[Cortex XDR/XSIAM]Microsoft 365、Azure ADの認証ログを取り込む

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L4 Transporter
評価なし

この記事では、Cortex XDRにMicrosoft 365のデータを取り込む方法について説明します。

Cortex XDRは Microsoft Office 365 Management Activity API、Microsoft Graph APIを使用してデータを収集します。

 

Microsoft Graph APIを使用してAzure ADの認証ログや監査イベントを収集する場合は、Microsoft Azure Premium1 あるいは

Premium 2が必要になります。

 

必要なライセンスや設定における詳細はこの記事の最後にあるTech Docのリンクからご確認ください。

 

 

監査ログの有効化

まずMicrosoft管理センターで、監査をログを有効にします。

massaito_0-1672993329474.png

 

 

アプリケーションの登録

 

Azure Active Directoryを選択します。

massaito_1-1672993366035.png

 

「+新しいアプリケーションを選択」します。

massaito_2-1672993423057.png

 

お使いのアプリの名前はなんですか?の欄で名前を入れて、

「ギャラリーに見つからない場その他のアプリケーションを統合します。」を選択肢、

「作成」ボタンをクリックします。

ここではアプリの名前を「labCortexJP」とします。

massaito_3-1672993482216.png

 

 

labCortexJPという名前のアプリが登録されました。

「APIのアクセス許可」を選択し「+アクセス許可の追加」をクリックします。

 

massaito_4-1672993539584.png

 

 

「アプリケーションの許可」を選択し、必要なアクセス許可にチェックを入れていきます。

ここで追加するのは以下のスクリーンショットのとおりです。

 

 

massaito_5-1672993595013.png

 

massaito_6-1672993621278.png

 

massaito_7-1672993645260.png

 

 

massaito_8-1672993663929.png

 

最後に「アクセス許可の追加」をクリックします。

massaito_9-1672993689483.png

 

 

「<XXXX>に管理者の同意を与えます」を選択し、

massaito_11-1672993771797.png

 

「管理者の同意の確認を与えます」の画面で「はい」をクリックします。
massaito_12-1672993801923.png

 

 

これでAPIのアクセス許可が追加されました。

massaito_13-1672993833027.png

 

 

クライアントIDを控える

アプリケーションIDを控えておきます。Cortex XDR側の設定の時に必要となります。
massaito_14-1672993962859.png

 

 

クライアントシークレットの作成

証明書とシークレットで、「+新しいクライアント シークレット」を選択します。

massaito_15-1672994034930.png

 

説明と有効期限を設定し、「追加」ボタンをクリックします。

 

massaito_16-1672994061997.png

 

 

シークレットが生成されるので「値」に表示された文字列を控えておきます。

massaito_17-1672994118004.png

 

Cortex XDRの設定

Settings → Configurations → Data Collection → Collection Integrationsを選択します。

Tenant Domain、控えておいたアプリケーションクライアントID、シークレットの値を設定します。

APIのチェックボックスは以下の通りとします。

Alerts from Microsoft Graph Security APIとEmailsについては別の機会で説明したいと思います。

 

 

massaito_19-1672994379098.png

 

「Test」ボタンをクリックしAPI接続が成功すると、「Connection Established」と表示されるので、

「Enable」ボタンをクリックします。

massaito_20-1672994391905.png

 

これでMicrosoft 365のインスタンスが作成されました。

massaito_21-1672994433932.png

 

 

データ取り込みの確認

設定画面から

以下のようにLast hour, Last dayなどに数値が入ってくることが確認できれば取り込んでいる、という判断ができます。

massaito_22-1672994463785.png

 

 

XQLで確認する

XQLでデータがXDRに取り込まれているか確認してみます。

massaito_0-1673313598519.png

 

例えば、OnedriveでFileUploaded操作を取得する場合、以下のようなクエリで確認することができます。

 

dataset = msft_o365_sharepoint_online_raw
| filter _collector_name = "<your collector name>" and Operation = "FileUploaded" and workload = "OneDrive"
| fields _time, userid, clientip ,sourcefilename, FileSizeBytes,workload,operation,useragent ,objectid

 

massaito_3-1674642789064.png

 


 

massaito_2-1674642361466.png

 

他のアプリのDatasetはTech Docに記載されておりますので、必要に応じてご確認ください。
またフィールドについての詳細な情報はOffice 365 Management Activity APIのスキーマが参考になると
思いますのでこちらも合わせてご確認ください。

Tech Doc

Microsoft 365のデータ取り込みに関する詳細はこちら

 

この記事を評価:
  • 1352 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 02:40 AM
更新者: