06月 23日, 2020

3 分程度

クイックにMicrosoft Office 365 App for Splunkを導入する方法 - Vol.1

Splunk

前回「リモートワークを支えるSplunkソリューションのご紹介「Microsoft 365 App for Splunk」では、Appについてご紹介しました。

今回は、実際の設定画面を見ながら、Microsoft 365のデフォルトにある「監査ログ」を使った可視化について解説します。前編はMicrosoft365側の設定、具体的なセットアップ方法です。簡単に可視化ができますのでぜひトライしてみてください。

＜前編＞
1.準備
2.Microsoft 365側の設定

＜後半＞
3.Splunk側の設定
4.カスタマイズ
5.ダッシュボードの完成

Microsoft 365の「監査ログ」を使った可視化

1.準備

まずは、Splunkを用意します。ダウンロード版のSplunk Enterpriseでも、Splunk Cloud Trial でもかまいません。無料トライアルはこちらから。

1.1.ダウンロード版のSplunk Enterpriseをお使いの方

Microsoft 365 App for Splunk

Splunk Add-on for Microsoft Office 365

Sankey Diagram - Custom Visualization

Timeline - Custom Visualization

1.2.Splunk CloudあるいはSplunk Cloud Trial版をお使いの方

[Appの管理]ページから、[Browse more apps]より、
「Microsoft 365 App for Splunk」
「Splunk Add-on for Microsoft Office 365」
「Sankey Diagram - Custom Visualization」
「Timeline - Custom Visualization」
を選んでインストールします。

2.Microsoft 365側の設定

2.1.監査ログ取得開始

「 Microsoft 365 管理センター」画面から、「Office 365 キュリティ/コンプライアンス」画面にアクセスします。画面左の「検索」ー「監査ログの検索」から、画面上部の「監査を有効にする」ボタンを押して、監査ログ取得をスタートします。

しばらく経つと、監査ログが取得できるようになります。

監査ログの検索画面

2.2.「Setup Guide」の参照

Splunkにログインして、「Microsoft 365 App for Splunk」の画面にアクセスし、「Help」ー「Setup Guide」メニューを選択します。

Microsoft 365 App for Splunkの画面

2.3.「Azure Portal」へのアクセス

Setup Guideは英語で書かれていますが、分かりやすく明確に手順が説明されていますので、ぜひご参考ください。「Login to the Azure Portal」というところはリンクになっていますので、クリックします。このリンクは、「https://aad.portal.azure.com」になっていて、Azure Active Directoryの管理画面になっています。

セットアップ画面

Azure Active Directoryの管理画面

2.4.「アプリの登録」

「Azure Active Directory」にアクセスして、「アプリの登録」に進みます。

アプリの登録画面

2.5.「アプリの登録」

「新規登録」に進みます。

新規登録画面

2.6.「アプリの登録」

適当な名前でアプリケーション登録をおこないます。

アプリケーションの登録画面

2.7.「APIアクセス」

次に「APIのアクセス許可」に進みます。

APIアクセス画面

2.8.「APIアクセス」

次に「アクセス許可の追加」に進みます。

アクセス許可の追加

2.9.「APIアクセス」

次に「Office 365 Management APIs」を選択します。

Office 365 Management APIsの画面

2.10.「APIアクセス」

次に「ActivityFeed」「ActivityReports」「ActivityHealth」「ThreatIntelligence」をすべて選択します。

APIアクセスの選択画面

2.11.「APIアクセス」

次に「個人に管理者の同意を与えます」を選択します。

APIのアクセス許可画面

2.12.「APIアクセス」

次に確認画面がでますので、「はい」を選択します。

APIアクセス確認画面

2.13.「証明書とシークレット」

次に「証明書とシークレット」メニューを選択します。

証明書とシークレットの画面

2.14.「証明書とシークレット」

次に「新しいクライアントシークレット」を選択します。

新しいクライアントシークレットの画面

2.15.「証明書とシークレット」

次に「クライアントシークレットの追加」をします。

クライアントシークレットの追加画面

2.16.「証明書とシークレット」

次に「クライアントシークレットの値」をメモします。

クライアントシークレットの値画面

2.17.各ID情報の取得

次に「概要」に移動して、「アプリケーション(クライアント)ID」「ディレクトリ(テナント)ID」をメモします。

クライアントシークレットの値画面

ここまでがMicrosoft365側の設定です。引き続きSplunk側の設定とカスタマイズについては後編で解説します。

ブログ関連情報

毎月１回、Splunkブログの更新情報をメールでお届けします。ぜひMonthly Digest をこちらからご登録ください！

----------------------------------------------------
Thanks!
小松原貴司

Splunk

世界の様々な企業が、デジタルシステムの安全性と信頼性を維持するためにSplunkを信頼しご利用いただいています。Splunkのソフトウェアソリューションとサービスは、ビジネスの継続に関わる重大な問題を未然に防ぎ、回復力を高め、イノベーションを加速します。Splunkの機能とSplunkが選ばれる理由をご覧ください。

IT 1 分程度

クラウド監視とは？オンプレミスとの違いや、基本項目を解説

クラウドサービスの活用が進むなか、クラウドをどう監視するか、が新たな課題となっています。クラウドは、インフラの運用負荷を軽減できるメリットがあるとはいえ、監視をしなくてよいわけではありません。オンプレミス環境での監視とはどう違うのか、クラウド監視を成功させるためのポイントなどを基本から解説します。

IT 12 分程度

Splunk ITSIを使いこなす - パート3：動的しきい値

ITSIで機械学習を活用した動的しきい値を設定して信頼できるアラートを生成するための、高度なしきい値とアラートの作成方法について説明します。

IT 2 分程度

リモートワーク(在宅勤務)が広がる中、リモートワーク支援サービスのIT監視・運用

リモートワークの普及により、様々なサービスに対してリモートアクセスの運用や監視といった、在宅勤務中のセキュリティ環境を確保するニーズが生まれました。Splunkは取り込み済みの既存データを使って、システム管理者に役立つダッシュボードを簡単に作成、運用・監視することができます。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら

クイックにMicrosoft Office 365 App for Splunkを導入する方法 - Vol.1

Microsoft 365の「監査ログ」を使った可視化

1.準備

2.Microsoft 365側の設定

ブログ関連情報

関連記事

クラウド監視とは？オンプレミスとの違いや、基本項目を解説

Splunk ITSIを使いこなす - パート3：動的しきい値

リモートワーク(在宅勤務)が広がる中、リモートワーク支援サービスのIT監視・運用

Splunkについて

ブログのメール配信

XでSplunkとつながる

FacebookでSplunkとつながる