如何使用 Global Secure Access 扩充的 Microsoft 365 日志

随着 Microsoft 数据流量流入 Microsoft Entra Internet Access for Microsoft Services，你希望能够了解贵组织使用的 Microsoft 365 应用的性能、体验和可用性的详细信息。 使用全局安全访问，可以轻松扩充 Microsoft 365 审核日志，并获取这些见解所需的信息。 可以将日志与第三方安全信息和事件管理 (SIEM) 工具集成以进行进一步分析。

本文介绍日志中的信息以及如何将其用于上述见解。

先决条件

要使用扩充的日志，需要以下角色、配置和订阅：

角色和权限

• 需要 全局管理员 或 安全管理员 角色才能在诊断设置中导出全局安全访问网络流量日志。

配置

• Microsoft 配置文件 - 确保 Microsoft 流量配置文件已启用。 需要 Microsoft 流量转发配置文件来捕获定向到 Microsoft 365 服务的流量，这是进行日志扩充的基础。
• Microsoft 365 Common 和 Office Online 流量策略 - 进行日志扩充所需。 确保它已启用。
• 租户发送数据 - 确认转发配置文件中配置的流量已准确地通过隧道传输至 Global Secure Access 服务。
• 诊断设置配置 - 设置Microsoft Entra 诊断设置，以将日志传送到指定的终结点，例如 Log Analytics 工作区或 Sentinel 工作区。 每个终结点的要求各不相同。有关这些要求，请参阅本文的“配置诊断设置”部分。
• 导出 OfficeActivity 日志表 - 必须将 OfficeActivity 表导出到与 GSA 流量日志或其他第三方 SIEM 或日志系统相同的 LogAnalytics 或 Microsoft Sentinel 工作区。

订阅

• 该产品需要经过许可才能启用 Microsoft 服务的流量转发配置文件。 有关详细信息，请参阅什么是全球安全访问的许可部分。 如果需要，可以购买许可证或获取试用许可证。

在配置诊断设置之前，必须为要路由日志的位置配置终结点。 每个终结点的要求各不相同，有关这些要求，请参阅配置诊断设置部分。

日志提供的内容

Microsoft 365 个审核日志提供有关Microsoft 365 个工作负荷的信息，以便可以查看与 Microsoft 365 应用相关的网络诊断数据、性能数据和安全事件。 全球安全访问日志数据中的扩充属性包含与用户活动相关的设备信息。 例如，如果阻止了组织中某个用户对 Microsoft 365 的访问，则需要了解用户设备连接到网络的方式。

这些日志提供：

• 原始日志中添加了其他信息
• 准确的 IP 地址

按照本文中的步骤，日志会使用详细信息进行扩充，包括设备 ID、作系统和原始 IP 地址。 扩充的 SharePoint 日志会提供有关已下载、上传、删除、修改或回收的文件的信息。 已删除或回收的列表项也包含在增强日志中。

如何查看日志

查看加强的 Microsoft 365 审核日志是一个分为两步的一次性过程。 首先，需要将全局安全访问网络流量日志和Microsoft 365 统一审核日志收集到同一终结点（Microsoft Sentinel 是推荐的工作区）。 其次，你需要创建自己的联接查询来关联两个表之间的数据，或者使用已应用所需查询的全球安全访问 OOTB Enriched Microsoft 365 Logs 工作簿。

注意

目前，只有 SharePoint Online 日志可用于日志扩充。

注意

MS365 审核日志经历了功能更改。 现在，可以使用两个现有日志表（Microsoft 365 OfficeActivity 和全局安全访问 NetworkAccessTraffic 表），然后使用唯一令牌 ID 合并数据，而不是创建单独的新日志流。

启用日志数据

要启用扩充的 Microsoft 365 日志，请执行以下操作：

1. 以全局管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到全球安全访问>设置>日志记录。

3. 选择“NetworkAccessTraffic”表。

4. 使用同一终结点收集 Microsoft 365 活动日志（表：OfficeActivity），如此文所述。

5. 使用唯一令牌 ID 创建这两个表的联接。

   示例查询：

NetworkAccessTraffic 
| where TrafficType == 'microsoft365' | where UniqueTokenId != "" //filter on M365 traffic with available UTI
| project UniqueTokenId, SourceIp, DeviceId, DeviceOperatingSystem, DeviceOperatingSystemVersion, InitiatingProcessName, AgentVersion, UserId  //Extract the device enrichment fields, add more as    
needed
| join kind=inner (
  OfficeActivity 
  | extend AppAccessContext.UniqueTokenId
  | where AppAccessContext.UniqueTokenId != "")
  on UniqueTokenId 

配置诊断设置

要查看扩充的 Microsoft 365 日志，必须将日志导出或流式传输到终结点，例如 Log Analytics 工作区或 SIEM 工具。 必须先配置终结点，然后才能配置诊断设置。

配置终结点

• 要将日志与 Log Analytics 集成，需要 Log Analytics 工作区。

  • 创建 Log Analytics 工作区。
  • 将日志与 Log Analytics 集成

• 要将日志流式传输到 SIEM 工具，需要创建 Azure 事件中心和事件中心命名空间。

  • 设置事件中心命名空间和事件中心。
  • 将日志流式传输到事件中心

• 要将日志存档到存储帐户，需要一个对其具有 ListKeys 权限的 Azure 存储帐户。

  • 创建 Azure 存储帐户。
  • 将日志存档到存储帐户

将日志发送到终结点

创建终结点后，可以配置诊断设置。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。

3. 选择“添加诊断设置”。

4. 为诊断设置提供一个名称。

5. 选择NetworkAccessTrafficLogs。

6. 选择要将日志发送到的位置的“目标详细信息”。 选择以下任意或所有目标。 将显示更多字段，具体取决于所选内容。

   • 发送到 Log Analytics 工作区：从显示的菜单中选择相应的详细信息。
   • 存档到存储帐户：在日志类别旁显示的“保留天数”框中提供要保留数据的天数。 从显示的菜单中选择相应的详细信息。
   • 流式传输到事件中心：从显示的菜单中选择相应的详细信息。
   • 发送到合作伙伴解决方案：从显示的菜单中选择相应的详细信息。

后续步骤

• 了解全球安全访问日志和监视选项
• 了解 Global Secure Access 审核日志（预览版）
• 扩充 Microsoft 365 审核日志