Jak používat globální zabezpečený přístup (Preview) rozšířené protokoly Microsoftu 365

S provozem Microsoftu 365 procházejícího službou Microsoft Entra Private Internet chcete získat přehled o výkonu, prostředí a dostupnosti aplikací Microsoftu 365, které vaše organizace používá. Rozšířené protokoly Microsoftu 365 poskytují informace, které potřebujete k získání těchto přehledů. Protokoly můžete integrovat s nástrojem pro další analýzu informací o zabezpečení a správy událostí (SIEM) třetích stran.

Tento článek popisuje informace v protokolech a způsob jejich exportu.

Požadavky

Pokud chcete používat rozšířené protokoly, potřebujete následující role, konfigurace a předplatná:

Role a oprávnění

• K povolení rozšířeného protokolů Microsoftu 365 se vyžaduje globální role Správa istratoru.
• Verze Preview vyžaduje licenci Microsoft Entra ID P1. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
• Pokud chcete použít profil přesměrování provozu Microsoftu 365, doporučuje se licence Microsoftu 365 E3.

Konfigurace

• Profil Microsoftu 365 – Ujistěte se, že je povolený profil Microsoftu 365. Microsoft Entra Přístup k Internetu se vyžaduje k zachycení provozu směřujícího na služby Microsoftu 365, což je zásadní pro rozšiřování protokolů.
• Běžné zásady provozu Microsoftu 365 a Office Online – Vyžaduje se pro rozšiřování protokolů. Ujistěte se, že je povolená.
• Tenant odesílající data – potvrzuje, že provoz nakonfigurovaný v profilech předávání je přesně tunelovaný do globální služby zabezpečeného přístupu.
• Konfigurace diagnostického Nastavení – Nastavte nastavení diagnostiky Microsoft Entra tak, aby protokoly nasměrovává do určeného koncového bodu, jako je pracovní prostor služby Log Analytics. Požadavky pro každý koncový bod se liší a jsou uvedeny v části Konfigurace nastavení diagnostiky tohoto článku.

Předplatná

• Licence Microsoft Entra ID P1 – vyžaduje se pro přístup k verzi Preview. Nákup nebo získání zkušebních licencí je v případě potřeby možnost.
• Licence Microsoft 365 E3 – Doporučeno pro použití profilu přesměrování provozu Microsoftu 365.

Před konfigurací nastavení diagnostiky musíte nakonfigurovat koncový bod, pro který chcete protokoly směrovat. Požadavky na každý koncový bod se liší a jsou popsány v části Konfigurace nastavení diagnostiky.

Jaké protokoly poskytují

Rozšířené protokoly Microsoftu 365 poskytují informace o úlohách Microsoftu 365, abyste mohli zkontrolovat diagnostická data sítě, údaje o výkonu a události zabezpečení relevantní pro aplikace Microsoft 365. Pokud je například přístup k Microsoftu 365 pro uživatele ve vaší organizaci zablokovaný, potřebujete mít přehled o tom, jak se zařízení uživatele připojuje k síti.

Tyto protokoly poskytují:

• Vylepšená latence
• Další informace přidané do původních protokolů
• Přesná IP adresa

Tyto protokoly jsou podmnožinou protokolů dostupných v protokolech auditu Microsoftu 365. Protokoly jsou rozšířeny o další informace, včetně ID zařízení, operačního systému a původní IP adresy. Rozšířené protokoly SharePointu poskytují informace o stažených, nahraných, odstraněných, upravených nebo recyklovaných souborech. Odstraněné nebo recyklované položky seznamu jsou také zahrnuty v obohacených protokolech.

Jak zobrazit protokoly

Zobrazení obohacených protokolů Microsoftu 365 je dvoustupňový proces. Nejprve je potřeba povolit rozšiřování protokolu z globálního zabezpečeného přístupu. Zadruhé je potřeba nakonfigurovat nastavení diagnostiky Microsoft Entra tak, aby směrovat protokoly do koncového bodu, jako je pracovní prostor služby Log Analytics.

Poznámka:

V tuto chvíli jsou k dispozici pouze protokoly SharePointu Online pro rozšiřování protokolů.

Povolení rozšiřování protokolů

Povolení rozšířeného protokolu Microsoftu 365:

1. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.

2. Přejděte do globálního zabezpečeného přístupu (Preview)>Protokolování globálního nastavení.>

3. Vyberte typ protokolů Microsoftu 365, které chcete povolit.

4. Zvolte Uložit.

   

Úplné integrace se službou trvá až 72 hodin.

Konfigurace nastavení diagnostiky

Pokud chcete zobrazit rozšířené protokoly Microsoftu 365, musíte protokoly exportovat nebo streamovat do koncového bodu, jako je pracovní prostor služby Log Analytics nebo nástroj SIEM. Aby bylo možné nakonfigurovat nastavení diagnostiky, musí být koncový bod nakonfigurovaný.

Konfigurace koncového bodu

• K integraci protokolů se službou Log Analytics potřebujete pracovní prostor služby Log Analytics.

  • Vytvořte pracovní prostor služby Log Analytics.
  • Integrace protokolů se službou Log Analytics

• Pokud chcete streamovat protokoly do nástroje SIEM, musíte vytvořit centrum událostí Azure a obor názvů centra událostí.

  • Nastavte obor názvů služby Event Hubs a centrum událostí.
  • Streamování protokolů do centra událostí

• Pokud chcete archivovat protokoly do účtu úložiště, potřebujete účet úložiště Azure, ke kterému máte ListKeys oprávnění.

  • Vytvoření účtu úložiště Azure:
  • Archivace protokolů do účtu úložiště

Odeslání protokolů do koncového bodu

S vytvořeným koncovým bodem můžete nakonfigurovat nastavení diagnostiky.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.

2. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.

3. Vyberte Přidat nastavení diagnostiky.

4. Zadejte název nastavení diagnostiky.

5. Vyberte možnost EnrichedOffice365AuditLogs.

6. Vyberte podrobnosti o cíli, kam chcete protokoly odeslat. Zvolte libovolné nebo všechny následující cíle. V závislosti na výběru se zobrazí více polí.

   • Odeslat do pracovního prostoru Služby Log Analytics: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
   • Archivace účtu úložiště: Zadejte počet dní, po které chcete uchovávat data v polích Uchovávání dnů , které se zobrazí vedle kategorií protokolů. V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
   • Streamování do centra událostí: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
   • Odeslat partnerskému řešení: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.

Následující příklad odesílá rozšířené protokoly do pracovního prostoru služby Log Analytics, který vyžaduje výběr předplatného a pracovního prostoru služby Log Analytics z nabídek, které se zobrazí.

Podmínky užívání

Vaše používání prostředí a funkcí ve verzi Preview Microsoft Entra Soukromý přístup a Microsoft Entra Přístup k Internetu se řídí podmínkami a ujednáními online služeb ve verzi Preview, za kterých jste tyto služby získali. Verze Preview můžou podléhat omezením nebo jiným závazkům v oblasti zabezpečení, dodržování předpisů a ochrany osobních údajů, jak je dále vysvětleno v univerzálních licenčních podmínkách pro online služby a dodatcích k ochraně dat produktů a služeb Společnosti Microsoft (DÁLE jen "DPA") a veškerých dalších oznámení uvedených ve verzi Preview.

Další kroky

• Prozkoumání protokolů globálního zabezpečeného přístupu a možností monitorování
• Informace o protokolech auditu globálního zabezpečeného přístupu
• Rozšířené protokoly auditu Microsoftu 365