Global Secure Access のエンリッチされた Microsoft 365 ログを使用する方法

Microsoft サービス向け Microsoft Entra Internet Access を経由する Microsoft トラフィックでは、組織が使用する Microsoft 365 アプリのパフォーマンス、エクスペリエンス、可用性に関する分析情報を得たいと考えています。 グローバル セキュリティで保護されたアクセスを使用すると、Microsoft 365 監査ログを、これらの分析情報を得るために必要な情報で簡単に強化できます。 ログをサードパーティのセキュリティ情報イベント管理 (SIEM) ツールと統合して、さらに詳細な分析を行うことができます。

この記事では、ログ内の情報と、上記の分析情報に使用する方法について説明します。

前提条件

エンリッチされたログを使用するには、次のロール、構成、およびサブスクリプションが必要です。

ロールとアクセス許可

• 診断設定でグローバルなセキュリティで保護されたアクセス ネットワーク トラフィック ログをエクスポートするには、 セキュリティ管理者 ロールが必要です。

構成

• Microsoft プロファイル - Microsoft トラフィック プロファイルが有効になっていることを確認します。 Microsoft トラフィック転送プロファイルは、ログ エンリッチメントの基本である Microsoft 365 サービスに送信されるトラフィックをキャプチャするために必要です。
• テナントからのデータの送信 - 転送プロファイルで構成されているトラフィックが、グローバル セキュア アクセス サービスに正確にトンネリングされていることを確認します。
• 診断設定の構成 - Log Analytics ワークスペースや Sentinel ワークスペースなどの指定されたエンドポイントにログをチャネル化するように Microsoft Entra 診断設定を設定します。 各エンドポイントの要件は異なり、この記事の「診断設定の構成」セクションで概説されています。
• OfficeActivity ログ テーブルをエクスポート する - OfficeActivity テーブルは、GSA トラフィック ログ、または別のサード パーティの SIEM またはログ システムと同じ LogAnalytics または Microsoft Sentinel ワークスペースにエクスポートする必要があります。

サブスクリプション

• 製品には、Microsoft サービスのトラフィック転送プロファイルを有効にするためにライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

診断設定を構成する前に、ログをルーティングする場所のエンドポイントを構成する必要があります。 各エンドポイントの要件は異なり、「診断設定の構成」セクションで説明されています。

ログで提供される内容

Microsoft 365 監査ログは、Microsoft 365 ワークロードに関する情報を提供するため、Microsoft 365 アプリに関連するネットワーク診断データ、パフォーマンス データ、およびセキュリティ イベントを確認できます。 グローバル セキュリティで保護されたアクセス ログ データから強化されたプロパティには、ユーザー アクティビティに関連するデバイス情報が含まれます。 たとえば、組織内のあるユーザーに対して Microsoft 365 へのアクセスがブロックされている場合は、そのユーザーのデバイスがどのようにネットワークに接続しているかを視認できる必要があります。

これらのログでもたらされる内容は次のとおりです。

• 元のログに追加された追加情報
• 正確な IP アドレス

この記事の手順に従って、ログは、デバイス ID、オペレーティング システム、元の IP アドレスなどの詳細情報で強化されます。 エンリッチされた SharePoint ログは、ダウンロード、アップロード、削除、変更、またはリサイクルされたファイルに関する情報を提供します。 削除またはリサイクルされたリスト アイテムも、エンリッチされたログに含まれます。

ログを表示する方法

強化された Microsoft 365 監査ログの表示は、1 回限りの 2 段階のプロセスです。 まず、グローバルなセキュリティで保護されたアクセス ネットワーク トラフィック ログと Microsoft 365 統合監査ログを同じエンドポイントに収集する必要があります (Microsoft Sentinel が推奨されるワークスペースです)。 次に、独自の結合クエリを作成して 2 つのテーブル間のデータを関連付けるか、必要なクエリを既に適用している Global Secure Access OOTB Enriched Microsoft 365 Logs ブックを使用する必要があります。

診断設定を構成する

エンリッチされた Microsoft 365 ログを表示するには、Log Analytics ワークスペースや SIEM ツールなどのエンドポイントにログをエクスポートまたはストリーミングする必要があります。 診断設定を構成するには、エンドポイントを構成する必要があります。

エンドポイントを構成する

• ログを Log Analytics と統合するには、Log Analytics ワークスペースが必要です。

  • Log Analytics ワークスペースを作成します。
  • Log Analytics とログを統合する

• SIEM ツールにログをストリーミングするには、Azure イベント ハブとイベント ハブ名前空間を作成する必要があります。

  • Event Hubs 名前空間とイベント ハブをセットアップします。
  • イベント ハブにログをストリーム配信する

• ログをストレージ アカウントにアーカイブするには、ListKeys アクセス許可を持つ Azure ストレージ アカウントが必要です。

  • Azure Storage アカウントを作成します。
  • ログをストレージ アカウントにアーカイブする

エンドポイントにログを送信する

エンドポイントを作成したら、診断設定を構成できます。

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

2. Entra ID>監視と健康>診断設定に移動します。

3. [診断設定を追加する] を選びます。

4. 診断設定に名前を付けます。

5. [NetworkAccessTrafficLogs] を選択します。

6. ログを送信する場所の [宛先の詳細] を選びます。 次の宛先のいずれかまたはすべてを選びます。 選択内容に応じて、追加のフィールドが表示されます。

   • [Log Analytics ワークスペースへの送信]: 表示されるメニューから適切な詳細を選びます。
   • [ストレージ アカウントへのアーカイブ]: ログ カテゴリの横に表示される [リテンション期間 (日数)] ボックスで、データを保持する日数 を指定します。 表示されるメニューから適切な詳細を選びます。
   • [イベント ハブへのストリーム]: 表示されるメニューから適切な詳細を選びます。
   • [Send to partner solution] (パートナー ソリューションへの送信): 表示されるメニューから適切な詳細を選びます。

次のステップ

• Global Secure Access のログと監視オプションを調べる
• Global Secure Access 監査ログ (プレビュー) について学習する
• 拡張された Microsoft 365 監査ログ