Azure SentinelでOffice 365 のデータを取り込んでみた

※ 本エントリは単純にAzure Sentinelを有効にしただけで、特に深い考察はありません。

唐突に"Azure Sentinel"なるものがリリースされました。

O365やAzureだけではなく、さまざまなログを取り込んでリアルタイムでモニタ出来る、というどこかで聞いたことあるサービスです。現在はプレビューなので無料ですが、「Office 365アクティビティデータの取り込みは、サービスの本格提供開始後も無償」とのことなので、さっそく取り込んでみました。

Azureポータルにログインし、Azure Sentinelで検索。

上記画面のAddをクリックすると、LogAnalyticsのワークスペースを指定する画面が出てきます。あれ?Azure Sentinelは無償でも、LogAnalyticsに保存するための料金はかかるのでは…?と思いつつ新規作成。

これでAzure Sentinelが作成できたので、収集対象のデータを選択。ここではOffice 365。

  1. Enable Office 365 solutionをクリック後、2. Connect tenants to Azure Sentinelで収集対象のOffice 365 テナントを指定。ここではID/Passwordで指定するので、Azureと紐づいている自テナントのOffice 365 じゃなくても収集できる様子です。

その後、3. Stream Office 365 activity logsを選択し、収集対象の製品を選択。今のところ、ExchangeとSharepointしかないようです。ここまでで、ログの収集設定は終了。

次に、ダッシュボードの選択です。既定で製品に紐づいたダッシュボードが用意されている様子です。おそらくですが、Query samplesで独自のダッシュボードも作れると思います(試してない)

ダッシュボードが表示されました。現在、ログ収集中で特に何も表示されていないようです。

以上、ひとまず有効にしてみた記録でした。作業自体は5分くらいでできます。あとはどんなデータが取れてどう見えるか、ですね。

Posted by tera