Verwenden der angereicherten Microsoft 365-Protokolle für den globalen sicheren Zugriff

Mit Ihrem Microsoft-Datenverkehr, der über den Microsoft Entra Internet Access für Microsoft-Dienste fließt, möchten Sie Einblicke in die Leistung, Erfahrung und Verfügbarkeit der von Ihrer Organisation genutzten Microsoft 365-Apps erhalten. Mit dem globalen sicheren Zugriff können Microsoft 365-Überwachungsprotokolle ganz einfach mit den Informationen erweitert werden, die Sie benötigen, um diese Erkenntnisse zu gewinnen. Sie können die Protokolle zur weiteren Analyse in ein SIEM-Tool (Security Information and Event Management, Verwaltung von sicherheitsrelevanten Informationen und Ereignissen) eines Drittanbieters integrieren.

In diesem Artikel werden die Informationen in den Protokollen und deren Verwendung für die obigen Erkenntnisse beschrieben.

Voraussetzungen

Um die angereicherten Protokolle verwenden zu können, benötigen Sie die folgenden Rollen, Konfigurationen und Abonnements:

Rollen und Berechtigungen

Für den Export von Global Secure Access Network Traffic Logs in den Diagnoseeinstellungen ist eine Sicherheitsadministratorrolle erforderlich.

Konfigurationen

Microsoft-Profil – Stellen Sie sicher, dass das Microsoft-Datenverkehrsprofil aktiviert ist. Ein Microsoft-Profil für die Datenverkehrsweiterleitung ist erforderlich, um Datenverkehr zu erfassen, der an Microsoft 365-Dienste gerichtet ist, was für die Protokollanreicherung von grundlegender Bedeutung ist.
Senden von Daten durch den Mandanten – Bestätigt, dass der Datenverkehr, wie in den Weiterleitungsprofilen konfiguriert, korrekt in den Global Secure Access-Dienst getunnelt wird.
Konfiguration von Diagnoseeinstellungen – Richten Sie Microsoft Entra-Diagnoseeinstellungen ein, um die Protokolle an einen bestimmten Endpunkt zu kanalieren, z. B. einen Log Analytics-Arbeitsbereich oder Sentinel-Arbeitsbereich. Die Anforderungen für jeden Endpunkt unterscheiden sich und werden im Abschnitt Diagnoseeinstellungen konfigurieren in diesem Artikel beschrieben.
Exportieren Sie die OfficeActivity-Protokolltabelle – Die OfficeActivity-Tabelle muss in denselben LogAnalytics- oder Microsoft Sentinel-Arbeitsbereich wie die GSA-Datenverkehrsprotokolle oder ein anderes SIEM- oder Protokollsystem eines Drittanbieters exportiert werden.

Abonnements

Für das Produkt ist eine Lizenzierung erforderlich, um das Datenverkehrsweiterleitungsprofil für Microsoft Services zu aktivieren. Ausführliche Informationen finden Sie im Abschnitt "Lizenzierung" des globalen sicheren Zugriffs. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Sie müssen den Endpunkt konfigurieren, für den Sie die Protokolle weiterleiten möchten, bevor Sie Diagnoseeinstellungen konfigurieren. Die Anforderungen für jeden Endpunkt variieren und werden im Abschnitt "Diagnoseeinstellungen konfigurieren" beschrieben.

In den Protokollen enthaltene Informationen

Microsoft 365-Überwachungsprotokolle stellen Informationen zu Microsoft 365-Workloads bereit, sodass Sie Netzwerkdiagnosedaten, Leistungsdaten und Sicherheitsereignisse überprüfen können, die für Microsoft 365-Apps relevant sind. Mit den erweiterten Eigenschaften aus den Global-Secure-Access-Protokolldaten sind Geräteinformationen im Zusammenhang mit den Benutzeraktivitäten enthalten. Wenn beispielsweise der Zugriff auf Microsoft 365 für eine*n Benutzer*in in Ihrer Organisation blockiert ist, benötigen Sie Einblick in die Verbindung zwischen dem Benutzergerät und Ihrem Netzwerk.

Diese Protokolle bieten Folgendes:

Zusätzliche Informationen zu ursprünglichen Protokollen hinzugefügt
Exakte IP-Adresse

Im Anschluss an die Schritte in diesem Artikel werden die Protokolle mit weiteren Informationen erweitert, einschließlich der Geräte-ID, des Betriebssystems und der ursprünglichen IP-Adresse. Angereicherte SharePoint-Protokolle enthalten Informationen zu Dateien, die heruntergeladen, hochgeladen, gelöscht, geändert oder wiederverwendet wurden. Gelöschte oder wiederverwendete Listenelemente sind ebenfalls in den angereicherten Protokollen enthalten.

Wie man die Protokolle ansieht

Das Anzeigen erweiterter Microsoft 365-Überwachungsprotokolle ist ein einmaliger, zweistufiger Prozess. Sie müssen zunächst Protokolle für den Netzwerkdatenverkehr mit globalem sicherem Zugriff und einheitliche Microsoft 365-Überwachungsprotokolle am selben Endpunkt sammeln (empfohlener Arbeitsbereich ist Microsoft Sentinel). Zweitens müssen Sie Eine eigene Verknüpfungsabfrage erstellen, um die Daten zwischen den beiden Tabellen zu korrelieren oder die Arbeitsmappe "Global Secure Access OOTB Enriched Microsoft 365 Logs" zu verwenden, die bereits die erforderlichen Abfragen anwendet.

Hinweis

Derzeit sind nur SharePoint Online-Protokolle für die Protokollanreicherung verfügbar.

Hinweis

MS365-Überwachungsprotokolle haben eine Funktionsänderung durchlaufen. Anstatt einen separaten neuen Protokolldatenstrom zu erstellen, können Sie nun die beiden vorhandenen Protokolltabellen nutzen: Microsoft 365 OfficeActivity und Global Secure Access NetworkAccessTraffic-Tabellen , und kombinieren sie dann mit einer eindeutigen Token-ID.

Konfigurieren von Diagnoseeinstellungen

Um die angereicherten Microsoft 365-Protokolle anzuzeigen, müssen Sie die Protokolle exportieren oder an einen Endpunkt streamen, z. B. einen Log Analytics-Arbeitsbereich oder ein SIEM-Tool. Der Endpunkt muss konfiguriert werden, bevor Sie Diagnoseeinstellungen konfigurieren können.

Konfigurieren eines Endpunkts

Zum Integrieren von Protokollen in Log Analytics benötigen Sie einen Log Analytics-Arbeitsbereich.
- Erstellen Sie einen Log Analytics-Arbeitsbereich.
- Integrieren von Protokollen in Log Analytics
Zum Streamen von Protokollen an ein SIEM-Tool müssen Sie einen Azure Event Hub und einen Event Hub-Namespace erstellen.
- Richten Sie einen Event Hubs-Namespace und einen Event Hub ein.
- Streamen von Protokollen an einen Event Hub
Zum Archivieren von Protokollen in einem Speicherkonto benötigen Sie ein Azure-Speicherkonto, für das Sie über Berechtigungen vom Typ ListKeys verfügen.
- Erstellen Sie ein Azure-Speicherkonto.
- Archivieren von Protokollen in einem Speicherkonto

Senden von Protokollen an einen Endpunkt

Nachdem Ihr Endpunkt erstellt wurde, können Sie Diagnoseeinstellungen konfigurieren.

Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra IDÜberwachung & GesundheitDiagnostikeinstellungen.
Wählen Sie " Diagnoseeinstellung hinzufügen" aus.
Benennen Sie die Diagnoseeinstellung.
Wählen Sie NetworkAccessTrafficLogs aus.
Wählen Sie die Zieldetails aus, für die Sie die Protokolle senden möchten. Wählen Sie eines oder alle der folgenden Ziele. Je nach Auswahl werden mehr Felder angezeigt.
- An Log Analytics-Arbeitsbereich senden: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
- Archivieren in einem Speicherkonto: Geben Sie die Anzahl der Tage an, die Sie in den Feldern " Aufbewahrungstage " aufbewahren möchten, die neben den Protokollkategorien angezeigt werden. Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
- An einen Event Hub streamen: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
- An Partnerlösung senden: Wählen Sie die entsprechenden Details aus den angezeigten Menüs aus.

Nächste Schritte

Feedback

War diese Seite hilfreich?

Last updated on 2025-07-07