[Cortex XDR/XSIAM]Microsoft 365、Azure ADの認証ログを取り込む

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

この記事では、Cortex XDRにMicrosoft 365のデータを取り込む方法について説明します。

Cortex XDRは Microsoft Office 365 Management Activity API、Microsoft Graph APIを使用してデータを収集します。

 

Microsoft Graph APIを使用してAzure ADの認証ログや監査イベントを収集する場合は、Microsoft Azure Premium1 あるいは

Premium 2が必要になります。

 

必要なライセンスや設定における詳細はこの記事の最後にあるTech Docのリンクからご確認ください。

 

 

監査ログの有効化

まずMicrosoft管理センターで、監査をログを有効にします。

massaito_0-1672993329474.png

 

 

アプリケーションの登録

 

Azure Active Directoryを選択します。

massaito_1-1672993366035.png

 

「+新しいアプリケーションを選択」します。

massaito_2-1672993423057.png

 

お使いのアプリの名前はなんですか?の欄で名前を入れて、

「ギャラリーに見つからない場その他のアプリケーションを統合します。」を選択肢、

「作成」ボタンをクリックします。

ここではアプリの名前を「labCortexJP」とします。

massaito_3-1672993482216.png

 

 

labCortexJPという名前のアプリが登録されました。

「APIのアクセス許可」を選択し「+アクセス許可の追加」をクリックします。

 

massaito_4-1672993539584.png

 

 

「アプリケーションの許可」を選択し、必要なアクセス許可にチェックを入れていきます。

ここで追加するのは以下のスクリーンショットのとおりです。

 

 

massaito_5-1672993595013.png

 

massaito_6-1672993621278.png

 

massaito_7-1672993645260.png

 

 

massaito_8-1672993663929.png

 

最後に「アクセス許可の追加」をクリックします。

massaito_9-1672993689483.png

 

 

「<XXXX>に管理者の同意を与えます」を選択し、

massaito_11-1672993771797.png

 

「管理者の同意の確認を与えます」の画面で「はい」をクリックします。
massaito_12-1672993801923.png

 

 

これでAPIのアクセス許可が追加されました。

massaito_13-1672993833027.png

 

 

クライアントIDを控える

アプリケーションIDを控えておきます。Cortex XDR側の設定の時に必要となります。
massaito_14-1672993962859.png

 

 

クライアントシークレットの作成

証明書とシークレットで、「+新しいクライアント シークレット」を選択します。

massaito_15-1672994034930.png

 

説明と有効期限を設定し、「追加」ボタンをクリックします。

 

massaito_16-1672994061997.png

 

 

シークレットが生成されるので「値」に表示された文字列を控えておきます。

massaito_17-1672994118004.png

 

Cortex XDRの設定

Settings → Configurations → Data Collection → Collection Integrationsを選択します。

Tenant Domain、控えておいたアプリケーションクライアントID、シークレットの値を設定します。

APIのチェックボックスは以下の通りとします。

Alerts from Microsoft Graph Security APIとEmailsについては別の機会で説明したいと思います。

 

 

massaito_19-1672994379098.png

 

「Test」ボタンをクリックしAPI接続が成功すると、「Connection Established」と表示されるので、

「Enable」ボタンをクリックします。

massaito_20-1672994391905.png

 

これでMicrosoft 365のインスタンスが作成されました。

massaito_21-1672994433932.png

 

 

データ取り込みの確認

設定画面から

以下のようにLast hour, Last dayなどに数値が入ってくることが確認できれば取り込んでいる、という判断ができます。

massaito_22-1672994463785.png

 

 

XQLで確認する

XQLでデータがXDRに取り込まれているか確認してみます。

massaito_0-1673313598519.png

 

例えば、OnedriveでFileUploaded操作を取得する場合、以下のようなクエリで確認することができます。

 

dataset = msft_o365_sharepoint_online_raw
| filter _collector_name = "<your collector name>" and Operation = "FileUploaded" and workload = "OneDrive"
| fields _time, userid, clientip ,sourcefilename, FileSizeBytes,workload,operation,useragent ,objectid

 

massaito_3-1674642789064.png

 


 

massaito_2-1674642361466.png

 

他のアプリのDatasetはTech Docに記載されておりますので、必要に応じてご確認ください。
またフィールドについての詳細な情報はOffice 365 Management Activity APIのスキーマが参考になると
思いますのでこちらも合わせてご確認ください。

Tech Doc

Microsoft 365のデータ取り込みに関する詳細はこちら

 

この記事を評価:
  • 2618 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 02:40 AM
更新者: