06月 23日, 2020

3 分程度

クイックにMicrosoft Office 365 App for Splunkを導入する方法 - Vol.1

Splunk

前回「リモートワークを支えるSplunkソリューションのご紹介「Microsoft 365 App for Splunk」では、Appについてご紹介しました。

今回は、実際の設定画面を見ながら、Microsoft 365のデフォルトにある「監査ログ」を使った可視化について解説します。前編はMicrosoft365側の設定、具体的なセットアップ方法です。簡単に可視化ができますのでぜひトライしてみてください。

＜前編＞
1.準備
2.Microsoft 365側の設定

＜後半＞
3.Splunk側の設定
4.カスタマイズ
5.ダッシュボードの完成

Microsoft 365の「監査ログ」を使った可視化

1.準備

まずは、Splunkを用意します。ダウンロード版のSplunk Enterpriseでも、Splunk Cloud Trial でもかまいません。無料トライアルはこちらから。

1.1.ダウンロード版のSplunk Enterpriseをお使いの方

Microsoft 365 App for Splunk

Splunk Add-on for Microsoft Office 365

Sankey Diagram - Custom Visualization

Timeline - Custom Visualization

1.2.Splunk CloudあるいはSplunk Cloud Trial版をお使いの方

[Appの管理]ページから、[Browse more apps]より、
「Microsoft 365 App for Splunk」
「Splunk Add-on for Microsoft Office 365」
「Sankey Diagram - Custom Visualization」
「Timeline - Custom Visualization」
を選んでインストールします。

2.Microsoft 365側の設定

2.1.監査ログ取得開始

「 Microsoft 365 管理センター」画面から、「Office 365 キュリティ/コンプライアンス」画面にアクセスします。画面左の「検索」ー「監査ログの検索」から、画面上部の「監査を有効にする」ボタンを押して、監査ログ取得をスタートします。

しばらく経つと、監査ログが取得できるようになります。

監査ログの検索画面

2.2.「Setup Guide」の参照

Splunkにログインして、「Microsoft 365 App for Splunk」の画面にアクセスし、「Help」ー「Setup Guide」メニューを選択します。

Microsoft 365 App for Splunkの画面

2.3.「Azure Portal」へのアクセス

Setup Guideは英語で書かれていますが、分かりやすく明確に手順が説明されていますので、ぜひご参考ください。「Login to the Azure Portal」というところはリンクになっていますので、クリックします。このリンクは、「https://aad.portal.azure.com」になっていて、Azure Active Directoryの管理画面になっています。

セットアップ画面

Azure Active Directoryの管理画面

2.4.「アプリの登録」

「Azure Active Directory」にアクセスして、「アプリの登録」に進みます。

アプリの登録画面

2.5.「アプリの登録」

「新規登録」に進みます。

新規登録画面

2.6.「アプリの登録」

適当な名前でアプリケーション登録をおこないます。

アプリケーションの登録画面

2.7.「APIアクセス」

次に「APIのアクセス許可」に進みます。

APIアクセス画面

2.8.「APIアクセス」

次に「アクセス許可の追加」に進みます。

アクセス許可の追加

2.9.「APIアクセス」

次に「Office 365 Management APIs」を選択します。

Office 365 Management APIsの画面

2.10.「APIアクセス」

次に「ActivityFeed」「ActivityReports」「ActivityHealth」「ThreatIntelligence」をすべて選択します。

APIアクセスの選択画面

2.11.「APIアクセス」

次に「個人に管理者の同意を与えます」を選択します。

APIのアクセス許可画面

2.12.「APIアクセス」

次に確認画面がでますので、「はい」を選択します。

APIアクセス確認画面

2.13.「証明書とシークレット」

次に「証明書とシークレット」メニューを選択します。

証明書とシークレットの画面

2.14.「証明書とシークレット」

次に「新しいクライアントシークレット」を選択します。

新しいクライアントシークレットの画面

2.15.「証明書とシークレット」

次に「クライアントシークレットの追加」をします。

クライアントシークレットの追加画面

2.16.「証明書とシークレット」

次に「クライアントシークレットの値」をメモします。

クライアントシークレットの値画面

2.17.各ID情報の取得

次に「概要」に移動して、「アプリケーション(クライアント)ID」「ディレクトリ(テナント)ID」をメモします。

クライアントシークレットの値画面

ここまでがMicrosoft365側の設定です。引き続きSplunk側の設定とカスタマイズについては後編で解説します。

ブログ関連情報

毎月１回、Splunkブログの更新情報をメールでお届けします。ぜひMonthly Digest をこちらからご登録ください！

----------------------------------------------------
Thanks!
小松原貴司

Splunk

世界の様々な企業が、デジタルシステムの安全性と信頼性を維持するためにSplunkを信頼しご利用いただいています。Splunkのソフトウェアソリューションとサービスは、ビジネスの継続に関わる重大な問題を未然に防ぎ、回復力を高め、イノベーションを加速します。Splunkの機能とSplunkが選ばれる理由をご覧ください。

IT 12 分程度

データベース監視：基礎と概要

データベース監視(データベースパフォーマンス監視)とは、リアルタイムでデータベースを監視することです。本記事では、データベース監視の仕組みと、パフォーマンスを最適化するために監視すべき最も重要なデータベースメトリクスの概要を説明します。

IT 2 分程度

政府の新クラウド利用方針「クラウド・スマート」の課題

クラウドスマートとは、クラウドサービスを単に利用することだけでなく、クラウドサービスのコスト面でのメリットを十分に活用することを意味します。今回は、クラウドサービス促進を阻害する要因を説明いたします。

IT 7 分程度

データ漏えい防止(DLP)の定義、構成要素、種類

データ漏えい防止(DLP)とは、データの侵害、流出、露出、IPの悪用など、企業の機密データの損失や盗難を防ぐための一連のツールやプロセスのことを指します。この記事では、DLPの仕組み、そのメリットとユースケースに加え、独自のDLP戦略を開始する方法について説明します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら