Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
La supervisión del tráfico para Global Secure Access es una actividad importante para garantizar que el tenant esté configurado correctamente y que los usuarios obtengan la mejor experiencia posible. Los registros de tráfico de acceso seguro global (versión preliminar) proporcionan información sobre quién tiene acceso a qué recursos, desde dónde acceden a ellos y desde qué acción tuvo lugar.
En este artículo se describe cómo usar los registros de tráfico para el Acceso global seguro.
Requisitos previos
- Un rol de administrador de acceso seguro global en microsoft Entra ID.
- Un rol de lector de registros de acceso seguro global en Microsoft Entra ID.
- El producto requiere licencias. Para obtener más información, consulte la sección de licencias de ¿Qué es el acceso seguro global? Si es necesario, puede comprar licencias o obtener licencias de prueba.
Cómo funcionan los registros de tráfico
Los registros de Acceso global seguro proporcionan detalles del tráfico de red. Para comprender mejor esos detalles y cómo puede analizar esos detalles para supervisar su entorno, resulta útil examinar los tres niveles de los registros y su relación entre sí.
Un usuario que accede a un sitio web representa una sesión y dentro de esa sesión puede haber varias conexiones, y dentro de esa conexión puede haber varias transacciones.
- Sesión: la primera dirección URL a la que accede un usuario identifica una sesión. Esa sesión podría abrir muchas conexiones, por ejemplo, un sitio de noticias que contiene varios anuncios de varios sitios diferentes.
- Conexión: una conexión incluye la dirección IP de origen y destino, el puerto de origen y de destino y el nombre de dominio completo (FQDN). Los componentes de la conexión componen la tupla quíntuple.
- Transacción: una transacción es un par de solicitud y respuesta único.
Dentro de cada instancia de registro, puedes ver el Id. de conexión y el Id. de transacción en los detalles. Mediante el uso de los filtros, puedes examinar todas las conexiones y transacciones de una sola sesión.
Cómo ver los registros de tráfico
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de informes.
- Acceso Seguro Global>Monitor>Registros de tráfico.
La parte superior de la página muestra un resumen de todas las transacciones, así como un desglose de cada tipo de tráfico. Seleccione los botones De acceso privado o Microsoft 365 para filtrar los registros por cada tipo de tráfico.
Nota:
En este momento, la información del Id. de sesión no está disponible en los detalles del registro.
Visualización de los detalles de registro
Selecciona un registro en la lista para ver los detalles. Estos detalles proporcionan información valiosa que se puede usar para filtrar los registros de detalles específicos o para solucionar problemas de un escenario. Los detalles se pueden agregar como una columna y se usan para filtrar los registros.
Filtros de filas y opciones de columnas
Los registros de tráfico pueden proporcionar muchos detalles, por lo que para iniciar solo algunas columnas están visibles. Habilita y deshabilita las columnas en función de las tareas de análisis o solución de problemas que estás realizando, ya que los registros podrían ser difíciles de ver con demasiadas columnas seleccionadas. Las opciones de columna y filtro se alinean con cada elemento de los detalles de la actividad.
Seleccione Columnas en la parte superior de la página para cambiar las columnas que se muestran.
Para filtrar los registros de tráfico a un detalle específico, seleccione el botón Agregar filtro y escriba los detalles por los que desea filtrar.
Por ejemplo, si deseas examinar todos los registros de una conexión específica:
Seleccione el detalle del registro y copie el
connectionIdde los detalles de la actividad.Seleccione Agregar filtro y elija Id. de conexión.
En el campo que aparece, pegue el
connectionIdy seleccione Aplicar.
Visualización de los registros de conexión
Los registros de conexión proporcionan un resumen de todas las transacciones asociadas, incluido el recuento total de transacciones y las transacciones bloqueadas, lo que permite la identificación rápida de cualquier actividad bloqueada.
Una conexión representa varias transacciones que se producen en las últimas 24 horas y comparten el mismo identificador de correlación de flujo. Aunque los registros de transacciones proporcionan información detallada sobre transacciones individuales, los registros de conexión ofrecen información general de nivel superior agregando varias transacciones. Las conexiones se registran en tiempo real con el estado Activo/Cerrado, lo que proporciona a los administradores visibilidad del tráfico casi en tiempo real.
Actualmente, está disponible en versión preliminar una nueva pestaña en la hoja de registros de tráfico, para que pueda ver Conexiones.
Las transacciones asociadas a cada conexión se ven seleccionando la pestaña Transacciones .
Escenarios de solución de problemas
Los detalles siguientes pueden ser útiles para solucionar problemas y análisis:
- Si le interesa el tamaño del tráfico que se envía y recibe, habilite las columnas Bytes enviados y Bytes recibidos . Selecciona el encabezado de columna para ordenar los registros por el tamaño de los registros.
- Si estás revisando la actividad de red de un usuario de riesgo, puedes filtrar los resultados por nombre principal de usuario y, a continuación, revisar los sitios a los que acceden.
- Para buscar tráfico a los tipos de sitios web que desea bloquear o permitir, habilite la columna Categoría web .
Los detalles del registro proporcionan información valiosa sobre el tráfico de red. No todos los detalles se definen en la lista siguiente, pero los detalles siguientes son útiles para la solución de problemas y el análisis:
- Identificador de transacción: identificador único que representa el par de solicitud/respuesta.
- Identificador de conexión: identificador único que representa la conexión que inició el registro.
- Categoría del dispositivo: tipo de dispositivo desde el que se inició la transacción. Cliente ored remota.
- Acción: la acción realizada en la sesión de red. Permitido o Denegado.
Configuración de los valores de diagnóstico para exportar registros
Puede exportar los registros de tráfico de acceso seguro global (versión preliminar) a un punto de conexión para realizar análisis y alertas adicionales. Esta integración se configura en la configuración de diagnóstico de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.
Vaya a Entra ID>Supervisión y estado>Configuración de diagnóstico.
Seleccione Agregar configuración de diagnóstico.
Asigne un nombre a la configuración de diagnóstico.
Seleccione
NetworkAccessTrafficLogs.Seleccione los detalles de destino para dónde desea enviar los registros. Elija cualquiera de los destinos siguientes, o todos ellos. Aparecen campos adicionales, en función de la selección.
- Enviar al área de trabajo de Log Analytics: Seleccione los detalles adecuados en los menús que aparecen.
- Archivar en una cuenta de almacenamiento: Proporcione el número de días que desea conservar los datos en los cuadros Días de retención que aparecen junto a las categorías de registro. Seleccione los detalles adecuados en los menús que aparecen.
- Transmitir a un centro de eventos: Seleccione los detalles adecuados en los menús que aparecen.
- Enviar a la solución de asociados: Seleccione los detalles adecuados en los menús que aparecen.