Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
Con el tráfico de Microsoft que fluye a través de Microsoft Entra Internet Access para servicios de Microsoft, quiere obtener información sobre el rendimiento, la experiencia y la disponibilidad de las aplicaciones de Microsoft 365 que usa su organización. Con acceso seguro global, los registros de auditoría de Microsoft 365 se pueden enriquecer fácilmente con la información que necesita para obtener esta información. Puede integrar los registros con una herramienta de administración de eventos e información de seguridad de terceros (SIEM) para su posterior análisis.
En este artículo se describe la información de los registros y cómo usarlos para los conocimientos anteriores.
Requisitos previos
Para usar los registros enriquecidos, necesita los siguientes roles, configuraciones y suscripciones:
Roles y permisos necesarios
- Se requiere un rol de administrador de seguridad para exportar registros de tráfico de red de acceso seguro global en configuración de diagnóstico.
Configuraciones necesarias
- Perfil de Microsoft : asegúrese de que el perfil de tráfico de Microsoft está habilitado. El perfil de reenvío de tráfico de Microsoft es necesario para capturar el tráfico dirigido a los servicios de Microsoft 365, que es fundamental para el enriquecimiento de registros.
- Envío de datos del inquilino - Confirma que el tráfico, tal como se ha configurado en los perfiles de reenvío, se canaliza con precisión al servicio de Acceso Seguro Global.
- Configuración de configuración de diagnóstico: configure la configuración de diagnóstico de Microsoft Entra para canalizar los registros a un punto de conexión designado, como un área de trabajo de Log Analytics o un área de trabajo de Sentinel. Los requisitos de cada punto de conexión difieren y se describen en la sección Configurar opciones de diagnóstico de este artículo.
- Exportar la tabla de registro OfficeActivity : la tabla OfficeActivity debe exportarse a la misma área de trabajo de LogAnalytics o Microsoft Sentinel que los registros de tráfico de GSA u otro sistema de registro o SIEM de terceros.
Suscripciones necesarias
- El producto requiere licencias para habilitar el perfil de reenvío de tráfico para los servicios de Microsoft. Para obtener más información, consulte la sección de licencias de ¿Qué es el acceso seguro global? Si es necesario, puede comprar licencias o obtener licencias de prueba.
Debe configurar el punto de conexión para el que quiera enrutar los registros antes de configurar las opciones de diagnóstico. Los requisitos de cada punto de conexión varían y se describen en la sección Configurar opciones de diagnóstico .
Qué proporcionan los registros
Los registros de auditoría de Microsoft 365 proporcionan información sobre las cargas de trabajo de Microsoft 365, por lo que puede revisar los datos de diagnóstico de red, los datos de rendimiento y los eventos de seguridad pertinentes para las aplicaciones de Microsoft 365. Con las propiedades enriquecidas de los datos de registro de Acceso seguro global incluye información del dispositivo relacionada con las actividades del usuario. Por ejemplo, si el acceso a Microsoft 365 está bloqueado para un usuario de su organización, necesita visibilidad sobre cómo se conecta el dispositivo del usuario a la red.
Estos registros proporcionan:
- Información adicional agregada a los registros originales
- Dirección IP precisa
Siguiendo los pasos de este artículo, los registros se enriquecen con más información, incluido el identificador de dispositivo, el sistema operativo y la dirección IP original. Los registros de SharePoint enriquecidos proporcionan información sobre los archivos descargados, cargados, eliminados, modificados o reciclados. Los elementos de lista eliminados o reciclados también se incluyen en los registros enriquecidos.
Cómo ver los registros
Ver los registros de auditoría enriquecidos de Microsoft 365 es un proceso de dos pasos único. En primer lugar, debe recopilar registros de tráfico de red de acceso seguro global y registros de auditoría unificada de Microsoft 365 en el mismo punto de conexión (Microsoft Sentinel es el área de trabajo recomendada). En segundo lugar, debe crear su propia consulta de combinación para correlacionar los datos entre las dos tablas o usar el libro de trabajo Global Secure Access OOTB Enriched Microsoft 365 Logs, que ya ejecuta las consultas necesarias.
Nota:
En este momento, solo los registros de SharePoint Online están disponibles para el enriquecimiento de registros.
Nota:
Los registros de auditoría de MS365 han sufrido un cambio de característica. En lugar de crear un nuevo flujo de registros independiente, ahora puede aprovechar las dos tablas de registro existentes( OfficeActivity de Microsoft 365 y tablas networkAccessTraffic de acceso seguro global) y, a continuación, combinar los datos mediante un identificador de token único.
Configuración del diagnóstico
Para ver los registros enriquecidos de Microsoft 365, debe exportar o transmitir los registros a un punto de conexión, como un área de trabajo de Log Analytics o una herramienta SIEM. El punto de conexión debe configurarse para poder configurar las opciones de diagnóstico.
Configuración de un punto de conexión
Para integrar registros con Log Analytics, necesita un área de trabajo de Log Analytics.
Para transmitir registros a una herramienta SIEM, debe crear un centro de eventos de Azure y un espacio de nombres del centro de eventos.
Para archivar los registros en una cuenta de almacenamiento, necesita una cuenta de Almacenamiento de Azure para la que tenga
ListKeyspermisos.
Enviar registros a un punto de conexión
Con el punto de conexión creado, puede configurar las opciones de diagnóstico.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.
Vaya a Entra ID>Supervisión y estado de salud>Configuración de diagnóstico.
Seleccione Agregar configuración de diagnóstico.
Asigne un nombre a la configuración de diagnóstico.
Seleccione
NetworkAccessTrafficLogs.Seleccione los detalles de destino para dónde desea enviar los registros. Elija cualquiera de los destinos siguientes, o todos ellos. Aparecen más campos, en función de la selección.
- Enviar al área de trabajo de Log Analytics: Seleccione los detalles adecuados en los menús que aparecen.
- Archivar en una cuenta de almacenamiento: Proporcione el número de días que desea conservar los datos en los cuadros Días de retención que aparecen junto a las categorías de registro. Seleccione los detalles adecuados en los menús que aparecen.
- Transmitir a un centro de eventos: Seleccione los detalles adecuados en los menús que aparecen.
- Enviar a la solución del socio: Seleccione los detalles adecuados en los menús que aparecen.