Compartilhar via

Como usar os logs enriquecidos do Microsoft 365 com o Acesso Global Seguro

  • Artigo

Com o tráfego da Microsoft fluindo pelo serviço de Internet Privada do Microsoft Entra, talvez você queira obter insights sobre o desempenho, a experiência e a disponibilidade dos aplicativos do Microsoft 365 que sua organização usa. Os logs enriquecidos do Microsoft 365 fornecem as informações necessárias para obter esses insights. Você pode integrar os logs a uma ferramenta SIEM (gerenciamento de eventos e informações de segurança) de terceiros para análise posterior.

Este artigo descreve as informações nos logs e como exportá-las.

Pré-requisitos

Para usar os logs enriquecidos, você precisa das seguintes funções, configurações e assinaturas:

Funções e permissões

  • Uma função de Administrador Global é necessária para habilitar os logs enriquecidos do Microsoft 365.

Configurações do

  • Perfil da Microsoft - Certifique-se de que o perfil de tráfego da Microsoft esteja habilitado. O perfil de encaminhamento de tráfego da Microsoft é necessário para capturar tráfego direcionado aos serviços do Microsoft 365, o que é essencial para o enriquecimento de logs.
  • Política de tráfego do Office Online e do Microsoft 365 Common – Necessária para o enriquecimento de logs. Certifique-se de que ela está habilitada.
  • Locatário que envia dados – Confirma que o tráfego, conforme configurado em perfis de encaminhamento, é enviado por túnel com precisão para o serviço de Acesso Seguro Global.
  • Definição das Configurações de Diagnóstico – Define as configurações de diagnóstico do Microsoft Entra para canalizar os logs para um ponto de extremidade designado, como um workspace do Log Analytics. Os requisitos para cada ponto de extremidade variam e são descritos na seção Definir configurações de diagnóstico deste artigo.

Assinaturas

Você deve configurar o ponto de extremidade para onde deseja rotear os logs antes de definir as configurações de diagnóstico. Os requisitos para cada ponto de extremidade variam e são descritos na seção Definir configurações de diagnóstico.

O que os logs fornecem

Os logs enriquecidos do Microsoft 365 fornecem informações sobre cargas de trabalho do Microsoft 365 para que você possa examinar dados de diagnóstico de rede, dados de desempenho e eventos de segurança relevantes para aplicativos do Microsoft 365. Por exemplo, se o acesso ao Microsoft 365 for bloqueado para um usuário em sua organização, você precisará de visibilidade de como o dispositivo do usuário está se conectando à sua rede.

Esses logs fornecem:

  • Latência melhorada
  • Informações adicionadas aos logs originais
  • Endereço IP preciso

Esses logs são um subconjunto dos logs disponíveis nos logs de auditoria do Microsoft 365. Os logs são enriquecidos com mais informações, incluindo a ID do dispositivo, o sistema operacional e o endereço IP original. Os logs enriquecidos do SharePoint fornecem informações sobre arquivos que foram baixados, carregados, excluídos, modificados ou reciclados. Os itens de lista excluídos ou reciclados também são incluídos nos logs enriquecidos.

Como exibir os logs

Exibir os logs enriquecidos do Microsoft 365 é um processo de duas etapas. Primeiro, você precisa habilitar o enriquecimento de logs por meio do Acesso Seguro Global. Em segundo lugar, você precisar definir as configurações de diagnóstico do Microsoft Entra para rotear os logs para um ponto de extremidade, com um workspace do Log Analytics.

Observação

No momento, somente os logs do SharePoint Online estão disponíveis para enriquecimento de log.

Habilitar o enriquecimento de log

Para habilitar os logs enriquecidos do Microsoft 365:

  1. Entre no centro de administração do Microsoft Entra como Administrador global.
  2. Navegue até Acesso Global Seguro>Configurações>Registro em log.
  3. Selecione o tipo de logs do Microsoft 365 que você deseja habilitar.
  4. Selecione Salvar.

Os logs enriquecidos levam até 72 horas para serem totalmente integrados ao serviço.

Definir as configurações de diagnóstico

Para exibir os logs enriquecidos do Microsoft 365, você deve exportar ou transmitir os logs para um ponto de extremidade, como um workspace do Log Analytics ou uma ferramenta SIEM. O ponto de extremidade deve ser configurado antes que você possa definir as configurações de diagnóstico.

Configurar um ponto de extremidade

Enviar logs para um ponto de extremidade

Com o ponto de extremidade criado, você pode definir as configurações de diagnóstico.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.

  3. Selecione Adicionar configuração de diagnóstico.

  4. Dê um nome à sua configuração de diagnóstico.

  5. Selecione EnrichedOffice365AuditLogs.

  6. Selecione os Detalhes de destino para onde deseja enviar os logs. Escolha qualquer um ou todos os destinos a seguir. Mais campos são exibidos, dependendo da seleção.

    • Enviar para o workspace do Log Analytics: selecione os detalhes apropriados nos menus exibidos.
    • Arquivar em uma conta de armazenamento: forneça o número de dias que você deseja manter os dados nas caixas Dias de retenção que aparecem ao lado das categorias de log. Selecione os detalhes apropriados nos menus exibidos.
    • Transmitir para um hub de eventos: selecione os detalhes apropriados nos menus exibidos.
    • Enviar para a solução do parceiro: selecione os detalhes apropriados nos menus exibidos.

O exemplo a seguir é enviar os logs enriquecidos para um workspace do Log Analytics, o que requer a seleção da assinatura e do workspace do Log Analytics nos menus que aparecem.

Captura de tela das configurações de diagnóstico do Microsoft Entra, com os logs enriquecidos e as opções do Log Analytics realçadas.

Próximas etapas