グローバル セキュア アクセスのトラフィック ログ (プレビュー) を使用する方法

グローバル セキュア アクセスのトラフィックの監視は、テナントが正しく構成されていることを確かめ、ユーザーが可能な限り最高のエクスペリエンスを得られるようにするための、重要なアクティビティです。 グローバル セキュア アクセスのトラフィック ログ (プレビュー) では、誰がどのリソースにアクセスしているか、どこからアクセスしているか、どのようなアクションを実行したかについての、分析情報が提供されます。

この記事では、グローバル セキュア アクセスのトラフィック ログを使用する方法について説明します。

前提条件

• Microsoft Entra ID の グローバルセキュアアクセス管理者 ロール。
• Microsoft Entra ID の グローバルなセキュリティで保護されたアクセス ログ閲覧者 ロール。
• この製品にはライセンスが必要です。 詳細については、「 グローバルセキュリティで保護されたアクセスとは」のライセンスセクションを参照してください。 必要に応じて、 ライセンスを購入するか、試用版ライセンスを取得できます。

トラフィック ログのしくみ

グローバル セキュア アクセスのログでは、ネットワーク トラフィックの詳細が提供されます。 それらの詳細およびそれを分析して環境を監視する方法を理解するには、ログの 3 つのレベルとそれらの相互関係を調べると役に立ちます。

Web サイトにアクセスするユーザーは 1 つの "セッション" を表し、そのセッション内には複数の "接続" が存在する場合があり、その接続内には複数の "トランザクション" が存在する可能性があります。

• セッション: セッションは、ユーザーがアクセスする最初の URL によって識別されます。 さらにそのセッションから、複数の異なるサイトの複数の広告を含むニュース サイトなど、多くの接続が開かれる可能性があります。
• 接続: 接続には、送信元と宛先の IP、送信元と宛先のポート、完全修飾ドメイン名 (FQDN) が含まれます。 接続コンポーネントは、この 5 つのタプルで構成されます。
• トランザクション: トランザクションは、一意の要求と応答のペアです。

各ログ インスタンス内の詳細では、接続 ID とトランザクション ID を確認できます。 フィルターを使うことで、1 つのセッションのすべての接続とトランザクションを確認できます。

トラフィック ログを表示する方法

1. Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。
2. グローバルなセキュリティで保護されたアクセス>モニター>トラフィック ログ。

ページの上部には、すべてのトランザクションの概要と、トラフィックの種類ごとの詳細が表示されます。 Microsoft 365 またはプライベート アクセス ボタンを選択して、トラフィックの種類ごとにログをフィルター処理します。

ログの詳細を表示する

一覧から任意のログを選んで、詳細を表示します。 これらの詳細では、ログで特定の詳細をフィルター処理したり、シナリオのトラブルシューティングを行ったりするために使用できる、重要な情報が提供されます。 詳細を列として追加し、ログのフィルター処理に使用できます。

フィルターと列のオプション

トラフィック ログは多くの詳細を提供できるため、最初は一部の列のみが表示されます。 列を選びすぎるとログが見づらくなるので、実行している分析またはトラブルシューティングのタスクに基づいて、列を有効または無効にします。 列とフィルターのオプションは、アクティビティの詳細の各項目と一致します。

ページの上部にある [列 ] を選択して、表示される列を変更します。

トラフィック ログを特定の詳細にフィルター処理するには、[ フィルターの追加] ボタンを選択し、フィルター処理する詳細を入力します。

たとえば、特定の接続のすべてのログを調べる場合は、次のようにします。

1. ログの詳細を選び、アクティビティの詳細から connectionId をコピーします。

2. [ フィルターの追加] を選択し、[ 接続 ID] を選択します。

3. 表示されたフィールドに connectionId を貼り付け、[ 適用] を選択します。

   

接続ログ

接続ログには、トランザクション数の合計やブロックされたトランザクションなど、関連するすべてのトランザクションの概要が表示され、ブロックされたアクティビティをすばやく識別できます。

接続は、過去 24 時間以内に発生し、同じフロー相関 ID を共有する複数のトランザクションを表します。 トランザクション ログは個々のトランザクションに関する詳細情報を提供しますが、接続ログは複数のトランザクションを集計することで、より高度な概要を提供します。 接続はアクティブ/クローズ状態でリアルタイムに記録され、管理者はほぼリアルタイムでトラフィックを可視化できます。

現在、[トラフィック ログ] ブレードの新しいタブがプレビューされ、接続が表示されます。

各接続に関連付けられているトランザクションは、[ トランザクション ] タブを選択して表示されます。

トラブルシューティングのシナリオ

トラブルシューティングと分析には、次の詳細が役立つ場合があります。

• 送受信されるトラフィックのサイズに関心がある場合は、[ 送信バイト] 列と [ 受信バイト数 ] 列を有効にします。 ログのサイズでログを並べ替えるには、列のヘッダーを選びます。
• 危険なユーザーのネットワーク アクティビティを確認する場合は、ユーザー プリンシパル名で結果をフィルター処理してから、アクセスしているサイトを確認できます。
• ブロックまたは許可する Web サイトの種類へのトラフィックを検索するには、[ Web カテゴリ ] 列を有効にします。

ログの詳細では、ネットワーク トラフィックに関する重要な情報が提供されます。 次の一覧はすべての詳細を定義したものではありませんが、トラブルシューティングと分析には役立ちます。

• トランザクション ID: 要求と応答のペアを表す一意の識別子。
• 接続 ID: ログを開始した接続を表す一意の識別子。
• デバイス カテゴリ: トランザクションが開始されたデバイスの種類。 クライアントまたはリモート ネットワーク。
• アクション: ネットワーク セッションで実行されたアクション。 許可または拒否。

ログをエクスポートするように診断設定を構成する

グローバル セキュア アクセスのトラフィック ログ (プレビュー) は、詳細な分析とアラートのためにエンドポイントにエクスポートできます。 この統合は、Microsoft Entra の診断設定で構成します。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>監視と健康>診断設定に移動します。

3. [ 診断設定の追加] を選択します。

4. 診断設定に名前を付けます。

5. [NetworkAccessTrafficLogs] を選択します。

6. ログを送信する宛先の 詳細 を選択します。 次の宛先のいずれかまたはすべてを選びます。 選択内容に応じて、追加のフィールドが表示されます。

   • Log Analytics ワークスペースに送信する: 表示されるメニューから適切な詳細を選択します。
   • ストレージ アカウントへのアーカイブ: ログ カテゴリの横に表示される [保持日数] ボックスに、データを保持する 日数 を指定します。 表示されるメニューから適切な詳細を選びます。
   • イベント ハブへのストリーム: 表示されるメニューから適切な詳細を選択します。
   • パートナー ソリューションに送信する: 表示されるメニューから適切な詳細を選択します。

次のステップ

• トラフィック ダッシュボードの詳細
• グローバル セキュリティで保護されたアクセスの監査ログを表示する
• 強化された Microsoft 365 ログを表示する