Jak używać dzienników ruchu globalnego bezpiecznego dostępu (wersja zapoznawcza)

Monitorowanie ruchu dla globalnego bezpiecznego dostępu jest ważnym działaniem zapewniającym, że dzierżawa jest poprawnie skonfigurowana i że użytkownicy uzyskują najlepsze możliwe środowisko. Dzienniki ruchu globalnego bezpiecznego dostępu (wersja zapoznawcza) zapewniają wgląd w to, kto uzyskuje dostęp do zasobów, skąd uzyskują dostęp, oraz jakie działania miały miejsce.

W tym artykule opisano sposób używania dzienników ruchu do globalnego bezpiecznego dostępu.

Wymagania wstępne

• Rola administratora globalnego bezpiecznego dostępu w usłudze Microsoft Entra ID.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Jak działają dzienniki ruchu

Dzienniki globalnego bezpiecznego dostępu zawierają szczegółowe informacje o ruchu sieciowym. Aby lepiej zrozumieć te szczegóły i sposób analizowania tych szczegółów w celu monitorowania środowiska, warto przyjrzeć się trzem poziomom dzienników i ich relacji ze sobą.

Użytkownik, który uzyskuje dostęp do witryny internetowej, reprezentuje jedną sesję, a w ramach tej sesji może istnieć wiele połączeń, a w ramach tego połączenia może istnieć wiele transakcji.

• Sesja: sesja jest identyfikowana przez pierwszy adres URL, do których uzyskuje dostęp użytkownik. Sesja ta może następnie otworzyć wiele połączeń, na przykład witrynę wiadomości zawierającą wiele reklam z kilku różnych witryn.
• Połączenie: Połączenie obejmuje źródłowy i docelowy adres IP, port źródłowy i docelowy oraz w pełni kwalifikowaną nazwę domeny (FQDN). Składniki połączenia składają się z 5 krotki.
• Transakcja: transakcja jest unikatową parą żądań i odpowiedzi.

W każdym wystąpieniu dziennika można zobaczyć identyfikator połączenia i identyfikator transakcji w szczegółach. Korzystając z filtrów, można przeglądać wszystkie połączenia i transakcje dla jednej sesji.

Jak wyświetlić dzienniki ruchu

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Dzienniki ruchu globalnego monitora>bezpiecznego dostępu>.

W górnej części strony wyświetlane jest podsumowanie wszystkich transakcji, a także podział dla każdego typu ruchu. Wybierz przyciski Microsoft 365 lub Prywatny dostęp, aby filtrować dzienniki do każdego typu ruchu.

Uwaga

W tej chwili informacje o identyfikatorze sesji nie są dostępne w szczegółach dziennika.

Wyświetlanie szczegółów dziennika

Wybierz dowolny dziennik z listy, aby wyświetlić szczegóły. Te szczegóły zawierają cenne informacje, które mogą służyć do filtrowania dzienników pod kątem konkretnych szczegółów lub rozwiązywania problemów ze scenariuszem. Szczegóły można dodać jako kolumnę i użyć do filtrowania dzienników.

Opcje filtru i kolumny

Dzienniki ruchu mogą zawierać wiele szczegółów, więc aby uruchomić tylko niektóre kolumny, są widoczne. Włącz i wyłącz kolumny na podstawie wykonywanych zadań analizy lub rozwiązywania problemów, ponieważ dzienniki mogą być trudne do wyświetlenia z wybraną zbyt wieloma kolumnami. Opcje kolumny i filtru są zgodne z poszczególnymi elementami w szczegółach działania.

Wybierz pozycję Kolumny w górnej części strony, aby zmienić wyświetlane kolumny.

Aby filtrować dzienniki ruchu do określonych szczegółów, wybierz przycisk Dodaj filtr , a następnie wprowadź szczegóły, według których chcesz filtrować.

Jeśli na przykład chcesz przejrzeć wszystkie dzienniki z określonego połączenia:

1. Wybierz szczegóły dziennika i skopiuj element connectionId ze szczegółów działania.

2. Wybierz pozycję Dodaj filtr i wybierz pozycję Identyfikator połączenia.

3. W wyświetlonym polu wklej i connectionId wybierz pozycję Zastosuj.

   

Scenariusze rozwiązywania problemów

Poniższe szczegóły mogą być przydatne podczas rozwiązywania problemów i analizy:

• Jeśli interesuje Cię rozmiar wysyłanego i odbieranego ruchu, włącz kolumny Wysłane bajty i Odebrane bajty . Wybierz nagłówek kolumny, aby posortować dzienniki według rozmiaru dzienników.
• Jeśli przeglądasz aktywność sieciową dla ryzykownego użytkownika, możesz filtrować wyniki według głównej nazwy użytkownika, a następnie przejrzeć witryny, do których uzyskują dostęp.
• Aby wyszukać ruch do typów witryn internetowych, które chcesz zablokować lub zezwolić, włącz kolumnę Kategoria sieci Web.

Szczegóły dziennika zawierają cenne informacje o ruchu sieciowym. Nie wszystkie szczegóły są zdefiniowane na poniższej liście, ale następujące szczegóły są przydatne do rozwiązywania problemów i analizy:

• Identyfikator transakcji: unikatowy identyfikator reprezentujący parę żądań/odpowiedzi.
• Identyfikator połączenia: unikatowy identyfikator reprezentujący połączenie, które zainicjowało dziennik.
• Kategoria urządzenia: typ urządzenia, z którego zainicjowano transakcję. Klient lub sieć zdalna.
• Akcja: akcja podjęta w sesji sieciowej. Dozwolone lub odrzucone.

Konfigurowanie ustawień diagnostycznych w celu eksportowania dzienników

Dzienniki ruchu globalnego bezpiecznego dostępu (wersja zapoznawcza) można wyeksportować do punktu końcowego w celu dalszej analizy i zgłaszania alertów. Ta integracja jest skonfigurowana w ustawieniach diagnostycznych firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>

3. Wybierz pozycję Dodaj ustawienie diagnostyczne.

4. Nadaj ustawieniu diagnostycznemu nazwę.

5. Wybierz opcję NetworkAccessTrafficLogs.

6. Wybierz szczegóły lokalizacji docelowej, w której chcesz wysłać dzienniki. Wybierz dowolne lub wszystkie poniższe miejsca docelowe. Dodatkowe pola są wyświetlane w zależności od wybranego obszaru.

   • Wyślij do obszaru roboczego usługi Log Analytics: wybierz odpowiednie szczegóły z wyświetlonych menu.
   • Archiwizowanie na koncie magazynu: podaj liczbę dni, w których chcesz przechowywać dane w polach Dni przechowywania, które są wyświetlane obok kategorii dzienników. Wybierz odpowiednie szczegóły z wyświetlonych menu.
   • Przesyłanie strumieniowe do centrum zdarzeń: wybierz odpowiednie szczegóły z wyświetlonych menu.
   • Wyślij do rozwiązania partnerskiego: wybierz odpowiednie szczegóły z wyświetlonych menu.

Następne kroki

• Dowiedz się więcej o pulpicie nawigacyjnym ruchu
• Wyświetlanie dzienników inspekcji na potrzeby globalnego bezpiecznego dostępu
• Wyświetlanie wzbogaconych dzienników platformy Microsoft 365