Che cosa sono i log di integrità della rete remota?

Le reti remote, ad esempio una succursale, si basano su attrezzature locali del cliente (CPE) per connettere gli utenti in tali località alle risorse e ai servizi online necessari. Gli utenti si aspettano che le apparecchiature CPE funzionino affinché possano svolgere il proprio lavoro. Per mantenere tutti connessi, è necessario garantire l'integrità del tunnel IPSec e dell'annuncio della route BGP (Border Gateway Protocol). Le informazioni sui tunnel di lunga durata e sul routing sono essenziali per la salute della tua rete remota.

Questo articolo descrive diversi metodi per accedere e analizzare i log di integrità della rete remota.

Accedere ai log nell'interfaccia di amministrazione di Microsoft Entra o nell'API Microsoft Graph
Esportare i log su Log Analytics o in uno strumento SIEM (Gestione delle informazioni e degli eventi di sicurezza)
Analizzare i log usando una cartella di lavoro di Azure per Microsoft Entra
Scaricare i log per l'archiviazione a lungo termine

Prerequisiti

Per visualizzare i log di integrità della rete remota nell'interfaccia di amministrazione di Microsoft Entra, è necessario:

Uno dei ruoli seguenti: Amministratore accesso sicuro globale o Amministratore della sicurezza.
Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
I ruoli separati sono necessari per accedere ai log con l'API Microsoft Graph e per l'integrazione con Log Analytics e cartelle di lavoro di Azure.

Visualizza i log

Per visualizzare i log di integrità della rete remota, è possibile usare l'Interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra
API di Microsoft Graph

Per visualizzare i log di integrità della rete remota nell'Interfaccia di amministrazione di Microsoft Entra:

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'Accesso globale sicuro.
Passare a Global Secure Access>Monitor>Registri di integrità della rete remota.

È possibile visualizzare e gestire i log di integrità della rete remota del servizio Accesso globale sicuro usando Microsoft Graph nell'endpoint /beta.

Per accedere ai log con l'API Microsoft Graph, è necessaria una delle autorizzazioni seguenti:

Directory.ReadWrite.All
NetworkAccess.Read.All
NetworkAccess.ReadWrite.All
NetworkAccess-Report.Lettura.Tutti

Per accedere ai log di integrità della rete remota con l'API Microsoft Graph:

Accedere a Graph explorer.
Selezionare GET come metodo HTTP.
Selezionare BETA come versione dell'API.
Eseguire la query riportata di seguito:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Risposta (troncata):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Configurare le impostazioni diagnostiche per esportare i log

L'integrazione dei log con uno strumento SIEM come Log Analytics viene configurata tramite le impostazioni di diagnostica in Microsoft Entra ID. Questo processo è descritto in dettaglio nell'articolo Configurare le impostazioni di diagnostica di Microsoft Entra per i log attività.

Per configurare le impostazioni di diagnostica è necessario:

Accesso amministratore di sicurezza.
Un'area di lavoro Log Analytics.

I passaggi di base per configurare le impostazioni di diagnostica sono i seguenti:

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
Passare a Entra ID>Monitoraggio e integrità>Impostazioni diagnostiche.
Tutte le impostazioni di diagnostica esistenti vengono visualizzate nella tabella. Selezionare Modifica impostazioni per modificare un'impostazione esistente o selezionare Aggiungi impostazioni di diagnostica per creare una nuova impostazione.
Specificare un nome.
Seleziona RemoteNetworkHealthLogs (e tutti gli altri log) che desideri includere.
Selezionare le destinazioni a cui inviare i log.
Selezionare la sottoscrizione e la destinazione dai menu a discesa visualizzati.
Selezionare il pulsante Salva.

Nota

Potrebbero essere necessari fino a tre giorni prima che i log inizino a essere visualizzati nella destinazione.

Dopo aver indirizzato i log a Log Analytics, è possibile sfruttare le funzionalità seguenti:

Creare regole di avviso per ricevere una notifica per elementi come un errore del tunnel BGP.
- Per altre informazioni, vedere Creare una regola di avviso.
Visualizzare i dati con una cartella di lavoro di Azure per Microsoft Entra (illustrata nella sezione successiva).
Integrare i log con Microsoft Sentinel per l'analisi della sicurezza e l'intelligence sulle minacce.
- Per ulteriori informazioni, seguire la procedura di avvio rapido di Microsoft Sentinel.

Analizzare i log con una cartella di lavoro

Cartelle di lavoro di Azure per Microsoft Entra forniscono una rappresentazione visiva dei dati. Dopo aver configurato un'area di lavoro Log Analytics e le impostazioni di diagnostica per integrare i log con Log Analytics, è possibile usare una cartella di lavoro per analizzare i dati tramite questi potenti strumenti.

Vedere queste risorse utili per le cartelle di lavoro:

Download dei registri

Un pulsante Download è disponibile in tutti i log, sia in Global Secure Access che in Microsoft Entra Monitoring and health( Monitoraggio e integrità di Microsoft Entra). È possibile scaricare i log come file JSON o CSV. Per altre informazioni, vedere Come scaricare i log.

Per limitare i risultati restituiti dei log, selezionare Aggiungi filtro. È possibile impostare i filtri in base a:

Descrizione
ID rete remota
IP di origine
IP di destinazione
Conteggio delle route BGP annunciate

Nella tabella seguente vengono descritti ognuno dei campi presenti nei log di integrità della rete remota.

Nome	Descrizione
Data/ora di creazione	Ora della generazione degli eventi originali
Indirizzo IP di origine	Indirizzo IP dell'attrezzatura CPE. La coppia di indirizzi IP di origine/destinazione è univoca per ogni tunnel IPsec.
Indirizzo IP di destinazione	Indirizzo IP del gateway Microsoft Entra. La coppia di indirizzi IP di origine/destinazione è univoca per ogni tunnel IPsec.
stato	Tunnel connesso: questo evento viene generato quando viene stabilito correttamente un tunnel IPsec. Tunnel disconnesso: questo evento viene generato quando viene disconnesso un tunnel IPsec. BGP connesso: questo evento viene generato quando viene stabilita correttamente una connettività BGP. BGP disconnesso: questo evento viene generato quando una connettività BGP diventa inattiva. Rete remota attiva: questa statistica periodica viene generata ogni 15 minuti per tutti i tunnel attivi.
Descrizione	Descrizione facoltativa dell'evento.
Conteggio delle route BGP annunciate	Conteggio facoltativo delle route BGP annunciate mediante il tunnel IPsec. Questo valore è 0 per gli eventi tunnel connesso, tunnel disconnesso, BGP connesso e BGP disconnesso.
Byte inviati	Numero facoltativo di byte inviati dall'origine alla destinazione su un tunnel negli ultimi 15 minuti. Questo valore è 0 per gli eventi tunnel connesso, tunnel disconnesso, BGP connesso e BGP disconnesso.
Byte ricevuti	Numero opzionale di byte ricevuti dall'origine alla destinazione attraverso un tunnel negli ultimi 15 minuti. Questo valore è 0 per gli eventi tunnel connesso, tunnel disconnesso, BGP connesso e BGP disconnesso.
ID rete remota	ID della rete remota a cui è associato il tunnel.

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2025-04-21