Использование расширенных журналов Microsoft 365 для глобального безопасного доступа
С помощью трафика Майкрософт, который проходит через службу Microsoft Entra Private Internet, вы хотите получить аналитические сведения о производительности, опыте и доступности приложений Microsoft 365, которые использует ваша организация. Обогащенные журналы Microsoft 365 предоставляют вам сведения, необходимые для получения этих аналитических сведений. Журналы можно интегрировать с сторонним средством управления безопасностью и событиями (SIEM) для дальнейшего анализа.
В этой статье описываются сведения в журналах и их экспорте.
Необходимые компоненты
Чтобы использовать обогащенные журналы, вам потребуются следующие роли, конфигурации и подписки:
Роли и разрешения
- Для включения обогащенных журналов Microsoft 365 требуется роль глобального администратора .
Конфигурации
- Профиль Майкрософт— убедитесь, что профиль трафика Майкрософт включен. Профиль пересылки трафика Майкрософт необходим для отслеживания трафика, направленного на службы Microsoft 365, что является фундаментальным для обогащения журналов.
- Общая политика трафика Microsoft 365 и Office Online — требуется для обогащения журналов. Убедитесь, что он включен.
- Клиент, отправляющий данные . Подтверждает, что трафик, настроенный в профилях пересылки, точно туннелируется в службу глобального безопасного доступа.
- Конфигурация параметров диагностики. Настройка параметров диагностики Microsoft Entra для канала журналов в назначенную конечную точку, например рабочую область Log Analytics. Требования для каждой конечной точки отличаются и описаны в разделе "Настройка параметров диагностики" этой статьи.
Подписки
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Перед настройкой параметров диагностики необходимо настроить конечную точку для маршрутизации журналов. Требования для каждой конечной точки зависят и описаны в разделе "Настройка параметров диагностики ".
Сведения о том, какие журналы предоставляют
Обогащенные журналы Microsoft 365 предоставляют сведения о рабочих нагрузках Microsoft 365, поэтому вы можете просматривать диагностические данные сети, данные производительности и события безопасности, относящиеся к приложениям Microsoft 365. Например, если доступ к Microsoft 365 заблокирован для пользователя в вашей организации, необходимо узнать, как устройство пользователя подключается к сети.
Эти журналы предоставляют следующие возможности:
- Улучшенная задержка
- Дополнительные сведения, добавленные в исходные журналы
- Точный IP-адрес
Эти журналы представляют собой подмножество журналов, доступных в журналах аудита Microsoft 365. Журналы обогащены дополнительными сведениями, включая идентификатор устройства, операционную систему и исходный IP-адрес. Обогащенные журналы SharePoint предоставляют сведения о файлах, которые были загружены, отправлены, удалены, изменены или переработаны. Удаленные или переработанные элементы списка также включаются в обогащенные журналы.
Просмотр журналов
Просмотр обогащенных журналов Microsoft 365 — это двухэтапный процесс. Сначала необходимо включить обогащение журналов из глобального безопасного доступа. Во-вторых, необходимо настроить параметры диагностики Microsoft Entra для маршрутизации журналов в конечную точку, например рабочую область Log Analytics.
Примечание.
В настоящее время для обогащения журналов доступны только журналы SharePoint Online.
Включение обогащения журнала
Чтобы включить расширенные журналы Microsoft 365, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
- Перейдите к журналу параметров>глобального безопасного доступа.>
- Выберите тип журналов Microsoft 365, которые вы хотите включить.
- Выберите Сохранить.
Обогащенные журналы занимают до 72 часов, чтобы полностью интегрироваться со службой.
Настройка параметров диагностики
Чтобы просмотреть обогащенные журналы Microsoft 365, необходимо экспортировать или передавать журналы в конечную точку, например рабочую область Log Analytics или средство SIEM. Перед настройкой параметров диагностики необходимо настроить конечную точку.
Настройка конечной точки
Чтобы интегрировать журналы с Log Analytics, вам нужна рабочая область Log Analytics.
Для потоковой передачи журналов в средство SIEM необходимо создать концентратор событий Azure и пространство имен концентратора событий.
Чтобы архивировать журналы в учетную запись хранения, вам потребуется учетная запись хранения Azure, для которую у вас есть
ListKeysразрешения.
Отправка журналов в конечную точку
С помощью созданной конечной точки можно настроить параметры диагностики.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
Выберите " Добавить параметр диагностики".
Присвойте параметру диагностики имя.
Выберите
EnrichedOffice365AuditLogs.Выберите сведения о назначении для отправки журналов. Выберите любое или все из следующих назначений. Отображаются дополнительные поля в зависимости от выбранного фрагмента.
- Отправка в рабочую область Log Analytics: выберите соответствующие сведения из отображаемых меню.
- Архив в учетную запись хранения: укажите количество дней, которые вы хотите сохранить в полях "Дни хранения", которые отображаются рядом с категориями журналов. Выберите соответствующие сведения из отображаемых меню.
- Потоковая передача в концентратор событий: выберите соответствующие сведения из отображаемых меню.
- Отправить в партнерское решение: выберите соответствующие сведения из отображаемых меню.
В следующем примере отправляются обогащенные журналы в рабочую область Log Analytics, для которой требуется выбрать рабочую область Подписки и Log Analytics из отображаемых меню.
