Microsoft 365 監査ログ

API

Microsoft 365 の監査ログデータを Data Lake に追加できます。これによって、Sophos Live Discover を使用して Microsoft Graph のデータをクエリできます。

前提条件

Microsoft 365 管理者である必要があります。

Microsoft 365 で、監査がオンになっている必要があります。そうでない場合、セットアップ中にオンにするように求められます。

Microsoft Office 365 管理 API のプロパティで、「ユーザーのサインインが有効になっていますか？」が「はい」に設定されている必要があります。これを確認および変更するには、Microsoft Office 365 API の管理を参照してください。

統合の追加

Sophos Central に Microsoft 365 データを統合するには、次の手順を実行します。

1. Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。

2. 「Microsoft - Office 365 管理アクティビティ API」をクリックします。

   既にこの種類の統合を設定済みの場合は、ここに表示されます。

3. 「追加」をクリックします。

   注

   これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

4. 「統合手順」で、Microsoft 365 監査がまだオンになっていない場合は、「Microsoft 365 監査をオンに設定」をクリックします。

   これによって、Microsoft 365 が表示されます。監査をオンにしてから、Sophos Central に戻ります。詳細は、監査のオンとオフを切り替えるを参照してください。

   監査をオンにするには、Microsoft によって認証が求められることがあります。

   注

   監査をオンにした後、Microsoft 365 の監査ログデータが表示されるまで、最長 12時間かかる場合があります。

5. 「保存して続行」をクリックします。

6. 「Microsoft 365 への接続」にある文章を読み、「続行」をクリックします。

   Microsoft 365 に接続します。そこで、Sophos Central と統合するアプリケーションを作成します。

   

7. Microsoft アカウントを入力または選択してサインインします。

8. アプリにパーミッションを許可するように求められます。これらのパーミッションによって、Sophos Central と統合する Microsoft アプリを作成できます。「同意する」をクリックします。

   

   Microsoft 365 環境によっては、再度承認が求められる場合があります。

   接続には数分かかる場合があります。

9. アプリが設定されたことを示す確認メッセージが表示されます。「閉じる」をクリックします。

   

Sophos Central の「統合 > Microsoft - Office 365 管理アクティビティ」で、新しい統合が表示されます。

「Live Discover > クエリ」で、新しいカテゴリ「Microsoft 365 の監査データ」が表示されます。Microsoft 365 データに対して、このカテゴリ内のクエリを実行できます。

Microsoft Office 365 API の管理

この API のプロパティで、「ユーザーのサインインが有効になっていますか？」が「はい」に設定されている必要があります。これを確認および変更するには、次の手順を実行します。

1. Microsoft Azure ポータルで、「Azure Active Directory > エンタープライズアプリケーション > すべてのアプリケーション」に移動します。

2. 「すべてのアプリケーション」で、「アプリケーションの種類 == Microsoft アプリケーション」でフィルタリングします。

   

3. 「Office 365 管理 API」をクリックします。

4. 「Office 365 管理 API | プロパティ」で、「ユーザーのサインインが有効になっていますか？」を「はい」に設定します。

   

5. 「保存」をクリックします。