[Cortex XDR/XSIAM]Microsoft 365、Azure ADの認証ログを取り込む

この記事では、Cortex XDRにMicrosoft 365のデータを取り込む方法について説明します。

Cortex XDRは Microsoft Office 365 Management Activity API、Microsoft Graph APIを使用してデータを収集します。

Microsoft Graph APIを使用してAzure ADの認証ログや監査イベントを収集する場合は、Microsoft Azure Premium1 あるいは

Premium 2が必要になります。

必要なライセンスや設定における詳細はこの記事の最後にあるTech Docのリンクからご確認ください。

監査ログの有効化

まずMicrosoft管理センターで、監査をログを有効にします。

アプリケーションの登録

Azure Active Directoryを選択します。

「+新しいアプリケーションを選択」します。

お使いのアプリの名前はなんですか？の欄で名前を入れて、

「ギャラリーに見つからない場その他のアプリケーションを統合します。」を選択肢、

「作成」ボタンをクリックします。

ここではアプリの名前を「labCortexJP」とします。

labCortexJPという名前のアプリが登録されました。

「APIのアクセス許可」を選択し「+アクセス許可の追加」をクリックします。

「アプリケーションの許可」を選択し、必要なアクセス許可にチェックを入れていきます。

ここで追加するのは以下のスクリーンショットのとおりです。

最後に「アクセス許可の追加」をクリックします。

「＜XXXX＞に管理者の同意を与えます」を選択し、

これでAPIのアクセス許可が追加されました。

クライアントIDを控える

クライアントシークレットの作成

証明書とシークレットで、「+新しいクライアント シークレット」を選択します。

説明と有効期限を設定し、「追加」ボタンをクリックします。

シークレットが生成されるので「値」に表示された文字列を控えておきます。

Cortex XDRの設定

Settings → Configurations → Data Collection → Collection Integrationsを選択します。

Tenant Domain、控えておいたアプリケーションクライアントID、シークレットの値を設定します。

APIのチェックボックスは以下の通りとします。

Alerts from Microsoft Graph Security APIとEmailsについては別の機会で説明したいと思います。

「Test」ボタンをクリックしAPI接続が成功すると、「Connection Established」と表示されるので、

「Enable」ボタンをクリックします。

これでMicrosoft 365のインスタンスが作成されました。

データ取り込みの確認

設定画面から

以下のようにLast hour, Last dayなどに数値が入ってくることが確認できれば取り込んでいる、という判断ができます。

XQLで確認する

XQLでデータがXDRに取り込まれているか確認してみます。

例えば、OnedriveでFileUploaded操作を取得する場合、以下のようなクエリで確認することができます。

dataset = msft_o365_sharepoint_online_raw
| filter _collector_name = "<your collector name>" and Operation = "FileUploaded" and workload = "OneDrive"
| fields _time, userid, clientip ,sourcefilename, FileSizeBytes,workload,operation,useragent ,objectid

Tech Doc

Microsoft 365のデータ取り込みに関する詳細はこちら