メインコンテンツまでスキップ
Sumo Logic Japanese

Microsoft Office 365 監査 Source

Office 365 監査ログのワークロードの種類

Microsoft Office 365 の使用状況をトラッキングおよびモニタリングするために、次の監査ログ コンテンツ タイプのログを収集するように Sumo Logic を設定できます。

  • Office 365 Exchange ログ。ユーザ アクティビティと管理ログ。Exchange 監査ログを有効にする必要があります。
  • Office 365 SharePoint ログ。"OneDrive" などへのファイル関連のアクティビティに関するすべての監査データ。  SharePoint は、複数の Office 365 サービスの基盤となるサービスです。ユーザ アクティビティと管理のログ。
  • Office 365 Azure AD ログ。ログオンおよび管理者のログ。
  • Office 365 全般のログ。他のコンテンツ タイプに含まれていないすべてのワークロードを含みます。
  • Office 365 DLP イベント ログ。Office 365 全体の機密情報を識別およびモニタリングし、自動的に保護するデータ損失防止 (DLP) ポリシーのログ。

1 つの Office 365 監査 Source で収集できる監査ログは、1 つのコンテンツ タイプに制限されています。複数の利用可能なコンテンツ タイプからログを収集する場合は、1 つの Hosted Collector にあるコンテンツ タイプごとに個別の Source を作成します。

すべての Office 365 監査 Source で同じメタデータを使用することも、Source ごとにメタデータを変えることもできます。

特定のワークロード タイプに対して作成できる Source は 1 つだけです。同じワークロード タイプに追加の Source を作成した場合、そのワークロード タイプの Source はいずれも機能しなくなります。

要件

Office 365 管理者ロール

Office 365 には、組織内のユーザに割り当てることができる一連の管理者ロールが付属しています。各管理者ロールは、共通する職務に割り当てます。これにより、組織内のユーザに Office 365 管理センターで特定のタスクを実行するためのアクセス許可が与えられます。 

Sumo で Microsoft Office 365 監査 Source を設定するときは、標準の OAuth v2 を使用して Microsoft へのアクセスを認証する必要があります。認証を受けるユーザには、監査対象のコンテンツに対する Microsoft Office 365 の管理者権限が必要です。最小権限 (PoLP) の原則に従って、認証するアカウントには、適切なアクセス権限を与えながら、できるだけ権限の範囲を制限する必要があります。適切な権限は、使用している Office 365 のエディションやセキュリティ ポリシーによって異なります。グローバル管理者ロールを使用することをお勧めします。

ロール  説明
Global Administrator (グローバル管理者)  このロールにより、Office 365 サブスクリプションのすべての管理機能にアクセスできます。

認証するアカウントにロールを割り当てる際には、別のより詳細な設定方法をとることもできます。Office 365 には約 40 種類のロールがあり、それらのロールの一部はコレクションの要件を満たす可能性があります。詳細は、Microsoft のヘルプで次のトピックを参照してください。

Exchange 監査ログの有効化

Exchange ログ データ用に Sumo Logic Microsoft Office 365 監査 Source を設定する前に、https://technet.microsoft.com/library/dn879651.aspx の手順に従って、Office 365 テナント内で Exchange 監査ログを有効にします。

Microsoft API

Sumo Logic の Microsoft Office 365 監査 Source では、Microsoft Office 365 Management Activity API による Webhook ベースの統合が使用されます。API の詳細については、以下を参照してください。

Office 365 Management Activity API reference (Office 365 管理アクティビティ API リファレンス) https://msdn.microsoft.com/EN-US/library/office/mt227394.aspx

返される監査ログ データの形式については、以下を参照してください。

Office 365 Management Activity API Schema (Office 365 管理アクティビティ API スキーマ) https://msdn.microsoft.com/EN-US/library/office/mt607130.aspx

メッセージの形式

Microsoft の各ログ ファイルには、JSON 配列の形式を持つ 1 つ以上のログ メッセージが含まれています。配列に複数のメッセージがある場合は、JSON 配列の各ログ行が Sumo Logic 内の個々のログ行のメッセージに分けられます。

Microsoft Office 365 Source の設定

ログを収集する Office 365 アプリケーションごとに個別の Source を構成する必要があります。これらはすべて 1 つの Hosted Collector で設定できます。 

  1. Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] を選択します。 
  2. Hosted Collector の横の [Add Source (Source を追加)] をクリックします。新しい Hosted Collector のセットアップ手順については、「Hosted Collector を設定する」を参照してください。
  3. [Office 365 Audit (Office 365 監査)] を選択します。 
  4. Source を指定する名前を入力します。[Description (説明)] は省略可能です。
  5. [Content Type (コンテンツ タイプ)] で収集するログのタイプを選択します。追加のコンテンツ タイプから収集する場合は、この Source タイプの追加インスタンスを作成してください。
  6. [Source Category] に、この Source から収集された出力にタグを付けるために、任意の文字列を入力します。(カテゴリ メタデータは _sourceCategory という検索可能なフィールドに格納されます)。これは、RBAC を使用してこのコンテンツへのアクセスを制限する重要な部分です。
    推奨される Source Category の命名規則は次のとおりです。
    SharePoint: O365/SharePoint
    Exchange: O365/Exchange
    Azure: O365/Azure
  7. Fields (フィールド): [+Add Field (+ フィールドの追加)] リンクをクリックすると、カスタム ログ メタデータ フィールドが追加されます。
    • 関連付けるフィールドを定義します。各フィールドには、名前 (キー) と値が必要です。 
      • green check circle.png [Fields (フィールド)] テーブル スキーマにフィールドが存在し、有効化されている場合は、チェック マークを含む緑色の円が表示されます。
      • orange exclamation point.png [Fields (フィールド)] テーブル スキーマにフィールドが存在しない場合、またはフィールドが無効化されている場合は、感嘆符を含む橙色の三角形が表示されます。この場合は、存在しないフィールドを [Fields (フィールド)] テーブル スキーマに自動的に追加する、または有効化するオプションが表示されます。[Fields (フィールド)] スキーマに存在しないフィールドが Sumo に送信された場合、または無効化された場合、このフィールドは無視され、削除済みとして認識されます。
  8. [Sign in with Office 365 (Office 365 へのサインイン)] をクリックして、標準の OAuth v2 の操作を使用して Microsoft へのアクセスを認証します。  
  1. 新しい Source に必要な処理ルールを作成します。
  2. Source の設定を完了した場合は、[Save (保存)] をクリックします。

Audit Index イベント

Microsoft Office 365 監査 Source では、以下のイベントが Sumo Logic Audit Index で記録されます。

これらのイベントを検索するには、Audit Index を使用します。

既知の問題

既知の問題と注意事項については、MSDN の記事 https://msdn.microsoft.com/EN-US/library/office/mt227394.aspx を参照してください。

重要な項目をいくつか挙げます。   

  • (Microsoft からの通知) 「サブスクリプションを作成してからそのサブスクリプションで最初のコンテンツ BLOB が使用可能になるまでに最大 12 時間かかる場合があります。」 
    これよりも早くデータが Sumo Logic に到着し始めることが確認されましたが、サポートに連絡する場合は、この最大時間になるまでお待ちください。
  • (Microsoft からの通知) 「コンテンツ BLOB ブロブは、複数のサーバやデータ センターにまたがってアクションやイベントを収集および集計することによって作成されます。この分散プロセスの結果として、コンテンツ BLOB に含まれるアクションとイベントは、必ずしもそれらが発生した順序で表示されるわけではありません。1 つのコンテンツ BLOB には、以前のコンテンツ BLOB に含まれていたアクションやイベントよりも前に発生したアクションやイベントを含めることができます。アクションおよびイベントの発生から、コンテンツ BLOB でそれらが使用可能になるまでの時間を短縮するよう取り組んでいますが、それらが確実に順番どおり現れることは実現できておりません。」
  • イベントが O365 で発生してから監査ログを Microsoft で入手可能になるまでの間に大幅な遅延が生じる可能性があります。  ログ ファイルは、利用可能になるとすぐに Sumo で受信されます。ログ行が入手可能になるまでの待ち時間はコンテンツ タイプによって異なり、Sumo による確認では一貫性がありません。これは、Sumo Logic での管理が及ばない問題です。  この遅延は、イベントのタイム スタンプと受信のタイム スタンプ (ログ メッセージを処理したとき) の差を照会することでモニタリングできます。
  •  Office 365 のログに、"Message":"Authorization has been denied for this request." というメッセージが断続的に表示されることがあります。
    これは、承認トークンの同期化の問題によるもので、現在修正中であり、間もなく修正版が公開される予定です。それまでは、このメッセージを無視してください。

OAuth 2.0 アクセス トークンとサブスクリプションの有効期限

アクセス トークン

監査イベントの収集に必要な監査ログ API にアクセスするには、Microsoft Office 365 などのサードパーティ サービスから Sumo 用のアクセス トークンを取得します。アクセス トークンは、暗号化されて保存されます。さらに、数時間の短い有効期限が与えられます。データの消失を防ぐため、有効期限が切れる前に自動的に更新されます。成功および失敗したトークン更新イベントは Audit Index にログ記録されます。リクエストが失敗した場合、Sumo はトークンの更新を約 1 週間試行し続けます。何回か失敗したときは、Office 365 監査 Source を再作成することをお勧めします。

いくつかの理由によってトークンの有効期限切れが発生することがあります。詳細については、『Using OAuth 2.0 to Access Google APIs (OAuth 2.0 を使用した Google API へのアクセス)』ドキュメントを参照してください。

サブスクリプションのウォッチポイント

サブスクリプションは、通知イベントを受信するためにサードパーティ サービスとの間で確立されたチャネルです。アクセス トークンと同様に、サブスクリプションは有効期限が切れる前まで有効です。契約が期限切れになる前に、Sumo は現在のサブスクリプションを無効にして新しいサブスクリプションを取得します。サブスクリプションの更新に失敗した場合、エントリが Audit Index に記録されます。

  • この記事は役に立ちましたか?