如何使用加強版之 Microsoft 365 全域安全存取記錄

當您的 Microsoft 流量通過 Microsoft Entra Internet Access for Microsoft Services 時，您希望深入了解貴組織所使用的 Microsoft 365 應用程式的效能、使用體驗和可用性。 透過全域安全存取，Microsoft 365 稽核記錄可透過取得這些見解所需的信息輕鬆擴充。 您可以將記錄與第三方安全性資訊與事件管理 (SIEM) 工具整合，以進一步分析。

本文說明記錄中的資訊，以及如何針對上述深入解析使用這些資訊。

必要條件

若要使用擴充的記錄，您需要下列角色、設定和訂用帳戶：

角色與權限

• 需要 安全性系統管理員 角色，才能匯出診斷設定中的全域安全存取網路流量記錄。

組態

• Microsoft設定檔 - 確定已啟用Microsoft流量配置檔。 需要 Microsoft 流量轉發設定檔來擷取通往 Microsoft 365 服務的流量，這是日誌增強的基礎。
• 租戶傳送數據 - 確認流量依據轉送配置文件設定，能正確地隧道傳送至全球安全存取服務。
• 診斷設定組態 - 設定Microsoft Entra 診斷設定，將記錄傳送至指定的端點，例如 Log Analytics 工作區或 Sentinel 工作區。 每個端點的需求會有所不同，如本文中設定診斷設定一節所概述。
• 匯出 OfficeActivity 記錄數據表 - OfficeActivity 數據表必須匯出至與 GSA 流量記錄或其他第三方 SIEM 或記錄系統相同的 LogAnalytics 或 Microsoft Sentinel 工作區。

訂用帳戶

• 產品需要授權，才能啟用 Microsoft Services 的流量轉送配置檔。 如需詳細資訊，請參閱 什麼是全域安全存取的授權一節。 如有需要，您可以 購買授權或取得試用版授權。

在設定診斷設定之前，您必須針對要對記錄進行路由的位置設定端點。 每個端點的需求會有所不同，如設定 診斷設定 一節所述。

記錄提供的內容

Microsoft 365 個稽核記錄提供Microsoft 365 個工作負載的相關信息，因此您可以檢閱與 Microsoft 365 應用程式相關的網路診斷數據、效能數據和安全性事件。 透過全域安全存取記錄數據所提供的豐富屬性，可以獲取與用戶活動有關的裝置資訊。 例如，在封鎖您組織中的某個使用者存取 Microsoft 365 的情況下，您需要對該使用者的裝置連線到您網路的方式取得可見度。

這些記錄可提供︰

• 已新增至原始記錄的其他資訊
• 精確的 IP 位址

遵循本文中的步驟，記錄會以詳細資訊擴充，包括裝置標識碼、作系統和原始IP位址。 擴充的 SharePoint 記錄能提供已下載、上傳、刪除、修改或回收之檔案的相關資訊。 已刪除或回收的清單項目也會包括在擴充的記錄中。

如何檢視記錄檔

檢視增強 Microsoft 365 稽核記錄是一個由兩步驟組成的過程。 首先，您必須將全域安全存取網路流量記錄和Microsoft 365 統一稽核記錄收集到相同的端點（Microsoft Sentinel 是建議的工作區）。 其次，您必須建立自己的聯結查詢，以將兩個數據表之間的數據相互關聯，或使用已套用所需查詢的全域安全存取 OOTB 擴充Microsoft 365 記錄活頁簿。

設定診斷設定

若要檢視擴充的 Microsoft 365 記錄，您必須將記錄匯出或串流至某個端點，例如 Log Analytics 工作區或 SIEM 工具。 您必須先設定該端點，才能設定診斷設定。

設定端點

• 若要將記錄與 Log Analytics 整合，您需要 Log Analytics 工作區。

  • 建立 Log Analytics 工作區。
  • 整合記錄與日誌分析

• 若要將記錄串流至 SIEM 工具，您必須建立 Azure 事件中樞和事件中樞命名空間。

  • 設定事件中樞命名空間和事件中樞。
  • 將記錄串流至事件中樞

• 若要將記錄封存至儲存體帳戶，您需要具有 ListKeys 權限的 Azure 儲存體帳戶。

  • 建立 Azure 記憶體帳戶。
  • 將記錄封存至記憶體帳戶

將記錄傳送至端點

建立端點之後，您就可以設定診斷設定。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>監視與健康情況>診斷設定。

3. 選取 [新增診斷設定]。

4. 指定診斷設定的名稱。

5. 選取 NetworkAccessTrafficLogs。

6. 針對您想要傳送記錄的位置，選取 [目的地詳細資料]。 選擇下列任一或所有目的地。 視選取項目而定，會出現更多欄位。

   • 傳送至 Log Analytics 工作區： 從出現的功能表中選取適當的詳細數據。
   • 封存至記憶體帳戶： 在記錄類別旁顯示的 [ 保留天數 ] 方塊中，提供您想要保留數據的天數。 從出現的功能表中選取適當的詳細資料。
   • 串流至事件中樞： 從出現的功能表中選取適當的詳細數據。
   • 傳送至合作夥伴解決方案： 從出現的功能表中選取適當的詳細數據。

下一步

• 探索全域安全存取記錄和監視選項
• 瞭解全域安全存取稽核記錄 （預覽）
• 擴充Microsoft 365 稽核記錄