O que são os logs de integridade de rede remota?

As redes remotas, como uma filial, dependem do CPE (equipamento local do cliente) para conectar os usuários nesses locais aos recursos e serviços online necessários. Os usuários esperam que o CPE funcione para que possam realizar o trabalho. Para manter todos conectados, é necessário garantir a integridade do túnel IPSec e do anúncio de rota BGP (Border Gateway Protocol). Essas informações de roteamento e túnel de execução prolongada são as chaves para a integridade da rede remota.

Este artigo descreve vários métodos para acessar e analisar os logs de integridade de rede remota.

• Acessar logs no centro de administração do Microsoft Entra ou na API do Microsoft Graph
• Exportar logs para o Log Analytics ou uma ferramenta SIEM (Gerenciamento de Informações e Eventos de Segurança)
• Analisar logs usando uma Pasta de Trabalho do Azure para Microsoft Entra
• Baixar logs para armazenamento de longo prazo

Pré-requisitos

Para exibir os logs de integridade de rede remota no centro de administração do Microsoft Entra, você precisa:

• Uma das seguintes funções: Administrador de Acesso Global Seguro ou Administrador de Segurança.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.
• São necessárias funções separadas para acessar os logs com a API do Microsoft Graph e integrar com o Log Analytics e Pastas de Trabalho do Azure.

Exibir os logs

Para exibir os Logs de integridade de rede remota, você pode usar o centro de administração do Microsoft Entra ou a API do Microsoft Graph.

Centro de administração do Microsoft Entra

Para exibir os logs de integridade de rede remota no centro de administração do Microsoft Entra:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Global Seguro.

2. Navegue até Acesso Global Seguro>Monitoramento>Logs de integridade de rede remota.

   

API do Microsoft Graph

Os logs de integridade de rede remota do Acesso Seguro Global podem ser exibidos e gerenciados usando o Microsoft Graph no ponto de extremidade /beta.

Você precisa de uma das seguintes permissões para acessar os logs com a API do Microsoft Graph:

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Para acessar logs de integridade de rede remota com a API do Microsoft Graph:

1. Entre no Gerenciador de gráficos.
2. Selecione GET como o método HTTP.
3. Selecione BETA como a versão da API.
4. Execute a seguinte consulta:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Resposta (truncada):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Definir as configurações de diagnóstico para gerar logs de auditoria

A integração de logs com uma ferramenta SIEM, como o Log Analytics, é configurada por meio de configurações de diagnóstico no Microsoft Entra ID. Esse processo é abordado em detalhes no artigo Definir configurações de diagnóstico do Microsoft Entra para logs de atividades.

Para definir configurações de diagnóstico, você precisa do seguinte:

• Acesso do Administrador de Segurança.
• Um workspace do Log Analytics.

As etapas básicas para definir as configurações de diagnóstico são as seguintes:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.

3. Todas as configurações de diagnóstico existentes aparecem na tabela. Selecione editar configurações para alterar uma configuração existente ou Adicionar configuração de diagnóstico para criar uma nova configuração.

4. Forneça um nome.

5. Selecione o RemoteNetworkHealthLogs (e quaisquer outros logs) que você deseja incluir.

   

6. Selecione os destinos para os quais você quer enviar os logs.

7. Selecione a assinatura e o destino nos menus suspensos que aparecem.

8. Selecione o botão Salvar.

Observação

Pode levar até três dias para que os logs comecem a aparecer no destino.

Depois que seus logs forem roteados para o Log Analytics, você poderá usufruir dos seguintes recursos:

• Crie regras de alerta para ser notificado sobre itens como uma falha de túnel BGP.
  • Para obter mais informações, consulte Criar uma regra de alerta.
• Visualize os dados com uma Pasta de Trabalho do Azure para Microsoft Entra (abordada na próxima seção).
• Integre logs ao Microsoft Sentinel para análise de segurança e inteligência contra ameaças.
  • Para obter mais informações, siga o Início Rápido da Integração do Microsoft Sentinel.

Analisar logs com uma Pasta de Trabalho

Pastas de Trabalho do Azure para Microsoft Entra fornecem uma representação visual de seus dados. Depois de definir um workspace do Log Analytics e as configurações de diagnóstico para integrar seus logs ao Log Analytics, você poderá usar uma Pasta de Trabalho para analisar os dados por meio dessas ferramentas poderosas.

Confira estes recursos úteis para pastas de trabalho:

• Criar uma pasta de trabalho do Azure
• Como usar Pastas de Trabalho de Identidade
• Criar um alerta de pasta de trabalho

Baixar logs

Um botão Baixar está disponível em todos os logs, tanto no Acesso Global Seguro quanto no Monitoramento e integridade do Microsoft Entra. Você pode baixar os logs como um arquivo JSON ou CSV. Para obter mais informações, confira Como baixar os logs.

Para restringir os resultados dos logs, selecione Adicionar filtro. Você pode filtrar por:

• Descrição
• ID de rede remota
• IP de origem
• IP de destino
• Contagem de rotas BGP anunciadas

A tabela a seguir descreve cada um dos campos nos logs de integridade de rede remota.

Nome	Descrição
Data e hora de criação	Hora da geração de eventos originais
Endereço IP de Origem	O endereço IP do CPE. O par de endereços IP de origem/IP de destino é exclusivo para cada túnel IPsec.
Endereço IP de Destino	O endereço IP do gateway do Microsoft Entra. O par de endereços IP de origem/IP de destino é exclusivo para cada túnel IPsec.
Status	Túnel conectado: esse evento é gerado quando um túnel IPsec é estabelecido com sucesso. Túnel desconectado: esse evento é gerado quando um túnel IPsec é desconectado. BGP conectado: esse evento é gerado quando uma conectividade BGP é estabelecida com sucesso. BGP desconectado: esse evento é gerado quando uma conectividade BGP fica inoperante. Rede remota ativa: essa estatística periódica é gerada a cada 15 minutos para todos os túneis ativos.
Descrição	Descrição opcional do evento.
Contagem de rotas BGP anunciadas	Contagem opcional de rotas BGP anunciadas pelo túnel IPsec. Esse valor é 0 para eventos de túnel conectado, túnel desconectado, BGP conectado e BGP desconectado.
Bytes enviados	Número opcional de bytes enviados da origem para o destino em um túnel nos últimos 15 minutos. Esse valor é 0 para eventos de túnel conectado, túnel desconectado, BGP conectado e BGP desconectado.
Bytes recebidos	Número opcional de bytes enviados para a origem pelo destino em um túnel nos últimos 15 minutos. Esse valor é 0 para eventos de túnel conectado, túnel desconectado, BGP conectado e BGP desconectado.
ID de rede remota	ID da rede remota à qual o túnel está associado.

Próximas etapas

• Habilitar logs enriquecidos do Microsoft 365
• Explorar os logs de tráfego do Acesso Global Seguro (versão prévia)