Compartir a través de


Instrucciones para utilizar los registros de Microsoft 365 enriquecidos con Acceso global seguro

Visión general

Con el tráfico de Microsoft que fluye a través de Microsoft Entra Internet Access para servicios de Microsoft, quiere obtener información sobre el rendimiento, la experiencia y la disponibilidad de las aplicaciones de Microsoft 365 que usa su organización. Con acceso seguro global, los registros de auditoría de Microsoft 365 se pueden enriquecer fácilmente con la información que necesita para obtener esta información. Puede integrar los registros con una herramienta de administración de eventos e información de seguridad de terceros (SIEM) para su posterior análisis.

En este artículo se describe la información de los registros y cómo usarlos para los conocimientos anteriores.

Requisitos previos

Para usar los registros enriquecidos, necesita los siguientes roles, configuraciones y suscripciones:

Roles y permisos necesarios

  • Se requiere un rol de administrador de seguridad para exportar registros de tráfico de red de acceso seguro global en configuración de diagnóstico.

Configuraciones necesarias

  • Perfil de Microsoft : asegúrese de que el perfil de tráfico de Microsoft está habilitado. El perfil de reenvío de tráfico de Microsoft es necesario para capturar el tráfico dirigido a los servicios de Microsoft 365, que es fundamental para el enriquecimiento de registros.
  • Envío de datos del inquilino - Confirma que el tráfico, tal como se ha configurado en los perfiles de reenvío, se canaliza con precisión al servicio de Acceso Seguro Global.
  • Configuración de configuración de diagnóstico: configure la configuración de diagnóstico de Microsoft Entra para canalizar los registros a un punto de conexión designado, como un área de trabajo de Log Analytics o un área de trabajo de Sentinel. Los requisitos de cada punto de conexión difieren y se describen en la sección Configurar opciones de diagnóstico de este artículo.
  • Exportar la tabla de registro OfficeActivity : la tabla OfficeActivity debe exportarse a la misma área de trabajo de LogAnalytics o Microsoft Sentinel que los registros de tráfico de GSA u otro sistema de registro o SIEM de terceros.

Suscripciones necesarias

Debe configurar el punto de conexión para el que quiera enrutar los registros antes de configurar las opciones de diagnóstico. Los requisitos de cada punto de conexión varían y se describen en la sección Configurar opciones de diagnóstico .

Qué proporcionan los registros

Los registros de auditoría de Microsoft 365 proporcionan información sobre las cargas de trabajo de Microsoft 365, por lo que puede revisar los datos de diagnóstico de red, los datos de rendimiento y los eventos de seguridad pertinentes para las aplicaciones de Microsoft 365. Con las propiedades enriquecidas de los datos de registro de Acceso seguro global incluye información del dispositivo relacionada con las actividades del usuario. Por ejemplo, si el acceso a Microsoft 365 está bloqueado para un usuario de su organización, necesita visibilidad sobre cómo se conecta el dispositivo del usuario a la red.

Estos registros proporcionan:

  • Información adicional agregada a los registros originales
  • Dirección IP precisa

Siguiendo los pasos de este artículo, los registros se enriquecen con más información, incluido el identificador de dispositivo, el sistema operativo y la dirección IP original. Los registros de SharePoint enriquecidos proporcionan información sobre los archivos descargados, cargados, eliminados, modificados o reciclados. Los elementos de lista eliminados o reciclados también se incluyen en los registros enriquecidos.

Cómo ver los registros

Ver los registros de auditoría enriquecidos de Microsoft 365 es un proceso de dos pasos único. En primer lugar, debe recopilar registros de tráfico de red de acceso seguro global y registros de auditoría unificada de Microsoft 365 en el mismo punto de conexión (Microsoft Sentinel es el área de trabajo recomendada). En segundo lugar, debe crear su propia consulta de combinación para correlacionar los datos entre las dos tablas o usar el libro de trabajo Global Secure Access OOTB Enriched Microsoft 365 Logs, que ya ejecuta las consultas necesarias.

Nota:

En este momento, solo los registros de SharePoint Online están disponibles para el enriquecimiento de registros.

Nota:

Los registros de auditoría de MS365 han sufrido un cambio de característica. En lugar de crear un nuevo flujo de registros independiente, ahora puede aprovechar las dos tablas de registro existentes( OfficeActivity de Microsoft 365 y tablas networkAccessTraffic de acceso seguro global) y, a continuación, combinar los datos mediante un identificador de token único.

Configuración del diagnóstico

Para ver los registros enriquecidos de Microsoft 365, debe exportar o transmitir los registros a un punto de conexión, como un área de trabajo de Log Analytics o una herramienta SIEM. El punto de conexión debe configurarse para poder configurar las opciones de diagnóstico.

Configuración de un punto de conexión

Enviar registros a un punto de conexión

Con el punto de conexión creado, puede configurar las opciones de diagnóstico.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.

  2. Vaya a Entra ID>Supervisión y estado de salud>Configuración de diagnóstico.

  3. Seleccione Agregar configuración de diagnóstico.

  4. Asigne un nombre a la configuración de diagnóstico.

  5. Seleccione NetworkAccessTrafficLogs.

  6. Seleccione los detalles de destino para dónde desea enviar los registros. Elija cualquiera de los destinos siguientes, o todos ellos. Aparecen más campos, en función de la selección.

    • Enviar al área de trabajo de Log Analytics: Seleccione los detalles adecuados en los menús que aparecen.
    • Archivar en una cuenta de almacenamiento: Proporcione el número de días que desea conservar los datos en los cuadros Días de retención que aparecen junto a las categorías de registro. Seleccione los detalles adecuados en los menús que aparecen.
    • Transmitir a un centro de eventos: Seleccione los detalles adecuados en los menús que aparecen.
    • Enviar a la solución del socio: Seleccione los detalles adecuados en los menús que aparecen.

Pasos siguientes