クイックにMicrosoft Office 365 App for Splunkを導入する方法 - Vol.1

前回「リモートワークを支えるSplunkソリューションのご紹介「Microsoft 365 App for Splunk」では、Appについてご紹介しました。

今回は、実際の設定画面を見ながら、Microsoft 365のデフォルトにある「監査ログ」を使った可視化について解説します。前編はMicrosoft365側の設定、具体的なセットアップ方法です。簡単に可視化ができますのでぜひトライしてみてください。

＜前編＞
1.準備
2.Microsoft 365側の設定

＜後半＞
3.Splunk側の設定
4.カスタマイズ
5.ダッシュボードの完成

Microsoft 365の「監査ログ」を使った可視化

1.準備

まずは、Splunkを用意します。ダウンロード版のSplunk Enterpriseでも、Splunk Cloud Trial でもかまいません。無料トライアルはこちらから。

1.1.ダウンロード版のSplunk Enterpriseをお使いの方

Microsoft 365 App for Splunk

Splunk Add-on for Microsoft Office 365

Sankey Diagram - Custom Visualization

Timeline - Custom Visualization

1.2.Splunk CloudあるいはSplunk Cloud Trial版をお使いの方

[Appの管理]ページから、[Browse more apps]より、
「Microsoft 365 App for Splunk」
「Splunk Add-on for Microsoft Office 365」
「Sankey Diagram - Custom Visualization」
「Timeline - Custom Visualization」
を選んでインストールします。

2.Microsoft 365側の設定

2.1.監査ログ取得開始

「 Microsoft 365 管理センター」画面から、「Office 365 キュリティ/コンプライアンス」画面にアクセスします。画面左の「検索」ー「監査ログの検索」から、画面上部の「監査を有効にする」ボタンを押して、監査ログ取得をスタートします。

しばらく経つと、監査ログが取得できるようになります。

監査ログの検索画面

2.2.「Setup Guide」の参照

Splunkにログインして、「Microsoft 365 App for Splunk」の画面にアクセスし、「Help」ー「Setup Guide」メニューを選択します。

Microsoft 365 App for Splunkの画面

2.3.「Azure Portal」へのアクセス

Setup Guideは英語で書かれていますが、分かりやすく明確に手順が説明されていますので、ぜひご参考ください。「Login to the Azure Portal」というところはリンクになっていますので、クリックします。このリンクは、「https://aad.portal.azure.com」になっていて、Azure Active Directoryの管理画面になっています。

セットアップ画面

Azure Active Directoryの管理画面

2.4.「アプリの登録」

「Azure Active Directory」にアクセスして、「アプリの登録」に進みます。

アプリの登録画面

2.5.「アプリの登録」

「新規登録」に進みます。

新規登録画面

2.6.「アプリの登録」

適当な名前でアプリケーション登録をおこないます。

アプリケーションの登録画面

2.7.「APIアクセス」

次に「APIのアクセス許可」に進みます。

APIアクセス画面

2.8.「APIアクセス」

次に「アクセス許可の追加」に進みます。

アクセス許可の追加

2.9.「APIアクセス」

次に「Office 365 Management APIs」を選択します。

Office 365 Management APIsの画面

2.10.「APIアクセス」

次に「ActivityFeed」「ActivityReports」「ActivityHealth」「ThreatIntelligence」をすべて選択します。

APIアクセスの選択画面

2.11.「APIアクセス」

次に「個人に管理者の同意を与えます」を選択します。

APIのアクセス許可画面

2.12.「APIアクセス」

次に確認画面がでますので、「はい」を選択します。

APIアクセス確認画面

2.13.「証明書とシークレット」

次に「証明書とシークレット」メニューを選択します。

証明書とシークレットの画面

2.14.「証明書とシークレット」

次に「新しいクライアントシークレット」を選択します。

新しいクライアントシークレットの画面

2.15.「証明書とシークレット」

次に「クライアントシークレットの追加」をします。

クライアントシークレットの追加画面

2.16.「証明書とシークレット」

次に「クライアントシークレットの値」をメモします。

クライアントシークレットの値画面

2.17.各ID情報の取得

次に「概要」に移動して、「アプリケーション(クライアント)ID」「ディレクトリ(テナント)ID」をメモします。

クライアントシークレットの値画面

ここまでがMicrosoft365側の設定です。引き続きSplunk側の設定とカスタマイズについては後編で解説します。

ブログ関連情報

毎月１回、Splunkブログの更新情報をメールでお届けします。ぜひMonthly Digest をこちらからご登録ください！

June 23, 2020

ライター

小松原貴司

データから「価値」を引き出すSplunkの魅力に取り憑かれて、早5年。OEMでサポートしていた時代を含めると８年。アスキー時代からMSテクノロジーに触れ、Hyperion Solutions時代はBI、Sendmail時代は大規模ISP/キャリアグレードのメールシステムを担当。各種開発言語からセキュリティ、システムデザイン、講演、Blog、スマホアプリ開発までなんでもこなす、オールラウンドプレーヤー。最近の関心は、Splunkで取り込んだデータを使って、プロセスマイニングをすること。