Sdílet prostřednictvím

Jak používat protokoly přenosů globálního zabezpečeného přístupu (Preview)

  • Článek

Monitorování provozu pro globální zabezpečený přístup (Preview) je důležitou aktivitou pro zajištění správné konfigurace vašeho tenanta a zajištění toho, aby vaši uživatelé získali co nejlepší prostředí. Protokoly přenosů globálního zabezpečeného přístupu poskytují přehled o tom, kdo přistupuje k jakým prostředkům, odkud k nim přistupuje, a o tom, z jaké akce došlo.

Tento článek popisuje, jak používat protokoly přenosů pro globální zabezpečený přístup.

Požadavky

Jak protokoly provozu fungují

Protokoly globálního zabezpečeného přístupu poskytují podrobnosti o síťovém provozu. Abyste tyto podrobnosti lépe pochopili a mohli je analyzovat, abyste mohli monitorovat vaše prostředí, je užitečné se podívat na tři úrovně protokolů a jejich vzájemné vztahy.

Uživatel, který přistupuje na web, představuje jednu relaci a v této relaci může existovat více připojení a v rámci daného připojení může existovat více transakcí.

  • Relace: Relace je identifikována první adresou URL, ke které uživatel přistupuje. Tato relace by pak mohla otevřít mnoho připojení, například news site, který obsahuje více reklam z několika různých webů.
  • Připojení ion: Připojení zahrnuje zdrojovou a cílovou IP adresu, zdrojový a cílový port a plně kvalifikovaný název domény (FQDN). Součásti připojení se skládají z 5 řazené kolekce členů.
  • Transakce: Transakce je jedinečný pár požadavků a odpovědí.

V rámci každé instance protokolu uvidíte ID připojení a ID transakce v podrobnostech. Pomocí filtrů se můžete podívat na všechna připojení a transakce pro jednu relaci.

Zobrazení protokolů provozu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
  2. Globální zabezpečený přístup (Preview)> Monitoruje>protokoly provozu.

V horní části stránky se zobrazí souhrn všech transakcí a také rozpis jednotlivých typů provozu. Výběrem tlačítek Microsoftu 365 nebo Privátního přístupu vyfiltrujte protokoly podle jednotlivých typů provozu.

Poznámka:

V tomto okamžiku nejsou v podrobnostech protokolu k dispozici informace o ID relace.

Zobrazení podrobností protokolu

Výběrem libovolného protokolu ze seznamu zobrazíte podrobnosti. Tyto podrobnosti poskytují cenné informace, které je možné použít k filtrování protokolů pro konkrétní podrobnosti nebo řešení potíží se scénářem. Podrobnosti lze přidat jako sloupec a použít k filtrování protokolů.

Screenshot of the traffic log activity details.

Možnosti filtru a sloupce

Protokoly provozu můžou obsahovat mnoho podrobností, takže pokud chcete spustit jenom některé sloupce, jsou viditelné. Povolte a zakažte sloupce na základě úloh analýzy nebo řešení potíží, které provádíte, protože může být obtížné zobrazit protokoly s příliš mnoha vybranými sloupci. Možnosti sloupce a filtru odpovídají každé položce v podrobnostech o aktivitě.

Pokud chcete změnit zobrazené sloupce, vyberte sloupce v horní části stránky.

Screenshot of the traffic logs with the columns button highlighted.

Pokud chcete protokoly provozu filtrovat na konkrétní podrobnosti, vyberte tlačítko Přidat filtr a zadejte podrobnosti, podle které chcete filtrovat.

Pokud se například chcete podívat na všechny protokoly z konkrétního připojení:

  1. Vyberte podrobnosti protokolu a zkopírujte connectionId z podrobností o aktivitě.

  2. Vyberte Přidat filtr a zvolte PŘIPOJENÍ ION ID.

  3. Do zobrazeného pole vložte connectionId a vyberte Použít.

    Screenshot of the traffic log filter.

Scénáře řešení potíží

Při řešení potíží a analýze můžou být užitečné následující podrobnosti:

  • Pokud vás zajímá velikost odesílaného a přijatého provozu, povolte sloupce Odesílané bajty a přijaté bajty. Výběrem záhlaví sloupce seřadíte protokoly podle velikosti protokolů.
  • Pokud kontrolujete aktivitu sítě pro rizikového uživatele, můžete výsledky filtrovat podle hlavního názvu uživatele a pak zkontrolovat weby, ke kterým přistupuje.
  • Pokud chcete vyhledat provoz na typy webů, které chcete blokovat nebo povolit, povolte sloupec kategorie webu.

Podrobnosti protokolu poskytují cenné informace o síťovém provozu. Ne všechny podrobnosti jsou definovány v následujícím seznamu, ale následující podrobnosti jsou užitečné pro řešení potíží a analýzu:

  • ID transakce: Jedinečný identifikátor představující dvojici požadavků a odpovědí.
  • PŘIPOJENÍ ION ID: Jedinečný identifikátor představující připojení, které iniciovalo protokol.
  • Kategorie zařízení: Typ zařízení, ze kterého byla transakce inicializována. Klient nebo vzdálená síť.
  • Akce: Akce proběhla v síťové relaci. Buď povoleno , nebo odepřeno.

Konfigurace nastavení diagnostiky pro export protokolů

Protokoly přenosů globálního zabezpečeného přístupu můžete exportovat do koncového bodu pro další analýzu a upozorňování. Tato integrace je nakonfigurovaná v nastavení diagnostiky Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.

  2. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.

  3. Vyberte Přidat nastavení diagnostiky.

  4. Zadejte název nastavení diagnostiky.

  5. Vyberte možnost NetworkAccessTrafficLogs.

  6. Vyberte podrobnosti o cíli, kam chcete protokoly odeslat. Zvolte libovolné nebo všechny následující cíle. V závislosti na výběru se zobrazí další pole.

    • Odeslat do pracovního prostoru Služby Log Analytics: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
    • Archivace účtu úložiště: Zadejte počet dní, po které chcete uchovávat data v polích Uchovávání dnů , které se zobrazí vedle kategorií protokolů. V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
    • Streamování do centra událostí: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.
    • Odeslat partnerskému řešení: V nabídkách, které se zobrazí, vyberte příslušné podrobnosti.

Podmínky užívání

Vaše používání prostředí a funkcí ve verzi Preview Microsoft Entra Soukromý přístup a Microsoft Entra Přístup k Internetu se řídí podmínkami a ujednáními online služeb ve verzi Preview, za kterých jste tyto služby získali. Verze Preview můžou podléhat omezením nebo jiným závazkům v oblasti zabezpečení, dodržování předpisů a ochrany osobních údajů, jak je dále vysvětleno v univerzálních licenčních podmínkách pro online služby a dodatcích k ochraně dat produktů a služeb Společnosti Microsoft (DÁLE jen "DPA") a veškerých dalších oznámení uvedených ve verzi Preview.

Další kroky