Come usare i log di Microsoft 365 arricchiti di Accesso sicuro globale
Con il flusso del traffico Microsoft attraverso il servizio Internet privato Microsoft Entra, si vogliono ottenere informazioni dettagliate sulle prestazioni, l'esperienza e la disponibilità delle app di Microsoft 365 usate dall'organizzazione. I log arricchiti di Microsoft 365 contengono i dettagli necessari per ottenere queste informazioni. I log si possono integrare con uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) di terzi per ulteriori analisi.
Questo articolo descrive le informazioni contenute nei log e spiega come esportarle.
Prerequisiti
Per utilizzare i log arricchiti sono necessari i seguenti ruoli, configurazioni e abbonamenti:
Ruoli e Autorizzazioni
- È necessario un ruolo di Amministratore globale per abilitare i log di Microsoft 365 arricchiti.
Configurazioni
- Profilo Microsoft: assicurarsi che il profilo del traffico Microsoft sia abilitato. Il profilo di inoltro del traffico Microsoft è necessario per acquisire il traffico indirizzato ai servizi di Microsoft 365, fondamentale per l'arricchimento dei log.
- Policy per il traffico di Microsoft 365 Common e Office Online - Necessaria per l'arricchimento del log. Verificare che sia abilitata.
- Invio dei dati da parte del tenant - Conferma che il traffico, come configurato nei profili di inoltro, viene accuratamente trasferito al servizio Global Secure Access.
- Configurazione delle impostazioni di diagnostica - Configurare le impostazioni di diagnostica di Microsoft Entra per inoltrare i log a un endpoint designato, come un'area di lavoro Log Analytics. I requisiti di ciascun endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica di questo articolo.
Sottoscrizioni
- Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
È necessario configurare l'endpoint per il percorso in cui inviare i log, prima di configurare le impostazioni di diagnostica. I requisiti di ciascun endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica.
Cosa forniscono i log
I log arricchiti di Microsoft 365 forniscono informazioni sui carichi di lavoro di Microsoft 365, per poter esaminare i dati diagnostici della rete, i dati sulle prestazioni e gli eventi di sicurezza relativi alle app di Microsoft 365. Ad esempio, se l'accesso a Microsoft 365 è bloccato per un utente dell'organizzazione, è necessario vedere in che modo il dispositivo dell'utente si connette alla rete.
Questi log forniscono:
- Latenza migliorata
- Ulteriori informazioni, oltre a quelle dei log originali
- Indirizzo IP accurato
Questi log costituiscono un sottoinsieme di quelle disponibili nei log di controllo di Microsoft 365. I log sono arricchiti con informazioni aggiuntive tra cui l'ID del dispositivo, il sistema operativo e l'indirizzo IP originale. I log arricchiti di SharePoint forniscono informazioni sui file che sono stati scaricati, caricati, eliminati, modificati o riciclati. Anche le voci degli elenchi eliminate o riciclate sono incluse nei log arricchiti.
Come visualizzare i log
Il processo di visualizzazione dei log arricchiti di Microsoft 365 avviene in due fasi. Innanzitutto è necessario abilitare l'arricchimento del log da Global Secure Access. Occorre quindi configurare le impostazioni di diagnostica di Microsoft Entra per inviare i log a un endpoint, ad esempio un'area di lavoro Log Analytics.
Nota
Al momento solo i log di SharePoint Online sono disponibili per l'arricchimento.
Abilitare l'arricchimento dei log
Per abilitare i log arricchiti di Microsoft 365:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore Globale.
- Passare a Registrazione delle impostazioni> di accesso>sicuro globale.
- Selezionare il tipo di log di Microsoft 365 da abilitare.
- Seleziona Salva.
I log arricchiti richiedono fino a 72 ore per integrarsi completamente con il servizio.
Configurazione delle impostazioni di diagnostica
Per visualizzare i log di Microsoft 365 arricchiti, è necessario esportarli o trasmetterli a un endpoint, ad esempio un'area di lavoro Log Analytics o uno strumento SIEM. Per configurare le impostazioni di diagnostica, l'endpoint deve essere configurato.
Configurare un endpoint
Per integrare i log con Log Analytics è necessaria un'area di lavoro Log Analytics.
Per trasmettere i log a uno strumento SIEM occorre creare un hub eventi di Azure e uno spazio dei nomi dell'hub degli eventi.
Per archiviare i log in un account di archiviazione è necessario avere un account di archiviazione di Azure e le relative autorizzazioni
ListKeys.
Inviare i log a un endpoint
Una volta creato l'endpoint è possibile configurare le impostazioni di diagnostica.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
Passare a Identità> Monitoraggio e stato>Impostazioni di diagnostica .
Selezionare Aggiungi impostazione di diagnostica.
Assegnare un nome all'impostazione della diagnostica.
Selezionare
EnrichedOffice365AuditLogs.Selezionare i Dettagli della destinazione alla quale inviare i log. Scegliere una delle destinazioni successive o tutte. Vengono visualizzati altri campi, a seconda della selezione.
- Invia all'area di lavoro Log Analytics: selezionare i dettagli opportuni nei menu visualizzati.
- Archivia su un account di archiviazione: indicare il numero di giorni per i quali i dati devono essere conservati, indicandoli nelle caselle Giorni di conservazione accanto alle categorie dei log. Selezionare i dettagli opportuni nei menu visualizzati.
- Trasmettere a un hub degli eventi: selezionare i dettagli opportuni nei menu visualizzati.
- Invia a soluzione partner: selezionare i dettagli opportuni nei menu visualizzati.
Nell'esempio che segue si inviano i log arricchiti a un'area di lavoro Log Analytics; è necessario selezionare l'abbonamento e l'area di lavoro Log Analytics dai menu visualizzati.
