לוגים ותיעוד Traffic logs בתשתית Entra Internet Access

ניהול זהויות וגישה נותר אחד האתגרים הגדולים ביותר בנוף הדיגיטלי מרובה הפלטפורמות של ימינו, ולצד זה, אתגר אבטחה עצום בעל סיכונים ואיומים רבים.

הנוף המחובר של ימינו מציב אתגרים חדשים בכל הנוגע לניהול זהויות וגישה, בין היתר:

• משטחי תקיפה מתרחבים במהירות הודות למספר גדל והולך של נקודות גישה מגוונות.
• הנפח הגובר והתחכום הגובר של תקיפות והפרות.
• חפיפה בין כלים/טכנולוגיה של זהויות וגישה.
• הרשאות יתר של אובייקטים בענן.
• חוסר (תהומי) בנראות והבנה של הפערים בשטח.
• שטח תקיפה פופולרי שמועדף ע״י קבוצות תקיפה ומנוצל ביומיום!

בתגובה לאתגרים אלה, מיקרוסופט הרחיבה את היצע טכנולוגיות הזהויות והגישה והציבה אותן תחת מעטפת אחת ומרכזית –  Microsoft Entra.

המאמר הנוכחי מתמקד בתיעוד ולוגים של Entra Internet Access, בעיקר Traffic logs.

תיעוד, לוגים וניטור

הלוגים, היומנים והתיעוד של Entra Internet Access מכילים סריה מגוונות של לוגים; החל מלוגים מבוססים Audit Log, דרך תיעוד Sign-in events ועד הלוגים החדשים של Traffic logs שהם חלק מתוך Global Secure Access. התיעוד נחלק לפעולות שונות שהתחנה והיוזר מבצעות, למשל, טרנזקציות ברמת חיבור וקישוריות, או לחלופין, פעולות כלליות ואינטראקטיביות של המשתמש.

המטרה של כל תיעוד ולוג היא לאפשר נראות ולתת נוף אבטחה של חיבורים, קישוריות, נקודות קצה ואת כל הפעולות שנעשות, החל מפעולות של חיבור מוצלח או כושל ועד גישה ליישומים.

הלוגים של Global Secure Access מספקים פרטים של תעבורת הרשת ובפרט פרופיל התעבורה Microsoft 365 access profile ושל פרופילים נוספים כגון, Private access profile.

טיפ: בכדי לאפשר גישה אל הלוגים של Traffic logs צריך לתת הרשאות לתפקיד Reports Reader בממשק Entra ID.

כדי להבין טוב יותר את הפרטים הקטנים וכיצד ניתן לנתח ולנטר פעולות בסביבה, כדאי לתת מבט על שלוש הרמות של התיעוד והקשר בינהם:

כאשר משתמש מבצע פעולות מול Entra ID ובפרט מול גישה מאובטחת גלובלית (Global Secure Access), כגון, חיבור וכניסה, באותם פעולות יהיו מספר חיבורים, ובכל חיבור יהיו מספר טרנזקציות.

Session – סשן מזוהה ע״י כתובת הגישה הראשונה שמשתמש ניגש אליה. סשן זה יכול לבצע פעולות משנה כגון פתיחת חיבורים נוספים, כולל, דומיינים משניים.

Connection – החיבור כולל מאפיינים של כתובות IP של היעד והמקור, יציאות וכניסות של מקור ויעד, וכן את שם הדומיין המלא (FQDN). רכיבי החיבור כוללים חיבורים מסוג 5-Tuple.

Transaction – טרנזקציות הם פעולות יחודיות שמבוססות על צמדים של בקשה ותגובה ייחודית.

טיפ: 5 tuple מתייחס לקבוצה של חמישה ערכים שונים המרכיבים חיבור פרוטוקול וכן בקרת TCP/IP. בין היתר כולל כתובת IP, מספר יציאה מקור, כתובת IP, מספר יציאה של יעד והפרוטוקול שנמצא בשימוש.

בתוך הלוגים והתיעוד, ניתן לראות את מזהה החיבור ומזהה הטרנזקציות בכל פרטים. על ידי שימוש במסננים, אפשר למצוא את כל החיבורים והטרנזקציות עבור סשנים וחיבורים בודדים.

תיעוד Traffic logs

לוגים ותיעוד גישה מאובטחת גלובלית מספקים נתונים של חיבורי הרשת והטרנזקציות המתרחשות מול הסביבה (טננט). לוגים ותיעוד אלה בודקים מי ניגש לאיזה סוג פרופיל, מאיפה, לאן ועם איזו תוצאה. תיעוד התנועה מספקים תמונת מצב של כל החיבורים בסביבה ומחלקים את זה לתנועה החלה על סוגי הפרופילים. פרטי הלוגים והתיעוד מספקים את יעד סוג התעבורה, כתובת מקור IP ועוד.

אפשר לנתח את הלוגים של תעבורת המשתמשים ע״י הערכים הקיימים ב Activity Details, שם אפשר למצוא ערכים כמו, כתובות IP, פרטוקול רשת, סוג התעבורה, חיבורים, טרנזקציות, פעולות ועוד.

בממשק Entra ID בחלק של Monitor ניתן לגשת לתיעוד של Traffic logs.

בערכים של Activity Details אפשר למצוא את הערכים הבאים, וכל אחד מהם מספק מידע אודות החיבור וסוגו. ערכים דומיננטים של Activity Details יכולים להיות:

• כתובות מקור
• כתובות יעד
• פרופיל תעבורה וחיבור
• טרנזקציות
• פעולות

לרשימה המלאה של הערכים ב Activity Details

• createdDateTime 
• tenantId
• destinationIp
• destinationPort
• destinationFQDN
• sourceIp
• sourcePort
• deviceId
• deviceOperatingSystem
• deviceOperatingSystemVersion
• userId
• userPrincipalName
• networkProtocol
• trafficType
• agentVersion
• transactionId
• connectionId
• sessionId
• deviceCategory
• transportProtocol
• action
• policyRuleId
• policyId
• sentBytes
• receivedBytes
• headers/referrer
• headers/origin
• headers/xForwardedFor
• key

טיפ: הערך של destinationFQDN מציג את כתובת היעד לפרופיל Microsoft 365 היא aps.globalsecureaccess.microsoft.com. 

כתובות יעד של חיבורי רשת יכולים להיות דומיינים נוספים, כגון, login.microsoftonline.com וגם צד שלישי. במצב כזה צריך לבדוק מאיזה פרופיל החיבור יוצא כי יש לזה משמעויות. הבדיקה יכולה להיעשות באמצעות הערך trafficType. בדוגמה המצורפת ישנם מספר דומיינים שונים.

תיעוד ולוגים המשוייכים אל Entra Internet Access נמצאים בטבלאות שונות, בין היתר, NetworkAccessTrafficLogs, Signings ונוספים כמו

EnrichedOffice365AuditLogs. טבלאות אלה קיימות בקונקטור של Azure AD בתשתית Microsoft Sentinel (בתוך log analytics).

הפעלת לוגים

השילוב של Microsoft 365 מאפשר הזרמת לוגים ל Global Secure Access לטובת העשרה נוספת שכוללת מידע רשת, מכשיר ומשתמש. לאחר שהנתונים מוזרמים, ניתן לייצא את הנתונים כמעט בזמן אמת (NRT) לתשתית לוגים, כגון Log Analytics. כאשר מפעילים את היכולות של Global Secure Access יחד עם פרופיל Microsoft 365, תיעוד ולוגים של Microsoft 365 יהיו זמינים לניתוח וניטור.

כדאי לשים לב לדרישות Logging שהם דרישות של Microsoft 365 profile, Microsoft 365 Common and Office Online Traffic Policy והרשאות. במידה ואלה תקינים הלוגים מעובדים ויוצגו בצורה תקינה בממשק.

לסיכום

תיעוד ולוגים הם חלק בלתי נפרד מהיומיום של רבים מאיתנו, בין אם תחקור תקריות או ניתוח פעולות. לאחר הפעלה של האפשרויות של גישה מאובטחת גלובאלית (GSA) כדאי להפעיל את הלוגים ואף להזרים אותם למערכת SIEM, לדוגמה, למערכת Microsoft Sentinel.

למאמרים נוספים של Microsoft Entra בעברית