Så här använder du trafikloggarna för global säker åtkomst (förhandsversion)

Att övervaka trafiken för global säker åtkomst är en viktig aktivitet för att säkerställa att klientorganisationen är korrekt konfigurerad och att användarna får bästa möjliga upplevelse. De globala trafikloggarna för säker åtkomst (förhandsversion) ger insikter om vem som har åtkomst till vilka resurser, var de kommer åt dem från och vilka åtgärder som vidtogs.

Den här artikeln beskriver hur du använder trafikloggarna för global säker åtkomst.

Förutsättningar

• En global administratörsroll för säker åtkomst i Microsoft Entra-ID.
• Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Så här fungerar trafikloggarna

De globala loggarna för säker åtkomst innehåller information om din nätverkstrafik. För att bättre förstå informationen och hur du kan analysera informationen för att övervaka din miljö är det bra att titta på de tre nivåerna i loggarna och deras relation till varandra.

En användare som kommer åt en webbplats representerar en session och inom den sessionen kan det finnas flera anslutningar, och inom den anslutningen kan det finnas flera transaktioner.

• Session: En session identifieras av den första URL:en som en användare kommer åt. Den sessionen kan sedan öppna många anslutningar, till exempel en nyhetswebbplats som innehåller flera annonser från flera olika webbplatser.
• Anslutning: En anslutning omfattar käll- och mål-IP, käll- och målport och fullständigt kvalificerat domännamn (FQDN). Anslutningskomponenterna består av 5 tuppeln.
• Transaktion: En transaktion är ett unikt begärande- och svarspar.

I varje logginstans kan du se anslutnings-ID och transaktions-ID i informationen. Genom att använda filtren kan du titta på alla anslutningar och transaktioner för en enda session.

Så här visar du trafikloggarna

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
2. Globala trafikloggar för övervakning av säker åtkomst>>.

Överst på sidan visas en sammanfattning av alla transaktioner samt en uppdelning för varje typ av trafik. Välj knapparna Microsoft 365 eller Privat åtkomst för att filtrera loggarna efter varje trafiktyp.

Kommentar

För närvarande är sessions-ID-information inte tillgänglig i logginformationen.

Visa logginformationen

Välj valfri logg i listan för att visa informationen. Den här informationen ger värdefull information som kan användas för att filtrera loggarna för specifik information eller för att felsöka ett scenario. Informationen kan läggas till som en kolumn och användas för att filtrera loggarna.

Filter- och kolumnalternativ

Trafikloggarna kan ge många detaljer, så för att starta visas bara vissa kolumner. Aktivera och inaktivera kolumnerna baserat på de analys- eller felsökningsuppgifter du utför, eftersom loggarna kan vara svåra att visa med för många kolumner markerade. Kolumn- och filteralternativen överensstämmer med varje objekt i aktivitetsinformationen.

Välj Kolumner överst på sidan för att ändra de kolumner som visas.

Om du vill filtrera trafikloggarna efter en specifik detalj väljer du knappen Lägg till filter och anger sedan den information som du vill filtrera efter.

Om du till exempel vill titta på alla loggar från en specifik anslutning:

1. Välj logginformationen och kopiera connectionId från aktivitetsinformationen.

2. Välj Lägg till filter och välj Anslutnings-ID.

3. I fältet som visas klistrar du in connectionId och väljer Använd.

   

Felsökningsscenarier

Följande information kan vara till hjälp vid felsökning och analys:

• Om du är intresserad av storleken på trafiken som skickas och tas emot aktiverar du kolumnerna Skickade byte och Mottagna byte. Välj kolumnrubriken för att sortera loggarna efter storleken på loggarna.
• Om du granskar nätverksaktiviteten för en riskfylld användare kan du filtrera resultatet efter användarens huvudnamn och sedan granska de webbplatser som de kommer åt.
• Om du vill söka efter trafik till de typer av webbplatser som du vill blockera eller tillåta aktiverar du kolumnen Webbkategori .

Logginformationen ger värdefull information om din nätverkstrafik. Alla detaljer definieras inte i listan nedan, men följande information är användbar för felsökning och analys:

• Transaktions-ID: Unik identifierare som representerar paret för begäran/svar.
• Anslutnings-ID: Unik identifierare som representerar anslutningen som initierade loggen.
• Enhetskategori: Enhetstyp som transaktionen initierades från. Antingen klient - eller fjärrnätverk.
• Åtgärd: Den åtgärd som vidtas i nätverkssessionen. Tillåts eller nekas.

Konfigurera diagnostikinställningar för att exportera loggar

Du kan exportera trafikloggarna för global säker åtkomst (förhandsversion) till en slutpunkt för ytterligare analys och aviseringar. Den här integreringen konfigureras i Diagnostikinställningar för Microsoft Entra.

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>

3. Välj Lägg till diagnostikinställning.

4. Ge diagnostikinställningen ett namn.

5. Välj NetworkAccessTrafficLogs.

6. Välj målinformationen för var du vill skicka loggarna. Välj någon eller alla av följande mål. Ytterligare fält visas, beroende på ditt val.

   • Skicka till Log Analytics-arbetsytan: Välj lämplig information från menyerna som visas.
   • Arkivera till ett lagringskonto: Ange hur många dagar du vill behålla data i rutorna Kvarhållningsdagar som visas bredvid loggkategorierna. Välj lämplig information från menyerna som visas.
   • Strömma till en händelsehubb: Välj lämplig information från menyerna som visas.
   • Skicka till partnerlösning: Välj lämplig information från menyerna som visas.

Nästa steg

• Läs mer om instrumentpanelen för trafik
• Visa granskningsloggarna för global säker åtkomst
• Visa de berikade Microsoft 365-loggarna