連携設定

［ログフォワーダー］オプションを使用すると、Microsoft 365監査ログを外部SIEM製品またはSyslogサーバーに転送できます。

Syslogサーバーへのログの転送

SyslogはUNIXシステムのイベントロギングサービスです。この設定を使用して、SIEMのUDPまたはTCPレシーバーに転送することもできます。

Syslogサーバーの設定

• Syslogデーモンは、初期設定ではUDPポート514で実行されます。
• 初期設定は、Syslogサーバーの構成ファイル/etc/syslog.confで変更できます。
• 変更を有効にするには、必ずSyslogデーモンを再起動してください。

Microsoft 365 Manager PlusでSyslogロギングを有効にする手順

• ［設定］タブに移動します。
• 左側のペインで［管理者］→［管理］→［連携の設定］→［ログフォワーダー］を選択します。
• ［ログ転送を有効にする］チェックボックスをオンにします。
• ［Syslog］タブを選択します。
• ［サーバーのネームまたはIP］を入力します。このサーバーが、M365 Manager Plusがインストールされているサーバーからアクセス可能であることを確認します。
• 使用する［プロトコル］を選択します。
• ［ポート］の番号を入力します。
• ドロップダウンから、SIEMパーサーの必要に応じた［Syslogの種類］を選択します。
• 選択したSysvlogタイプがRFC 3164、RFC 5424、またはCEFの場合、以下の［高度］な設定を行うことができます。
• ［重大性］と［機能］を選択してください。
• ログが変換されるデータの［日付形式］を変更します。
• ［保存］ボタンをクリックします。

外部SIEM製品へのMicrosoft 365ログの転送：Splunk HTTP

Splunk HTTP Event Collectorを設定する手順

• Splunk管理者アカウントにサインインします。
• ホームページの右上隅にある［設定］を選択します。
• ［データ］の下にある［データ入力］を選択します。
• ［ローカル入力］で［HTTP Event Collector］を選択します。
• ［新しいトークン］を選択します。
• トークンの［名前］を入力します（「M365 Manager Plus」が望ましい）。
• 必要に応じて、残りの項目をカスタマイズします。
• ［次へ］をクリックします。
• 必要に応じて［入力設定］をカスタマイズします。
• ［レビュー］をクリックします。
• 設定を確認して、［送信］をクリックします。
• ［トークン値］項目に値をコピーして保存します。これは、M365 Manager Plusの設定に必要です。
• ［設定］→［データ入力］→［HTTP Event Collector］に移動します。
• ［グローバル設定］を選択し、［すべてのトークン］を有効にします。
• 必要に応じて、［HTTPポート番号］とその他の項目をカスタマイズできます。
• ［保存］をクリックします。

M365 Manager Plusを設定する手順

• M365 Manager Plusにサインインします。
• ［設定］タブに移動します。
• 左側のペインで［管理者］→［管理］→［連携の設定］→［ログフォワーダー］を選択します。
• ［ログ転送を有効にする］チェックボックスをオンにします。
• ［Splunk］タブを選択します。
• ［サーバーネームまたはIP］を入力します。
• Splunk HTTP Event Collector のポート番号と使用するプロトコルを入力してください。
• ［認証トークン］項目に、Splunk設定の手順12個目でコピーしたトークン値を入力します。
• ［保存する］をクリックします。