Como usar os logs do Microsoft 365 enriquecidos com Acesso Seguro Global

Com o tráfego da Microsoft fluindo através do serviço de Internet Privada Microsoft Entra, você deseja obter informações sobre o desempenho, a experiência e a disponibilidade dos aplicativos do Microsoft 365 que sua organização usa. Os logs enriquecidos do Microsoft 365 fornecem as informações necessárias para obter esses insights. Você pode integrar os logs com uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para análise posterior.

Este artigo descreve as informações nos logs e como exportá-los.

Pré-requisitos

Para usar os logs enriquecidos, você precisa das seguintes funções, configurações e assinaturas:

Funções e Permissões

• Uma função de Administrador Global é necessária para habilitar os logs enriquecidos do Microsoft 365.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
• Para usar o perfil de encaminhamento de tráfego da Microsoft, uma licença do Microsoft 365 E3 é recomendada.

Configurações

• Perfil da Microsoft - Verifique se o perfil da Microsoft está habilitado. O perfil de encaminhamento de tráfego da Microsoft é necessário para capturar o tráfego direcionado aos serviços do Microsoft 365, que é fundamental para o enriquecimento de log.
• Política de Tráfego Comum do Microsoft 365 e do Office Online - Necessária para o enriquecimento de log. Certifique-se de que está ativado.
• Envio de dados do locatário - Confirma que o tráfego, conforme configurado nos perfis de encaminhamento, é encapsulado com precisão para o serviço Global Secure Access.
• Configuração de configurações de diagnóstico - Configure as configurações de diagnóstico do Microsoft Entra para canalizar os logs para um ponto de extremidade designado, como um espaço de trabalho do Log Analytics. Os requisitos para cada ponto de extremidade diferem e são descritos na seção Configurar configurações de diagnóstico deste artigo.

Subscrições

• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
• Licença Microsoft 365 E3 - Recomendada para empregar o perfil de encaminhamento de tráfego da Microsoft.

Você deve configurar o ponto de extremidade para onde deseja rotear os logs antes de definir as configurações de diagnóstico. Os requisitos para cada ponto de extremidade variam e são descritos na seção Configurar configurações de diagnóstico.

O que os logs fornecem

Os logs enriquecidos do Microsoft 365 fornecem informações sobre cargas de trabalho do Microsoft 365, para que você possa revisar dados de diagnóstico de rede, dados de desempenho e eventos de segurança relevantes para aplicativos do Microsoft 365. Por exemplo, se o acesso ao Microsoft 365 estiver bloqueado para um usuário em sua organização, você precisará de visibilidade sobre como o dispositivo do usuário está se conectando à sua rede.

Esses logs fornecem:

• Latência melhorada
• Informações adicionais adicionadas aos logs originais
• Endereço IP preciso

Esses logs são um subconjunto dos logs disponíveis nos logs de auditoria do Microsoft 365. Os logs são enriquecidos com mais informações, incluindo o ID do dispositivo, o sistema operacional e o endereço IP original. Os logs enriquecidos do SharePoint fornecem informações sobre arquivos que foram baixados, carregados, excluídos, modificados ou reciclados. Itens de lista excluídos ou reciclados também são incluídos nos logs enriquecidos.

Como visualizar os logs

A visualização dos logs enriquecidos do Microsoft 365 é um processo de duas etapas. Primeiro, você precisa habilitar o enriquecimento de log do Global Secure Access. Em segundo lugar, você precisa definir as configurações de diagnóstico do Microsoft Entra para rotear os logs para um ponto de extremidade, como um espaço de trabalho do Log Analytics.

Habilitar o enriquecimento de log

Para habilitar os logs enriquecidos do Microsoft 365:

1. Entre no centro de administração do Microsoft Entra como Administrador Global.
2. Navegue até Registro de Configurações>Globais de Acesso>Seguro.
3. Selecione o tipo de logs do Microsoft 365 que você deseja habilitar.
4. Selecione Guardar.

Os logs enriquecidos levam até 72 horas para se integrarem totalmente ao serviço.

Definir definições de Diagnóstico

Para exibir os logs enriquecidos do Microsoft 365, você deve exportar ou transmitir os logs para um ponto de extremidade, como um espaço de trabalho do Log Analytics ou uma ferramenta SIEM. O ponto de extremidade deve ser configurado antes que você possa definir as configurações de diagnóstico.

Configurar um ponto de extremidade

• Para integrar logs com o Log Analytics, você precisa de um espaço de trabalho do Log Analytics.

  • Crie um espaço de trabalho do Log Analytics.
  • Integre logs com o Log Analytics

• Para transmitir logs para uma ferramenta SIEM, você precisa criar um hub de eventos do Azure e um namespace de hub de eventos.

  • Configure um namespace de Hubs de Eventos e um hub de eventos.
  • Transmitir logs para um hub de eventos

• Para arquivar logs em uma conta de armazenamento, você precisa de uma conta de armazenamento do Azure para a qual tenha ListKeys permissões.

  • Crie uma conta de armazenamento do Azure.
  • Arquivar registos numa conta de armazenamento

Enviar logs para um ponto de extremidade

Com o ponto de extremidade criado, você pode definir as configurações de diagnóstico.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.

3. Selecione Adicionar configuração de diagnóstico.

4. Dê um nome à sua configuração de diagnóstico.

5. Selecione EnrichedOffice365AuditLogs.

6. Selecione os detalhes de destino para onde você gostaria de enviar os logs. Escolha um ou todos os seguintes destinos. Mais campos aparecem, dependendo da sua seleção.

   • Enviar para o espaço de trabalho do Log Analytics: selecione os detalhes apropriados nos menus exibidos.
   • Arquivar em uma conta de armazenamento: forneça o número de dias que você gostaria de reter os dados nas caixas Dias de retenção que aparecem ao lado das categorias de log. Selecione os detalhes apropriados nos menus que aparecem.
   • Transmitir para um hub de eventos: selecione os detalhes apropriados nos menus exibidos.
   • Enviar para solução de parceiro: selecione os detalhes apropriados nos menus exibidos.

O exemplo a seguir é o envio dos logs enriquecidos para um espaço de trabalho do Log Analytics, que requer a seleção do espaço de trabalho Assinatura e do Log Analytics nos menus exibidos.

Próximos passos

• Explore os logs de Acesso Seguro Global e as opções de monitoramento
• Saiba mais sobre os logs de auditoria do Global Secure Access (visualização)
• Logs de auditoria enriquecidos do Microsoft 365