O365 Management API

統合バージョン: 9.0

ユースケース

Microsoft 365 からアクティビティ イベントを取得します。

Google Security Operations と連携するように O365 Management API を構成する

プロダクトの権限

詳細については、Office 365 Management API のスタートガイドをご覧ください。

Office 365 Management Activity API を介してデータにアクセスするには、Office 365 組織で統合監査ロギングを有効にする必要があります。これを行うには、Office 365 の監査ログを有効にします。手順については、監査を有効または無効にするをご覧ください。

アカウント構成については、他の Azure ベースのプロダクト(Defender、Sentinel など)と同様の手順となります。Azure Active Directory にアプリを登録し、次の権限を付与する必要があります。

  • Microsoft Graph の委任された User.Read 権限
  • Office 365 Management Activity API からのアプリケーション ActivityFeed.ReadDlp 権限

Google SecOps で O365 Management API の統合を構成する

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
インスタンス名 文字列 なし いいえ 統合を構成するインスタンスの名前。
説明 文字列 なし いいえ インスタンスの説明。
API ルート 文字列 https://manage.office.com はい インテグレーションで使用する API ルート URL。
Azure Active Directory ID 文字列 なし はい Azure Active Directory テナント ID。Active Directory > [アプリの登録] > [統合用に構成したアプリケーション] > [ディレクトリ(テナント)ID] で確認できます。例: k48f52ca-0000-4708-8ed0-0000a20a40a
クライアント ID 文字列 なし はい この統合のために Azure Active Directory のアプリ登録に追加されたクライアント(アプリケーション)ID。例: 29bf818e-0000-0000-0000-784fb644178d
クライアント シークレット パスワード なし いいえ Azure AD アプリの登録で入力されたシークレット。例: XF00000Qc0000000[UZSW7-0?qXb6Qx]
SSL を確認する チェックボックス オン はい リモート API エンドポイントの SSL 証明書を検証するかどうかを指定します。
リモートで実行 チェックボックス オフ いいえ 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。
証明書のパス 文字列 なし いいえ クライアント シークレットの代わりに証明書に基づく認証を使用する場合は、Google SecOps サーバー上の証明書のパスを指定します。
証明書のパスワード パスワード なし いいえ 省略可。証明書がパスワードで保護されている場合は、証明書ファイルを開くためのパスワードを指定します。
OAUTH2 ログイン エンドポイント URL 文字列 https://login.microsoftonline.com はい OAUTH2 ログイン エンドポイント URL に使用する URL コネクタを指定します。

アクション

Ping

説明

[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、O365 Management API サービスへの接続性をテストします。

パラメータ

なし

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
success True/False success:False
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

  • 成功した場合: 「指定された接続パラメータを使用して O365 Management API に正常に接続されました。」と出力されます。

アクションが失敗し、ハンドブックの実行が停止します。

  • 認証情報の誤りや接続の切断などの重大なエラーの場合: 「O365 Management API への接続に失敗しました。エラーは {0}」.format(exception.stacktrace)
全般

サブスクリプションを開始する

説明

選択した Office 365 Management API コンテンツ タイプのサブスクリプションを開始します。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
のサブスクリプションを開始する DDL コンテンツ タイプ Audit.General を選択する はい 定期購入を開始するコンテンツ タイプを指定します。

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success True/False is_success:False
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

  • 成功した場合: 「{0} コンテンツ タイプの O365 Management API サブスクリプションを正常に作成しました」と出力されます。format(content_type)

アクションが失敗し、ハンドブックの実行が停止します。

  • 認証情報の誤りや接続の切断などの重大なエラーの場合: 「コマンドの実行に失敗しました。エラーは {0}」.format(exception.stacktrace)
全般

定期購入を停止する

説明

選択した Office 365 Management API コンテンツ タイプのサブスクリプションを停止します。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
Stop a Subscription for(定期購入を停止する) DDL コンテンツ タイプ Audit.General を選択する はい サブスクリプションを停止するコンテンツ タイプを指定します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success True/False is_success:False
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

  • 成功した場合: 「{0} コンテンツ タイプの O365 Management API サブスクリプションを正常に停止しました」と出力されます。format(content_type)

アクションが失敗し、ハンドブックの実行が停止します。

  • 認証情報の誤りや接続の切断などの重大なエラーの場合: 「コマンドの実行に接続できませんでした。エラーは {0}」.format(exception.stacktrace)
一般

コネクタ

Google SecOps で Office 365 Management API コネクタを構成する

Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。

選択したコネクタを構成するには、次の表に示すコネクタ固有のパラメータを使用します。

Office 365 Management API DLP Events Connector

説明

Office 365 Management API から DLP イベントを取得します。

コネクタ パラメータ

次のパラメータを使用してコネクタを構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
プロダクト フィールド名 文字列 プロダクト名 ソース フィールド名を入力してプロダクト フィールド名を取得します。
イベント フィールド名 文字列 オペレーション はい ソース フィールド名を入力してイベント フィールド名を取得します。
環境フィールド名 文字列 "" いいえ

環境名が保存されるフィールドの名前を記述します。

環境フィールドがない場合、その環境がデフォルトの環境です。

環境の正規表現パターン 文字列 .* いいえ

[環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。

デフォルトは、すべてキャッチして値を変更せずに返す .* です。

ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。

スクリプトのタイムアウト(秒) 整数 180 はい 現在のスクリプトを実行している Python プロセスのタイムアウト上限。
API ルート 文字列 https://manage.office.com はい インテグレーションで使用する API ルート URL。
Azure Active Directory ID 文字列 なし はい Azure Active Directory テナント ID。Active Directory > [アプリの登録] > [統合用に構成したアプリケーション] > [ディレクトリ(テナント)ID] で確認できます。例: k48f52ca-0000-4708-8ed0-0000a20a40a
クライアント ID 文字列 なし はい この統合のために Azure Active Directory のアプリ登録に追加されたクライアント(アプリケーション)ID。例: 29bf818e-0000-0000-0000-784fb644178d
クライアント シークレット パスワード なし いいえ Azure AD アプリの登録で入力されたシークレット。例: XF00000Qc0000000[UZSW7-0?qXb6Qx]
SSL を確認する チェックボックス オン はい リモート API エンドポイントの SSL 証明書を検証するかどうかを指定します。
オペレーション フィルタのタイプ 文字列 なし いいえ DLP イベントでは、次のオペレーション タイプを使用できます。DlpRuleMatch、DlpRuleUndo、DlpInfo。パラメータはブラックリストとして機能します。デフォルトでは、このパラメータで何も指定されていない場合、可能なすべてのオペレーション タイプが取り込まれます。このパラメータでオペレーション タイプが指定されている場合、このオペレーション タイプのイベントは取り込まれません。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。
ポリシー フィルタのタイプ 文字列 なし いいえ パラメータを使用して、イベントに存在する場合にイベントが取り込まれないポリシー名を指定できます。パラメータはブラックリストとして機能します。デフォルトでは、何も指定しない場合、可能なすべてのポリシータイプが取り込まれます。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。
検出結果をマスクする チェックボックス オフ いいえ DLP ポリシーのヒットをトリガーした機密性の高い検出結果をコネクタでマスクするかどうかを指定します。
取得する最大イベント数 Integer 50 はい 1 回のコネクタのイテレーションで処理するイベントの数。
遡る取得の最大時間数 Integer 8 はい どの時点からイベントを取得するかの時間数。O365 Management API では、過去 7 日間のイベントのみを返すことができます。
遡る取得の時間間隔(分) Integer 240 はい 時間間隔コネクタは、最大時間まで遡ってイベントを取得するために使用する必要があります。O365 テナントがビジー状態の場合、大量のイベント BLOB が返される可能性があります。そのため、このパラメータ(分単位)を使用して、最大時間をより小さなセグメントに分割し、個別に処理できます。時間間隔の合計は 24 時間を超えないようにしてください。
イベントのパディング期間(分) Integer 60 はい [Event Padding Period in minutes](イベント パディング期間(分))には、コネクタが新しいイベントをチェックするために使用する最小時間間隔を指定します。
許可リストを拒否リストとして使用 チェックボックス オフ 有効にすると、許可リストが拒否リストとして使用されます。
プロキシ サーバーのアドレス 文字列 いいえ 使用するプロキシ サーバーのアドレス。
プロキシのユーザー名 文字列 いいえ 認証に使用するプロキシのユーザー名。
プロキシ パスワード パスワード いいえ 認証に使用するプロキシ パスワード。
証明書のパス 文字列 いいえ クライアント シークレットの代わりに証明書に基づく認証を使用する場合は、Google SecOps サーバー上の証明書のパスを指定します。
証明書のパスワード パスワード いいえ 省略可。証明書がパスワードで保護されている場合は、証明書ファイルを開くためのパスワードを指定します。
OAUTH2 ログイン エンドポイント URL 文字列 https://login.microsoftonline.com はい OAUTH2 ログイン エンドポイント URL にコネクタが使用する URL を指定します

コネクタルール

ホワイトリスト / ブラックリスト

コネクタはホワイトリスト/ブラックリストをサポートしています。

プロキシのサポート

コネクタでプロキシがサポートされます。

Office 365 Management API 監査一般イベント コネクタ

説明

Office 365 Management API から Audit.General イベントを取得します。まず、「サブスクリプションを開始」アクションを実行して Audit.General イベントのサブスクリプションを有効にしてください。

Office 365 Management API Audit General Events コネクタには、次の権限が必要です。

  • Microsoft Graph からの委任された User.Reademailprofile 権限
  • Office 365 Management Activity API のアプリケーション ActivityFeed.ReadDlp 権限と ActivityFeed.Read 権限

コネクタ パラメータ

次のパラメータを使用してコネクタを構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
プロダクト フィールド名 文字列 プロダクト名 ソース フィールド名を入力してプロダクト フィールド名を取得します。
イベント フィールド名 文字列 オペレーション はい ソース フィールド名を入力してイベント フィールド名を取得します。
環境フィールド名 文字列 "" いいえ

環境名が保存されるフィールドの名前を記述します。

環境フィールドがない場合、その環境がデフォルトの環境です。

環境の正規表現パターン 文字列 .* いいえ

[環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。

デフォルトは、すべてキャッチして値を変更せずに返す .* です。

ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。

スクリプトのタイムアウト(秒) 整数 180 はい 現在のスクリプトを実行している Python プロセスのタイムアウト上限。
API ルート 文字列 https://manage.office.com はい インテグレーションで使用する API ルート URL。
Azure Active Directory ID 文字列 なし はい Azure Active Directory テナント ID。Active Directory > [アプリの登録] > [統合用に構成したアプリケーション] > [ディレクトリ(テナント)ID] で確認できます。例: k48f52ca-0000-4708-8ed0-0000a20a40a
クライアント ID 文字列 なし はい この統合のために Azure Active Directory のアプリ登録に追加されたクライアント(アプリケーション)ID。例: 29bf818e-0000-0000-0000-784fb644178d
クライアント シークレット パスワード なし いいえ Azure AD アプリの登録で入力されたシークレット。例: XF00000Qc0000000[UZSW7-0?qXb6Qx]
証明書のパス 文字列 なし いいえ クライアント シークレットの代わりに証明書に基づく認証を使用する場合は、Google SecOps サーバー上の証明書のパスを指定します。
証明書のパスワード パスワード なし いいえ 省略可。証明書がパスワードで保護されている場合は、証明書ファイルを開くためのパスワードを指定します。
OAUTH2 ログイン エンドポイント URL 文字列 https://login.microsoftonline.com いいえ OAUTH2 ログイン エンドポイント URL にコネクタが使用する URL を指定します
SSL を確認する チェックボックス オン はい リモート API エンドポイントの SSL 証明書を検証するかどうかを指定します。
オペレーション フィルタのタイプ 文字列 なし いいえ audit.general スキーマには、SearchAirBatch、SearchCustomTag などのさまざまなオペレーション タイプがあります。デフォルトでは、このパラメータで何も指定されていない場合、可能なすべてのオペレーション タイプが取り込まれます。このパラメータでオペレーション タイプが指定されている場合、このオペレーション タイプのイベントは取り込まれません。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。
ステータス フィルタ 文字列 なし いいえ パラメータを使用して、イベントに存在する場合にイベントが取り込まれないステータスを指定できます。パラメータはブラックリストとして機能します。デフォルトでは、何も指定しない場合、可能なすべてのステータス タイプが取り込まれます。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。
オペレーションとステータスのフィルタを許可リストとして使用する チェックボックス オフ はい 有効にすると、オペレーション フィルタとステータス フィルタは許可リストとして機能します。デフォルトでは拒否リストです。
追加のイベントを作成するエンティティ キー CSV なし いいえ データの Audit.General エンティティ セクションに表示された場合に、関連するサブセクションを取得して追加の Google SecOps イベントを作成するキーを指定します。
取得する最大イベント数 Integer 50 はい 1 回のコネクタのイテレーションで処理するイベントの数。
遡る取得の最大時間数 Integer 8 はい どの時点からイベントを取得するかの時間数。O365 Management API では、過去 7 日間のイベントのみを返すことができます。
遡る取得の時間間隔(分) Integer 240 はい 時間間隔コネクタは、最大時間まで遡ってイベントを取得するために使用する必要があります。O365 テナントがビジー状態の場合、大量のイベント BLOB が返される可能性があります。そのため、このパラメータ(分単位)を使用して、最大時間をより小さなセグメントに分割し、個別に処理できます。時間間隔の合計は 24 時間を超えないようにしてください。
イベントのパディング期間(分) Integer 60 はい [Event Padding Period in minutes](イベント パディング期間(分))には、コネクタが新しいイベントをチェックするために使用する最小時間間隔を指定します。
許可リストを拒否リストとして使用 チェックボックス オフ 有効にすると、許可リストが拒否リストとして使用されます。
プロキシ サーバーのアドレス 文字列 いいえ 使用するプロキシ サーバーのアドレス。
プロキシのユーザー名 文字列 いいえ 認証に使用するプロキシのユーザー名。
プロキシ パスワード パスワード いいえ 認証に使用するプロキシ パスワード。

コネクタルール

ホワイトリスト / ブラックリスト

コネクタはホワイトリスト/ブラックリストをサポートしています。

プロキシのサポート

コネクタでプロキシがサポートされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。