Was sind Remotenetzwerk-Integritätsprotokolle?

Remote-Netzwerke wie z. B. eine Filiale, verlassen sich auf lokale Kundengeräte (Customer Premises Equipment, CPE), um Benutzer an diesen Standorten mit den benötigten Onlineressourcen und -diensten zu verbinden. Benutzer erwarten, dass CPE funktioniert, damit sie ihre Arbeit erledigen können. Damit jeder verbunden bleibt, müssen Sie die Integrität des IPSec-Tunnels und der BGP (Border Gateway Protocol)-Routenankündigung sicherstellen. Diese lang andauernden Tunnel- und Routinginformationen sind die Schlüssel zu Ihrer Remote-Netzwerk-Integrität.

In diesem Artikel werden verschiedene Methoden für den Zugriff auf und die Analyse der Remotenetzwerkintegritätsprotokolle beschrieben.

Zugreifen auf Protokolle im Microsoft Entra Admin Center oder der Microsoft Graph-API
Exportieren von Protokollen in Log Analytics oder ein SIEM-Tool (Security Information & Events Management)
Analysieren von Protokollen mithilfe einer Azure-Arbeitsmappe für Microsoft Entra
Herunterladen von Protokollen für die langfristige Speicherung

Voraussetzungen

Um die Remotenetzwerkintegritätsprotokolle im Microsoft Entra Admin Center anzuzeigen, benötigen Sie Folgendes:

Eine der folgenden Rollen: Globaler Administrator für den sicheren Zugriff oder Sicherheitsadministrator.
Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt "Lizenzierung" des globalen sicheren Zugriffs. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
Für den Zugriff auf die Protokolle mit der Microsoft Graph-API und die Integration mit Log Analytics und Azure-Arbeitsmappen sind separate Rollen erforderlich.

Anzeigen der Protokolle

Um die Remotenetzwerkintegritätsprotokolle anzuzeigen, können Sie entweder das Microsoft Entra Admin Center oder die Microsoft Graph API verwenden.

Microsoft Entra Admin Center
Microsoft Graph-API

So zeigen Sie Remote-Netzwerk-Integritätsprotokolle im Microsoft Entra Admin Center an:

Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein globaler Secure Access-Administrator an.
Navigieren Sie zu Global Secure Access>Monitor>Remote Network Health Logs.

Global Secure Access-Remote-Netzwerk-Integritätsprotokolle können mithilfe von Microsoft Graph auf dem /beta-Endpunkt angezeigt und verwaltet werden.

Sie benötigen eine der folgenden Berechtigungen für den Zugriff auf die Protokolle mit der Microsoft Graph-API:

Verzeichnis.LesenSchreiben.Alles
NetworkAccess.Read.All
Netzwerkzugriff.LesenSchreiben.Alle
NetworkAccess-Berichte.Lesen.Alle

So greifen Sie auf Remotenetzwerkintegritätsprotokolle mit der Microsoft Graph-API zu:

Melden Sie sich beim Graph-Explorer an.
Wählen Sie GET als HTTP-Methode aus.
Wählen Sie BETA als API-Version aus.
Führen Sie die folgende Abfrage aus:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Antwort (abgeschnitten):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Konfigurieren von Diagnoseeinstellungen zum Generieren von Exportprotokollen

Das Integrieren von Protokollen in ein SIEM-Tool wie Log Analytics wird über Diagnoseeinstellungen in Microsoft Entra ID konfiguriert. Dieser Prozess wird im Artikel "Konfigurieren von Microsoft Entra-Diagnoseeinstellungen für Aktivitätsprotokolle" ausführlich behandelt.

Zum Konfigurieren von Diagnoseeinstellungen benötigen Sie Folgendes:

Die grundlegenden Schritte zum Konfigurieren von Diagnoseeinstellungen lauten wie folgt:

Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra IDÜberwachung & GesundheitDiagnostikeinstellungen.
Alle vorhandenen Diagnoseeinstellungen werden in der Tabelle angezeigt. Wählen Sie "Bearbeitungseinstellungen" aus, um eine vorhandene Einstellung zu ändern, oder wählen Sie " Diagnoseeinstellung hinzufügen " aus, um eine neue Einstellung zu erstellen.
Geben Sie einen Namen ein.
Wählen Sie die RemoteNetworkHealthLogs (und alle anderen Protokolle) aus, die Sie einbeziehen möchten.
Wählen Sie die Ziele aus, an die Sie die Protokolle senden möchten.
Wählen Sie das Abonnement und das Ziel aus den angezeigten Dropdownmenüs aus.
Wählen Sie die Schaltfläche " Speichern" aus .

Hinweis

Es kann bis zu drei Tage dauern, bis die Protokolle am Ziel angezeigt werden.

Sobald Ihre Protokolle an Log Analytics weitergeleitet wurden, können Sie die folgenden Features nutzen:

Erstellen Sie Warnungsregeln, um Benachrichtigungen für Elemente wie einen BGP-Tunnelfehler zu erhalten.
- Weitere Informationen finden Sie unter Erstellen einer Warnungsregel.
Visualisieren Sie die Daten mit einer Azure-Arbeitsmappe für Microsoft Entra (im nächsten Abschnitt behandelt).
Integrieren Sie Protokolle mit Microsoft Sentinel für Sicherheitsanalysen und Bedrohungserkennungen.
- Weitere Informationen finden Sie im Schnellstart zur Einrichtung von Microsoft Sentinel.

Analysieren von Protokollen mit einer Arbeitsmappe

Azure-Arbeitsmappen für Microsoft Entra stellen eine visuelle Darstellung Ihrer Daten bereit. Nachdem Sie einen Log Analytics-Arbeitsbereich und Diagnoseeinstellungen konfiguriert haben, um Ihre Protokolle mit Log Analytics zu integrieren, können Sie eine Arbeitsmappe verwenden, um die Daten über diese leistungsstarken Tools zu analysieren.

Sehen Sie sich diese hilfreichen Ressourcen für Arbeitsmappen an:

Herunterladen von Protokollen

Eine Schaltfläche " Herunterladen " ist in allen Protokollen verfügbar, sowohl innerhalb des globalen sicheren Zugriffs als auch der Integrität von Microsoft Entra Monitoring. Sie können Protokolle als JSON- oder CSV-Datei herunterladen. Weitere Informationen finden Sie unter Herunterladen von Protokollen.

Wenn Sie die Ergebnisse der Protokolle eingrenzen möchten, wählen Sie "Filter hinzufügen" aus. Sie können nach folgenden Kriterien filtern:

Beschreibung
Remote-Netzwerk-ID
Quell-IP
Ziel-IP
Anzahl angekündigter BGP-Routen

In der folgenden Tabelle werden die einzelnen Felder in den Remote-Netzwerk-Gesundheitsprotokollen beschrieben.

Name	Beschreibung
Datum/Uhrzeit der Erstellung	Zeit der ursprünglichen Ereignisgenerierung
Quell-IP-Adresse	Die IP-Adresse des CPE. Das Quell-IP/Ziel-IP Adresspaar ist für jeden IPsec-Tunnel eindeutig.
IP-Adresse des Ziels	Die IP-Adresse des Microsoft Entra-Gateways. Das Quell-IP/Ziel-IP Adresspaar ist für jeden IPsec-Tunnel eindeutig.
Der Status	Tunnel verbunden: Dieses Ereignis wird generiert, wenn ein IPsec-Tunnel erfolgreich hergestellt wird. Tunnel getrennt: Dieses Ereignis wird generiert, wenn ein IPsec-Tunnel getrennt wird. BGP verbunden: Dieses Ereignis wird generiert, wenn eine BGP-Konnektivität erfolgreich hergestellt wird. BGP getrennt: Dieses Ereignis wird generiert, wenn eine BGP-Konnektivität abläuft. Remotenetzwerk lebendig: Diese regelmäßige Statistik wird alle 15 Minuten für alle aktiven Tunnel generiert.
Beschreibung	Optionale Beschreibung des Ereignisses.
Anzahl angekündigter BGP-Routen	Optionale Anzahl der über den IPsec-Tunnel angekündigten BGP-Routen. Dieser Wert ist 0 für „Tunnel verbunden“-, „Tunnel getrennt“-, „BGP verbunden“- und „BGP getrennt“-Ereignisse.
Gesendete Bytes	Optionale Anzahl von Bytes, die während der letzten 15 Minuten von der Quelle an das Ziel über einen Tunnel gesendet wurden. Dieser Wert ist 0 für „Tunnel verbunden“-, „Tunnel getrennt“-, „BGP verbunden“- und „BGP getrennt“-Ereignisse.
Empfangene Bytes	Optionale Anzahl von Bytes, die während der letzten 15 Minuten von der Quelle über einen Tunnel vom Ziel empfangen wurden. Dieser Wert ist 0 für „Tunnel verbunden“-, „Tunnel getrennt“-, „BGP verbunden“- und „BGP getrennt“-Ereignisse.
Remote-Netzwerk-ID	Die ID des Remote-Netzwerks, dem der Tunnel zugeordnet ist.

Nächste Schritte

Feedback

War diese Seite hilfreich?

Last updated on 2025-04-30