Udostępnij za pośrednictwem


Jak używać dzienników platformy Microsoft 365 wzbogaconego o globalny bezpieczny dostęp

Dzięki ruchowi firmy Microsoft przepływającemu przez prywatną usługę Internet Firmy Microsoft Entra chcesz uzyskać wgląd w wydajność, środowisko i dostępność aplikacji platformy Microsoft 365 używanych przez organizację. Wzbogacone dzienniki platformy Microsoft 365 zawierają informacje potrzebne do uzyskania tych szczegółowych informacji. Dzienniki można zintegrować z narzędziem do zarządzania informacjami i zdarzeniami zabezpieczeń innych firm (SIEM) w celu dalszej analizy.

W tym artykule opisano informacje w dziennikach i sposób ich eksportowania.

Wymagania wstępne

Aby korzystać z wzbogaconych dzienników, potrzebne są następujące role, konfiguracje i subskrypcje:

Role i uprawnienia

  • Aby włączyć wzbogacone dzienniki platformy Microsoft 365, wymagana jest rola administratora globalnego.

Konfiguracje

  • Profil firmy Microsoft — upewnij się, że profil ruchu firmy Microsoft jest włączony. Profil przekazywania ruchu firmy Microsoft jest wymagany do przechwytywania ruchu kierowanego do usług Platformy Microsoft 365, co jest podstawą wzbogacania dzienników.
  • Typowe zasady ruchu usługi Microsoft 365 i Office Online — wymagane do wzbogacania dzienników. Upewnij się, że jest włączona.
  • Dzierżawca wysyłający dane — potwierdza, że ruch, zgodnie z konfiguracją w profilach przesyłania dalej, jest dokładnie tunelowany do globalnej usługi bezpiecznego dostępu.
  • Konfiguracja ustawień diagnostycznych — skonfiguruj ustawienia diagnostyczne firmy Microsoft Entra, aby skierować dzienniki do wyznaczonego punktu końcowego, takiego jak obszar roboczy usługi Log Analytics. Wymagania dotyczące poszczególnych punktów końcowych różnią się i opisano w sekcji Konfigurowanie ustawień diagnostycznych w tym artykule.

Subskrypcje

Należy skonfigurować punkt końcowy, dla którego chcesz kierować dzienniki przed skonfigurowaniem ustawień diagnostycznych. Wymagania dotyczące poszczególnych punktów końcowych różnią się i są opisane w sekcji Konfigurowanie ustawień diagnostycznych.

Jakie dzienniki udostępniają

Wzbogacone dzienniki platformy Microsoft 365 zawierają informacje o obciążeniach platformy Microsoft 365, dzięki czemu można przeglądać dane diagnostyczne sieci, dane wydajności i zdarzenia zabezpieczeń związane z aplikacjami platformy Microsoft 365. Jeśli na przykład dostęp do platformy Microsoft 365 zostanie zablokowany dla użytkownika w organizacji, musisz mieć wgląd w sposób łączenia urządzenia użytkownika z siecią.

Te dzienniki zapewniają:

  • Ulepszone opóźnienie
  • Dodatkowe informacje dodane do oryginalnych dzienników
  • Dokładny adres IP

Te dzienniki są podzbiorem dzienników dostępnych w dziennikach inspekcji platformy Microsoft 365. Dzienniki są wzbogacone o więcej informacji, w tym identyfikator urządzenia, system operacyjny i oryginalny adres IP. Wzbogacone dzienniki programu SharePoint zawierają informacje o plikach, które zostały pobrane, przekazane, usunięte, zmodyfikowane lub poddane recyklingu. Usunięte lub poddane recyklingu elementy listy są również uwzględniane w wzbogaconych dziennikach.

Jak wyświetlić dzienniki

Wyświetlanie wzbogaconych dzienników platformy Microsoft 365 jest procesem dwuetapowym. Najpierw należy włączyć wzbogacanie dziennika z poziomu globalnego bezpiecznego dostępu. Po drugie należy skonfigurować ustawienia diagnostyczne firmy Microsoft Entra w celu kierowania dzienników do punktu końcowego, takiego jak obszar roboczy usługi Log Analytics.

Uwaga

Obecnie tylko dzienniki usługi SharePoint Online są dostępne do wzbogacania dzienników.

Włączanie wzbogacania dzienników

Aby włączyć wzbogacone dzienniki platformy Microsoft 365:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
  2. Przejdź do pozycji Globalne rejestrowanie ustawień>bezpiecznego dostępu.>
  3. Wybierz typ dzienników platformy Microsoft 365, które chcesz włączyć.
  4. Wybierz pozycję Zapisz.

Pełne zintegrowanie wzbogaconych dzienników z usługą może potrwać do 72 godzin.

Konfigurowanie ustawień diagnostycznych

Aby wyświetlić wzbogacone dzienniki platformy Microsoft 365, należy wyeksportować lub przesłać strumieniowo dzienniki do punktu końcowego, takiego jak obszar roboczy usługi Log Analytics lub narzędzie SIEM. Punkt końcowy należy skonfigurować przed skonfigurowaniem ustawień diagnostycznych.

Konfigurowanie punktu końcowego

Wysyłanie dzienników do punktu końcowego

Po utworzeniu punktu końcowego można skonfigurować ustawienia diagnostyczne.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>

  3. Wybierz pozycję Dodaj ustawienie diagnostyczne.

  4. Nadaj ustawieniu diagnostycznemu nazwę.

  5. Wybierz opcję EnrichedOffice365AuditLogs.

  6. Wybierz szczegóły lokalizacji docelowej, w której chcesz wysłać dzienniki. Wybierz dowolne lub wszystkie poniższe miejsca docelowe. W zależności od wybranego obszaru pojawi się więcej pól.

    • Wyślij do obszaru roboczego usługi Log Analytics: wybierz odpowiednie szczegóły z wyświetlonych menu.
    • Archiwizowanie na koncie magazynu: podaj liczbę dni, w których chcesz przechowywać dane w polach Dni przechowywania, które są wyświetlane obok kategorii dzienników. Wybierz odpowiednie szczegóły z wyświetlonych menu.
    • Przesyłanie strumieniowe do centrum zdarzeń: wybierz odpowiednie szczegóły z wyświetlonych menu.
    • Wyślij do rozwiązania partnerskiego: wybierz odpowiednie szczegóły z wyświetlonych menu.

Poniższy przykład polega na wysyłaniu wzbogaconych dzienników do obszaru roboczego usługi Log Analytics, który wymaga wybrania obszaru roboczego Subskrypcja i Log Analytics z wyświetlonych menu.

Zrzut ekranu przedstawiający ustawienia diagnostyczne firmy Microsoft Entra z wyróżnionymi wzbogaconymi dziennikami i opcjami usługi Log Analytics.

Następne kroki