このページは Cloud Translation API によって翻訳されました。

Microsoft Graph アクティビティログを収集する

以下でサポートされています。

Google SecOpsSIEM

概要

このパーサーは、Microsoft Graph アクティビティログからフィールドを抽出し、統合データモデル（UDM）に変換します。UDM フィールドを初期化し、ペイロードを解析し、タイムスタンプを抽出し、さまざまなプロパティを UDM フィールドにマッピングし、IP アドレスとポートを処理し、プリンシパルとネットワーク情報の有無に基づいてイベントタイプを分類します。

始める前に

Google SecOps インスタンスがあることを確認します。
Microsoft Entra ID と Azure ストレージアカウントに対する特権アクセス権があることを確認します。

Azure ストレージアカウントを構成する

Azure コンソールで、ストレージアカウントを検索します。
[作成] をクリックします。
次の入力パラメータの値を指定します。
- Subscription: サブスクリプションを選択します。
- Resource Group: リソースグループを選択します。
- リージョン: リージョンを選択します。
- パフォーマンス: 必要なパフォーマンスレベルを選択します（標準が推奨されます）。
- 冗長性: 必要な冗長性レベルを選択します（GRS または LRS を推奨）。
- ストレージアカウント名: 新しいストレージアカウントの名前を入力します。
[Review + create] をクリックします。
アカウントの概要を確認し、[作成] をクリックします。
[ストレージアカウントの概要] ページで、[セキュリティとネットワーキング] のサブメニュー [アクセスキー] を選択します。
[key1] または [key2] の横にある [表示] をクリックします。
[クリップボードにコピー] をクリックして、鍵をコピーします。
キーは安全な場所に保存し、後で参照できるようにします。
[ストレージアカウントの概要] ページで、[設定] のサブメニュー [エンドポイント] を選択します。
[クリップボードにコピー] をクリックして、Blob サービスのエンドポイント URL（https://.blob.core.windows.net など）をコピーします。
エンドポイント URL を安全な場所に保存して、後で参照できるようにします。

ストレージアカウントへの Microsoft Graph アクティビティログのエクスポートを構成する

Azure コンソールで [Entra ID] を検索します。
[モニタリング] > [診断設定] を選択します。
[+ 診断設定を追加] をクリックします。
設定に一意の名前を付けます（例: ms-graph-activity）。
Google SecOps にエクスポートする MicrosoftGraphActivityLog カテゴリを選択します。
[宛先の詳細] で、[ストレージアカウントにアーカイブ] を選択します。
前の手順で作成したサブスクリプションとストレージアカウントを選択します。
[保存] をクリックします。

Microsoft Graph のアクティビティログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Microsoft Graph アクティビティログ）。
[ソースタイプ] として [Microsoft Azure Blob Storage] を選択します。
[ログタイプ] として [Microsoft Graph アクティビティログ] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Azure URI: Blob エンドポイントの URL。
  
  ENDPOINT_URL/BLOB_NAME
  
  次のように置き換えます。
  - ENDPOINT_URL: blob エンドポイント URL（https://<storageaccountname>.blob.core.windows.net）
  - BLOB_NAME: blob の名前（例: insights-logs-）
- URI is a: ログストリームの構成（[単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ]）に応じて URI タイプを選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
注: [転送されたファイルを削除する] オプションまたは [転送されたファイルと空のディレクトリを削除する] オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- 共有キー: Azure Blob Storage へのアクセスキー。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`callerIpAddress`	`principal.asset.ip`	未加工ログフィールド `callerIpAddress` が UDM フィールドにコピーされます。
`callerIpAddress`	`principal.ip`	未加工ログフィールド `callerIpAddress` が UDM フィールドにコピーされます。
`category`	`security_result.category_details`	未加工ログフィールド `category` が UDM フィールドにコピーされます。
`correlationId`	`security_result.detection_fields.value`	未加工ログフィールド `correlationId` が UDM フィールドにコピーされます。キーは `correlationId` です。
`Level`	`security_result.detection_fields.value`	未加工ログフィールド `Level` は文字列に変換され、UDM フィールドにコピーされます。キーは `Level` です。
`operationName`	`metadata.product_event_type`	未加工ログフィールド `operationName` が UDM フィールドにコピーされます。
`operationVersion`	`additional.fields.value.string_value`	未加工ログフィールド `operationVersion` が UDM フィールドにコピーされます。キーは `operationVersion` です。
`properties.apiVersion`	`metadata.product_version`	未加工ログフィールド `properties.apiVersion` が UDM フィールドにコピーされます。
`properties.appId`	`target.resource.product_object_id`	未加工ログフィールド `properties.appId` が UDM フィールドにコピーされます。
`properties.atContent`	`additional.fields.value.string_value`	未加工ログフィールド `properties.atContent` は、キーが `atContent` の UDM フィールドにコピーされます。
`properties.clientAuthMethod`	`extensions.auth.auth_details`	`properties.clientAuthMethod` の値に基づいて、UDM フィールドは「公開クライアント」（0）、クライアント ID/クライアントシークレット（1）、クライアント証明書（2）のいずれかに設定されます。
`properties.clientRequestId`	`additional.fields.value.string_value`	未加工ログフィールド `properties.clientRequestId` は、キーが `clientRequestId` の UDM フィールドにコピーされます。
`properties.durationMs`	`network.session_duration.seconds`	未加工ログフィールド `properties.durationMs` はミリ秒から秒に変換され、UDM フィールドにコピーされます。
`properties.identityProvider`	`security_result.detection_fields.value`	未加工ログフィールド `properties.identityProvider` は、キーが `identityProvider` の UDM フィールドにコピーされます。
`properties.ipAddress`	`principal.asset.ip`	未加工ログの `properties.ipAddress` フィールドの IP アドレスが抽出され、UDM フィールドにコピーされます。
`properties.ipAddress`	`principal.ip`	未加工ログフィールド `properties.ipAddress` の IP アドレスが抽出され、UDM フィールドにコピーされます。
`properties.location`	`principal.location.name`	未加工ログフィールド `properties.location` が UDM フィールドにコピーされます。
`properties.operationId`	`security_result.detection_fields.value`	未加工ログフィールド `properties.operationId` は、キーが `operationId` の UDM フィールドにコピーされます。
`properties.requestMethod`	`network.http.method`	未加工ログフィールド `properties.requestMethod` が UDM フィールドにコピーされます。
`properties.requestId`	`metadata.product_log_id`	未加工ログフィールド `properties.requestId` が UDM フィールドにコピーされます。
`properties.responseSizeBytes`	`network.received_bytes`	未加工ログフィールド `properties.responseSizeBytes` は符号なし整数に変換され、UDM フィールドにコピーされます。
`properties.responseStatusCode`	`network.http.response_code`	未加工ログフィールド `properties.responseStatusCode` は整数に変換され、UDM フィールドにコピーされます。
`properties.roles`	`additional.fields.value.string_value`	未加工ログフィールド `properties.roles` が UDM フィールドにコピーされます。キーは `roles` です。
`properties.scopes`	`additional.fields.value.string_value`	未加工ログフィールド `properties.scopes` は、キーが `Scopes` の UDM フィールドにコピーされます。
`properties.servicePrincipalId`	`principal.user.userid`	`properties.userId` が空の場合、未加工ログフィールド `properties.servicePrincipalId` が UDM フィールドにコピーされます。
`properties.signInActivityId`	`network.session_id`	未加工ログフィールド `properties.signInActivityId` が UDM フィールドにコピーされます。
`properties.tenantId`	`metadata.product_deployment_id`	未加工ログフィールド `properties.tenantId` が UDM フィールドにコピーされます。
`properties.tokenIssuedAt`	`additional.fields.value.string_value`	未加工ログフィールド `properties.tokenIssuedAt` は、キーが `tokenIssuedAt` の UDM フィールドにコピーされます。
`properties.userAgent`	`network.http.user_agent`	未加工ログフィールド `properties.userAgent` が UDM フィールドにコピーされます。
`properties.userId`	`principal.user.userid`	未加工ログフィールド `properties.userId` が UDM フィールドにコピーされます。
`properties.wids`	`security_result.detection_fields.value`	未加工ログフィールド `properties.wids` は、キーが `wids` の UDM フィールドにコピーされます。
`resourceId`	`target.resource.attribute.labels.value`	未加工ログフィールド `resourceId` は、キーが `Resource ID` の UDM フィールドにコピーされます。
`resultSignature`	`additional.fields.value.string_value`	未加工ログフィールド `resultSignature` は、キーが `resultSignature` の UDM フィールドにコピーされます。
`time`	`metadata.event_timestamp`	未加工ログフィールド `time` は解析され、タイムスタンプに変換されて UDM フィールドにコピーされます。UDM フィールド `event.idm.read_only_udm.metadata.event_type` は、`has_principal` が true で `network.http` が空でない場合「NETWORK_HTTP」、`has_principal` が true で `network.http` が空の場合「STATUS_UPDATE」、それ以外の場合は「GENERIC_EVENT」に設定されます。UDM フィールドは「Microsoft Graph」に設定されています。UDM フィールドは「Microsoft」に設定されています。

変更点

2024-05-27

「metadata.vendor_name」を「Microsoft」に、「metadata.product_name」を「Microsoft Graph」に設定します。

2024-03-01

新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。

Microsoft Graph アクティビティ ログを収集する

概要

始める前に

Azure ストレージ アカウントを構成する

ストレージ アカウントへの Microsoft Graph アクティビティ ログのエクスポートを構成する

Microsoft Graph のアクティビティ ログを取り込むように Google SecOps でフィードを構成する

UDM マッピング テーブル

変更点