Azure SentinelでOffice 365 のデータを取り込んでみた
※ 本エントリは単純にAzure Sentinelを有効にしただけで、特に深い考察はありません。
唐突に"Azure Sentinel"なるものがリリースされました。
O365やAzureだけではなく、さまざまなログを取り込んでリアルタイムでモニタ出来る、というどこかで聞いたことあるサービスです。現在はプレビューなので無料ですが、「Office 365アクティビティデータの取り込みは、サービスの本格提供開始後も無償」とのことなので、さっそく取り込んでみました。
Azureポータルにログインし、Azure Sentinelで検索。
上記画面のAddをクリックすると、LogAnalyticsのワークスペースを指定する画面が出てきます。あれ?Azure Sentinelは無償でも、LogAnalyticsに保存するための料金はかかるのでは…?と思いつつ新規作成。
これでAzure Sentinelが作成できたので、収集対象のデータを選択。ここではOffice 365。
- Enable Office 365 solutionをクリック後、2. Connect tenants to Azure Sentinelで収集対象のOffice 365 テナントを指定。ここではID/Passwordで指定するので、Azureと紐づいている自テナントのOffice 365 じゃなくても収集できる様子です。
その後、3. Stream Office 365 activity logsを選択し、収集対象の製品を選択。今のところ、ExchangeとSharepointしかないようです。ここまでで、ログの収集設定は終了。
次に、ダッシュボードの選択です。既定で製品に紐づいたダッシュボードが用意されている様子です。おそらくですが、Query samplesで独自のダッシュボードも作れると思います(試してない)
ダッシュボードが表示されました。現在、ログ収集中で特に何も表示されていないようです。
以上、ひとまず有効にしてみた記録でした。作業自体は5分くらいでできます。あとはどんなデータが取れてどう見えるか、ですね。
ディスカッション
コメント一覧
まだ、コメントがありません