Global Secure Access のエンリッチされた Microsoft 365 ログを使用する方法
Microsoft Entra プライベート インターネット サービスを通過する Microsoft トラフィックを使用すると、組織が使用する Microsoft 365 アプリのパフォーマンス、エクスペリエンス、可用性に関する分析情報を取得できます。 エンリッチされた Microsoft 365 ログは、これらの分析情報を得るために必要な情報を提供します。 ログをサードパーティのセキュリティ情報イベント管理 (SIEM) ツールと統合して、さらに詳細な分析を行うことができます。
この記事では、ログ内の情報とそのエクスポート方法について説明します。
前提条件
エンリッチされたログを使用するには、次のロール、構成、およびサブスクリプションが必要です。
ロールと権限
- エンリッチされた Microsoft 365 ログを有効にするには、グローバル管理者ロールが必要です。
構成
- Microsoft プロファイル - Microsoft トラフィック プロファイルが有効になっていることを確認します。 Microsoft トラフィック転送プロファイルは、ログ エンリッチメントの基本である Microsoft 365 サービスに送信されるトラフィックをキャプチャするために必要です。
- Microsoft 365 Common および Office Online トラフィック ポリシー - ログ エンリッチメントに必要です。 有効になっていることを確認します。
- テナントからのデータの送信 - 転送プロファイルで構成されているトラフィックが、グローバル セキュア アクセス サービスに正確にトンネリングされていることを確認します。
- 診断設定の構成 - ログを Log Analytics ワークスペースなどの指定されたエンドポイントにチャネル化するように Microsoft Entra 診断設定を設定します。 各エンドポイントの要件は異なり、この記事の「診断設定の構成」セクションで概説されています。
サブスクリプション
- この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
診断設定を構成する前に、ログをルーティングする場所のエンドポイントを構成する必要があります。 各エンドポイントの要件は異なり、「診断設定の構成」セクションで説明されています。
ログで提供される内容
エンリッチされた Microsoft 365 ログは、Microsoft 365 ワークロードに関する情報を提供するため、Microsoft 365 アプリに関連するネットワーク診断データ、パフォーマンス データ、およびセキュリティ イベントを確認できます。 たとえば、組織内のあるユーザーに対して Microsoft 365 へのアクセスがブロックされている場合は、そのユーザーのデバイスがどのようにネットワークに接続しているかを視認できる必要があります。
これらのログでもたらされる内容は次のとおりです。
- 待ち時間の短縮
- 元のログに追加された追加情報
- 正確な IP アドレス
これらのログは、Microsoft 365 監査ログで使用できるログのサブセットです。 ログは、デバイス ID、オペレーティング システム、元の IP アドレスなどの追加情報でエンリッチされます。 エンリッチされた SharePoint ログは、ダウンロード、アップロード、削除、変更、またはリサイクルされたファイルに関する情報を提供します。 削除またはリサイクルされたリスト アイテムも、エンリッチされたログに含まれます。
ログを表示する方法
エンリッチされた Microsoft 365 ログの表示は、2 段階のプロセスです。 まず、Global Secure Access からログ エンリッチメントを有効にする必要があります。 次に、Log Analytics ワークスペースなどのエンドポイントにログをルーティングするために、Microsoft Entra 診断設定を構成する必要があります。
Note
現時点では、ログ エンリッチメントに使用できるのは SharePoint Online ログのみです。
ログ エンリッチメントを有効にする
エンリッチされた Microsoft 365 ログを有効にするには、次の手順を実行してください。
- Microsoft Entra 管理センターにグローバル管理者としてサインインします。
- [グローバル セキュア アクセス]>[設定]>[ログ] にアクセスします。
- 有効にする Microsoft 365 ログの種類を選択します。
- [保存] を選択します。
エンリッチされたログは、サービスと完全に統合されるまでに最大 72 時間かかります。
診断設定を構成する
エンリッチされた Microsoft 365 ログを表示するには、Log Analytics ワークスペースや SIEM ツールなどのエンドポイントにログをエクスポートまたはストリーミングする必要があります。 診断設定を構成するには、エンドポイントを構成する必要があります。
エンドポイントを構成する
ログを Log Analytics と統合するには、Log Analytics ワークスペースが必要です。
SIEM ツールにログをストリーミングするには、Azure イベント ハブとイベント ハブ名前空間を作成する必要があります。
ログをストレージ アカウントにアーカイブするには、
ListKeys
アクセス許可を持つ Azure ストレージ アカウントが必要です。
エンドポイントにログを送信する
エンドポイントを作成したら、診断設定を構成できます。
セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
[Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。
[診断設定を追加する] を選びます。
診断設定に名前を付けます。
[
EnrichedOffice365AuditLogs
] を選択します。ログを送信する場所の [宛先の詳細] を選びます。 次の宛先のいずれかまたはすべてを選びます。 選択内容に応じて、追加のフィールドが表示されます。
- [Log Analytics ワークスペースへの送信]: 表示されるメニューから適切な詳細を選びます。
- [ストレージ アカウントへのアーカイブ]: ログ カテゴリの横に表示される [リテンション期間 (日数)] ボックスで、データを保持する日数 を指定します。 表示されるメニューから適切な詳細を選びます。
- [イベント ハブへのストリーム]: 表示されるメニューから適切な詳細を選びます。
- [Send to partner solution] (パートナー ソリューションへの送信): 表示されるメニューから適切な詳細を選びます。
次の例は、エンリッチされたログを Log Analytics ワークスペースに送信しています。これは、表示されるメニューから [サブスクリプション] と [Log Analytics ワークスペース] を選択することを必要とします。