionare ( RemoteNetworkHealthLogs e tutti gli altri log) da includere.

    Screenshot della pagina delle impostazioni di diagnostica di Microsoft Entra.

  6. Selezionare le destinazioni a cui inviare i log.

  7. Selezionare la sottoscrizione e la destinazione dai menu a discesa visualizzati.

  8. Selezionare il pulsante Salva.

Nota

Potrebbero essere necessari fino a tre giorni prima che i log inizino a essere visualizzati nella destinazione.

Dopo aver indirizzato i log a Log Analytics, è possibile sfruttare le funzionalità seguenti:

  • Creare regole di avviso per ricevere una notifica per elementi come un errore del tunnel BGP.
  • Visualizzare i dati con una cartella di lavoro di Azure per Microsoft Entra (illustrata nella sezione successiva).
  • Integrare i log con Microsoft Sentinel per l'analisi della sicurezza e l'intelligence sulle minacce.

Analizzare i log con una cartella di lavoro

Cartelle di lavoro di Azure per Microsoft Entra forniscono una rappresentazione visiva dei dati. Dopo aver configurato un'area di lavoro Log Analytics e le impostazioni di diagnostica per integrare i log con Log Analytics, è possibile usare una cartella di lavoro per analizzare i dati tramite questi potenti strumenti.

Vedere queste risorse utili per le cartelle di lavoro:

Download dei log

Un pulsante Download è disponibile in tutti i log, sia in Global Secure Access che in Microsoft Entra Monitoring and health( Monitoraggio e integrità di Microsoft Entra). È possibile scaricare i log come file JSON o CSV. Per altre informazioni, vedere Come scaricare i log.

Per limitare i risultati restituiti dei log, selezionare Aggiungi filtro. È possibile impostare i filtri in base a:

  • Descrizione
  • ID rete remota
  • IP di origine
  • IP destinazione
  • Conteggio delle route BGP annunciate

Nella tabella seguente vengono descritti ognuno dei campi presenti nei log di integrità della rete remota.

Nome Descrizione
Data/ora di creazione Ora della generazione di eventi originali
Indirizzo IP di origine Indirizzo IP dell'attrezzatura CPE.
La coppia di indirizzi IP di origine/destinazione è univoca per ogni tunnel IPsec.
Indirizzo IP di destinazione Indirizzo IP del gateway Microsoft Entra.
La coppia di indirizzi IP di origine/destinazione è univoca per ogni tunnel IPsec.
Status Tunnel connesso: questo evento viene generato quando viene stabilito correttamente un tunnel IPsec.
Tunnel disconnesso: questo evento viene generato quando viene disconnesso un tunnel IPsec.
BGP connesso: questo evento viene generato quando viene stabilita correttamente una connettività BGP.
BGP disconnesso: questo evento viene generato quando una connettività BGP diventa inattiva.
Rete remota attiva: questa statistica periodica viene generata ogni 15 minuti per tutti i tunnel attivi.
Descrizione Descrizione facoltativa dell'evento.
Conteggio delle route BGP annunciate Conteggio facoltativo delle route BGP annunciate mediante il tunnel IPsec.
Questo valore è 0 per gli eventi disconnessi tunnel, tunnel disconnessi, BGP connessi e BGP disconnessi.
Byte inviati Numero facoltativo di byte inviati dall'origine alla destinazione su un tunnel negli ultimi 15 minuti.
Questo valore è 0 per gli eventi disconnessi tunnel, tunnel disconnessi, BGP connessi e BGP disconnessi.
Byte ricevuti Numero facoltativo di byte ricevuti dall'origine dalla destinazione su un tunnel negli ultimi 15 minuti.
Questo valore è 0 per gli eventi disconnessi tunnel, tunnel disconnessi, BGP connessi e BGP disconnessi.
ID rete remota ID della rete remota a cui è associato il tunnel.

Passaggi successivi