Compartilhar via

Como usar os logs do Microsoft 365 enriquecidos pelo Acesso Global Seguro

Com o tráfego da Microsoft fluindo pelo Microsoft Entra Internet Access para Microsoft Services, você deseja obter insights sobre o desempenho, a experiência e a disponibilidade dos aplicativos do Microsoft 365 que sua organização usa. Com o Acesso Seguro Global, os logs de Auditoria do Microsoft 365 podem ser facilmente enriquecidos com as informações necessárias para obter esses insights. Você pode integrar os logs a uma ferramenta SIEM (gerenciamento de eventos e informações de segurança) de terceiros para análise posterior.

Este artigo descreve as informações nos logs e como usá-las para os insights acima.

Pré-requisitos

Para usar os logs enriquecidos, você precisa das seguintes funções, configurações e assinaturas:

Funções e permissões

  • Uma função de Administrador de Segurança é necessária para exportar logs de tráfego de rede de acesso seguro global nas configurações de diagnóstico.

Configurações

  • Perfil da Microsoft – Verifique se o perfil de tráfego da Microsoft está habilitado. O perfil de encaminhamento de tráfego da Microsoft é necessário para capturar tráfego direcionado aos serviços do Microsoft 365, o que é essencial para o enriquecimento de logs.
  • Locatário que envia dados – Confirma que o tráfego, conforme configurado nos perfis de encaminhamento, é encapsulado com precisão para o serviço Acesso Global Seguro.
  • Definição das Configurações de Diagnóstico - Define as configurações de diagnóstico do Microsoft Entra para direcionar os logs para um ponto de extremidade designado, como um espaço de trabalho do Log Analytics ou um espaço de trabalho do Sentinel. Os requisitos para cada ponto de extremidade variam e são descritos na seção Definir configurações de diagnóstico deste artigo.
  • Exportar a tabela de log do OfficeActivity – A tabela OfficeActivity deve ser exportada para o mesmo espaço de trabalho do LogAnalytics ou do Microsoft Sentinel que os logs de tráfego do GSA, ou para outro sistema SIEM ou sistema de log de terceiros.

Assinaturas

Você deve configurar o endpoint para onde deseja rotear os logs antes de configurar as configurações de diagnóstico. Os requisitos para cada ponto de extremidade variam e são descritos na seção Definir configurações de diagnóstico .

O que os logs fornecem

Os logs de auditoria do Microsoft 365 fornecem informações sobre cargas de trabalho do Microsoft 365, para que você possa examinar dados de diagnóstico de rede, dados de desempenho e eventos de segurança relevantes para aplicativos do Microsoft 365. Com as propriedades enriquecidas do Acesso Global Seguro, os dados de registro incluem informações do dispositivo relacionadas às atividades do usuário. Por exemplo, se o acesso ao Microsoft 365 for bloqueado para um usuário em sua organização, você precisará de visibilidade de como o dispositivo do usuário está se conectando à sua rede.

Esses logs fornecem:

  • Informações adicionadas aos logs originais
  • Endereço IP preciso

Seguindo as etapas deste artigo, os logs são enriquecidos com mais informações, incluindo a ID do dispositivo, o sistema operacional e o endereço IP original. Os logs enriquecidos do SharePoint fornecem informações sobre arquivos que foram baixados, carregados, excluídos, modificados ou reciclados. Os itens de lista excluídos ou reciclados também são incluídos nos logs enriquecidos.

Como exibir os logs

Exibir logs de auditoria aprimorados do Microsoft 365 é um processo único de duas etapas. Primeiro, você precisa coletar logs de Tráfego de Rede do Acesso Global Seguro e logs de Auditoria Unificada do Microsoft 365 para o mesmo ponto de extremidade (o Microsoft Sentinel é o espaço de trabalho recomendado). Em segundo lugar, você precisa criar sua própria consulta de junção para correlacionar os dados entre as duas tabelas ou usar a pasta de trabalho de Logs do Microsoft 365 Enriquecidos pelo Acesso Global Seguro OOTB que já aplica as consultas necessárias.

Observação

No momento, apenas os logs do SharePoint Online estão disponíveis para enriquecimento de logs.

Observação

Os logs de auditoria do MS365 passaram por uma alteração de recurso. Em vez de criar um novo fluxo separado de logs, agora você pode aproveitar as duas tabelas de log existentes – Microsoft 365 OfficeActivity e tabelas Global Secure Access NetworkAccessTraffic – e combinar os dados usando uma ID de Token Exclusivo.

Definir as configurações de diagnóstico

Para exibir os logs enriquecidos do Microsoft 365, você deve exportar ou transmitir os logs para um endpoint, como uma área de trabalho do Log Analytics ou uma ferramenta SIEM. O ponto de extremidade precisa ser configurado para que você defina as configurações de diagnóstico.

Configurar um ponto de extremidade

Enviar logs para um ponto de extremidade

Com o ponto de extremidade criado, você pode definir as configurações de diagnóstico.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Acesse Entra ID>Monitoramento & integridade>Configurações de diagnóstico.

  3. Selecione Adicionar Configuração de Diagnóstico.

  4. Dê um nome à sua configuração de diagnóstico.

  5. Selecione NetworkAccessTrafficLogs.

  6. Selecione os detalhes de destino para onde você deseja enviar os logs. Escolha qualquer um ou todos os destinos a seguir. Mais campos são exibidos, dependendo da seleção.

    • Enviar para o espaço de trabalho do Log Analytics: selecione os detalhes apropriados nos menus que aparecem.
    • Arquivar em uma conta de armazenamento: Forneça o número de dias que você deseja manter os dados nas caixas de dias de retenção que aparecem ao lado das categorias de log. Selecione os detalhes apropriados nos menus exibidos.
    • Transmitir para um hub de eventos: Selecione os detalhes apropriados nos menus que aparecem.
    • Enviar para a solução de parceiro: Selecione os detalhes apropriados nos menus que aparecem.

Próximas etapas