メインコンテンツまでスキップ
Sumo Logic Japanese

Microsoft Office 365 監査ソース

Office 365 監査ログのワークロードの種類

Microsoft Office 365 の使用状況をトラッキングおよびモニタリングするために、次の監査ログ コンテンツ タイプのログを収集するように Sumo Logic を設定できます。

  • Office 365 Exchange ログ。ユーザ アクティビティと管理のログ。以下の注意書きにある事前設定手順を参照してください。
  • Office 365 SharePoint ログ。"OneDrive" などへのファイル関連のアクティビティに関するすべての監査データ。  SharePoint は、複数の Office 365 サービスの基盤となるサービスです。ユーザ アクティビティと管理のログ。
  • Office 365 Azure AD ログ。ログオンおよび管理者のログ。
  • Office 365 全般のログ。他のコンテンツ タイプに含まれていないすべてのワークロードを含みます。
  • Office 365 DLP イベント ログ。Office 365 全体の機密情報を識別およびモニタリングし、自動的に保護するデータ損失防止 (DLP) ポリシーのログ。

1 つの Office 365 監査ソースで収集できる監査ログは、1 つのコンテンツ タイプに制限されています。複数の利用可能なコンテンツ タイプからログを収集する場合は、1 つのホスト型コレクタにあるコンテンツ タイプごとに個別のソースを作成します。

すべての Office 365 監査ソースで同じメタデータを使用することも、ソースごとにメタデータを変えることもできます。

特定のワークロード タイプに対して作成できるソースは 1 つだけです。同じワークロード タイプに追加のソースを作成した場合、そのワークロード タイプのソースはいずれも機能しなくなります。

Office 365 管理者ロール

Office 365 には、組織内のユーザに割り当てることができる一連の管理者ロールが付属しています。各管理者ロールは、共通する職務に割り当てます。これにより、組織内のユーザに Office 365 管理センターで特定のタスクを実行するためのアクセス許可が与えられます。 

Sumo で Microsoft Office 365 ソースを設定するときは、標準の OAuth v2 を使用して Microsoft へのアクセスを認証する必要があります。認証を受けるユーザには、監査対象のコンテンツに対する Microsoft Office 365 の管理者権限が必要です。最小権限 (PoLP) の原則に従って、認証するアカウントには、適切なアクセス権限を与えながら、できるだけ権限の範囲を制限する必要があります。適切な権限は、使用している Office 365 のエディションやセキュリティ ポリシーによって異なります。以下の表に、選択可能なロールと考慮事項について示します。 

ロール  説明
Reports Reader (レポート リーダー)  このロールは、広い範囲にわたって読み取り専用のアクセス権限を提供します。アクティビティ ログとレポート API に対する最も制限の厳しいロールですが、対応範囲も最も広いものです。Office 365 ProPlus または Office 365 Enterprise E1 がある場合は、このロールで十分です。 
Security Reader (セキュリティ リーダー)  Office 365 E3 または E5 のビジネス サブスクリプションを所有している場合、認証アカウントには Reports Reader (レポート リーダー) ロールに加えて Security Reader (セキュリティ リーダー) ロールが必要です。 

Security Reader (セキュリティ リーダー) ロール グループのメンバーには、Office 365 のセキュリティとコンプライアンス センターだけでなく、Identity Protection センター、Privileged Identity Management、Monitor Office 365 Service Health (Office 365 サービスの正常性のモニタリング) などのその他のセキュリティ機能への読み取り専用アクセス権限が与えられています。
Global Administrator (グローバル管理者)  このロールにより、Office 365 サブスクリプションのすべての管理機能にアクセスできます。このロールは、Office 365 用の Sumo アプリケーションのログを収集するために必要なすべてのアクセス権を付与しますが、使用することはお勧めできません。これは、必要以上に多くのアクセス権を提供しまうためです。 

認証するアカウントにロールを割り当てる際には、別のより詳細な設定方法をとることもできます。Office 365 には約 40 種類のロールがあり、それらのロールの一部はコレクションの要件を満たす可能性があります。詳細は、Microsoft のヘルプで次のトピックを参照してください。

Microsoft API

Sumo Logic の Microsoft Office 365 監査ソースでは、Microsoft Office 365 Management Activity API による Webhook ベースの統合が使用されます。API の詳細については、以下を参照してください。

Office 365 Management Activity API reference (Office 365 管理アクティビティ API リファレンス) https://msdn.microsoft.com/EN-US/library/office/mt227394.aspx

返される監査ログ データの形式については、以下を参照してください。

Office 365 Management Activity API Schema (Office 365 管理アクティビティ API スキーマ) https://msdn.microsoft.com/EN-US/library/office/mt607130.aspx

メッセージの形式

Microsoft の各ログ ファイルには、JSON 配列の形式を持つ 1 つ以上のログ メッセージが含まれています。配列に複数のメッセージがある場合は、JSON 配列の各ログ行が Sumo Logic 内の個々のログ行のメッセージに分けられます。

Exchange 監査ログの有効化

Exchange ログ データ用に Sumo Logic Microsoft Office 365 監査ソースを設定する前に、https://technet.microsoft.com/library/dn879651.aspx の手順に従って、Office 365 テナント内で Exchange 監査ログを有効にします。

Microsoft Office 365 ソースの設定

ログを収集する Office 365 アプリケーションごとに個別のソースを構成する必要があります。これらはすべて 1 つのホスト型コレクタで設定できます。 

  1. Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] を選択します。 
  2. ホスト型コレクタの横の [Add Source (ソースを追加)] をクリックします。新しいホスト型コレクタのセットアップ手順については、「ホスト型コレクタを設定する」を参照してください。
  3. [Office 365 Audit (Office 365 監査)] を選択します。 
  4. ソースを指定する名前を入力します。必要に応じて説明を入力します。
  5. [Content Type (コンテンツ タイプ)] で収集するログのタイプを選択します。追加のコンテンツ タイプから収集する場合は、このソース タイプの追加インスタンスを作成してください。
  6. [Source Category (ソース カテゴリ)] に、このソースから収集された出力にタグを付けるために、任意の文字列を入力します。(カテゴリ メタデータは _sourceCategory という検索可能なフィールドに格納されます)。これは、RBAC を使用してこのコンテンツへのアクセスを制限する重要な部分です。
    推奨されるソース カテゴリの命名規則は次のとおりです。
    SharePoint: O365/SharePoint
    Exchange: O365/Exchange
    Azure: O365/Azure
  7. [Sign in with Office 365 (Office 365 へのサインイン)] をクリックして、標準の OAuth v2 の操作を使用して Microsoft へのアクセスを認証します。  
  1. 新しいソースに必要な処理ルールを作成します。
  2. ソースの設定を完了した場合は、[Save (保存)] をクリックします。

監査インデックス イベント

Microsoft Office 365 監査ソースでは、以下のイベントが Sumo Logic 監査インデックスで記録されます。

これらのイベントを検索するには、監査インデックスを使用します。

既知の問題

既知の問題と注意事項については、MSDN の記事 https://msdn.microsoft.com/EN-US/library/office/mt227394.aspx を参照してください。

重要な項目をいくつか挙げます。   

  • (Microsoft からの通知)「サブスクリプションを作成してからそのサブスクリプションで最初のコンテンツ BLOB が使用可能になるまでに最大 12 時間かかる場合があります。」 
    これよりも早くデータが Sumo Logic に到着し始めることが確認されましたが、サポートに連絡する場合は、この最大時間になるまでお待ちください。
  • (Microsoft からの通知)「コンテンツ BLOB ブロブは、複数のサーバやデータ センターにまたがってアクションやイベントを収集および集計することによって作成されます。この分散プロセスの結果として、コンテンツ BLOB に含まれるアクションとイベントは、必ずしもそれらが発生した順序で表示されるわけではありません。1 つのコンテンツ BLOB には、以前のコンテンツ BLOB に含まれていたアクションやイベントよりも前に発生したアクションやイベントを含めることができます。アクションおよびイベントの発生から、コンテンツ BLOB でそれらが使用可能になるまでの時間を短縮するよう取り組んでいますが、それらが確実に順番どおり現れることは実現できておりません。」
  • イベントが O365 で発生してから監査ログを Microsoft で入手可能になるまでの間に大幅な遅延が生じる可能性があります。  ログ ファイルは、利用可能になるとすぐに Sumo で受信されます。ログ行が入手可能になるまでの待ち時間はコンテンツ タイプによって異なり、Sumo による確認では一貫性がありません。これは、Sumo Logic での管理が及ばない問題です。  この遅延は、イベントのタイム スタンプと受信のタイム スタンプ (ログ メッセージを処理したとき) の差を照会することでモニタリングできます。
  •  Office 365 のログに、"Message":"Authorization has been denied for this request." というメッセージが断続的に表示されることがあります。
    これは、承認トークンの同期化の問題によるもので、現在修正中であり、間もなく修正版が公開される予定です。それまでは、このメッセージを無視してください。

OAuth 2.0 アクセス トークンとサブスクリプションの有効期限

アクセス トークン

監査イベントの収集に必要な監査ログ API にアクセスするには、Microsoft Office 365 などのサードパーティ サービスから Sumo 用のアクセス トークンを取得します。アクセス トークンは、暗号化されて保存されます。さらに、数時間の短い有効期限が与えられます。データの消失を防ぐため、有効期限が切れる前に自動的に更新されます。成功および失敗したトークン更新イベントは監査インデックスにログ記録されます。リクエストが失敗した場合、Sumo はトークンの更新を約 1 週間試行し続けます。何回か失敗したときは、Office 365 監査ソースを再作成することをお勧めします。

サブスクリプションのウォッチポイント

サブスクリプションは、通知イベントを受信するためにサードパーティ サービスとの間で確立されたチャネルです。アクセス トークンと同様に、サブスクリプションは有効期限が切れる前まで有効です。契約が期限切れになる前に、Sumo は現在のサブスクリプションを無効にして新しいサブスクリプションを取得します。サブスクリプションの更新に失敗した場合、エントリが監査インデックスに記録されます。

  • この記事は役に立ちましたか?