Sbírání logů z Microsoft 365
TeskaLabs LogMan.io může sbírat logy z Microsoft 365, dříve známého jako Microsoft Office 365.
Existují následující třídy logů Microsoft 365:
-
Audit logy: Obsahují informace o různých uživatelských, administrátorských, systémových a politikových akcích a událostech z Azure Active Directory, Exchange a SharePoint.
-
Message Trace: Umožňuje získat přehled o e-mailovém provozu procházejícím přes Microsoft Office 365 Exchange mail server.
Aktivace auditu Microsoft 365
Ve výchozím nastavení je auditní logování aktivováno pro podnikovou organizaci Microsoft 365 a Office 365. Při nastavování logování pro organizaci Microsoft 365 nebo Office 365 byste však měli ověřit stav auditu Office 365.
1) Přejděte na https://compliance.microsoft.com/ a přihlaste se
2) V levém navigačním panelu Microsoft 365 compliance centra klikněte na Audit
3) Klikněte na banner Spustit záznam uživatelské a administrátorské aktivity
Změna může trvat až 60 minut, než se projeví.
Pro více informací, viz Zapnout nebo vypnout audit.
Konfigurace Microsoft 365
Než budete moci sbírat logy z Microsoft 365, musíte konfigurovat Microsoft 365. Uvědomte si, že konfigurace zabere značné množství času.
1) Nastavte si předplatné na Microsoft 365 a předplatné na Azure
Potřebujete předplatné na Microsoft 365 a předplatné na Azure, které je přidruženo k vašemu předplatnému na Microsoft 365.
Můžete využít zkušební předplatné na obojí, Microsoft 365 a Azure, pro začátek.
Pro více informací, viz Vítejte v Office 365 Developer Program.
2) Zaregistrujte TeskaLabs LogMan.io collector v Azure AD
To vám umožní vytvořit identitu pro TeskaLabs LogMan.io a přiřadit specifická oprávnění, která potřebuje pro sbírání logů z Microsoft 365 API.
Přihlaste se do Azure portálu pomocí přihlašovacích údajů z vašeho předplatného na Microsoft 365, které chcete použít.
3) Navigujte do Azure Active Directory
4) Na stránce Azure Active Directory vyberte "App registrations" (1) a poté "New registration" (2)
5) Vyplňte registrační formulář pro TeskaLabs LogMan.io aplikaci
- Název: "TeskaLabs LogMan.io"
- Podporované typy účtů: "Účet v tomto organizačním adresáři"
- URL přesměrování: Žádné
Stiskněte "Register" pro dokončení procesu.
6) Sbírejte důležité informace
Uložte následující informace ze stránky registrované aplikace v Azure portálu:
- Application (client) ID aka
client_id - Directory (tenant) ID aka
tenant_id
7) Vytvořte klientské tajemství
Client secret se používá pro bezpečné autorizování a přístup TeskaLabs LogMan.io.
Po zobrazení stránky vaší aplikace, vyberte v levém panelu záložku Certifikáty & tajemství (1). Pak vyberte záložku "Client secrets" (2). Na této záložce vytvořte nové klientské tajemství (3).
8) Vyplňte informace o novém klientském tajemství
- Popis: "TeskaLabs LogMan.io Client Secret"
- Vyprší: 24 měsíců
Stiskněte "Add" pro pokračování.
9) Klikněte na ikonu se schránkou, aby se hodnota klientského tajemství zkopírovala do schránky
Uložte Value (ne Secret ID) pro konfiguraci TeskaLabs LogMan.io, bude použito jako client_secret.
10) Určete oprávnění pro TeskaLabs LogMan.io, aby mohlo přistupovat k Microsoft 365 Management API
Přejděte na App registrations > All applications v Azure portálu a vyberte "TeskaLabs LogMan.io".
11) Vyberte API Permissions (1) v levém panelu a potom klikněte na Add a permission (2)
12) Na záložce Microsoft APIs vyberte Microsoft 365 Management APIs
13) Na rozbalovací stránce vyberte všechny typy oprávnění
- Delegovaná oprávnění
ActivityFeed.ReadActivityFeed.ReadDlpServiceHealth.Read
- Aplikační oprávnění
ActivityFeed.ReadActivityFeed.ReadDlpServiceHealth.Read
Klikněte na "Add permissions" pro dokončení.
14) Přidejte oprávnění "Microsoft Graph"
- Delegovaná oprávnění
AuditLog.Read.All
- Aplikační oprávnění
AuditLog.Read.All
Vyberte "Microsoft Graph", "Delegovaná oprávnění", najděte a vyberte "AuditLog.Read.All" v "Audit Log".
Pak znovu vyberte "Microsoft Graph", "Aplikační oprávnění", najděte a vyberte "AuditLog.Read.All" v "Audit Log".
15) Přidejte oprávnění "Office 365 Exchange online" pro sbírání Message Trace reportů
Klikněte na "Add a permission" znovu.
Pak přejděte na "APIs my organization uses".
Zadejte "Office 365 Exchange Online" do vyhledávacího pole.
Nakonec vyberte položku "Office 365 Exchange Online".
Vyberte "Aplikační oprávnění".
Zadejte "ReportingWebService" do vyhledávacího pole.
Zaškrtněte políčko "ReportingWebService.Read.All".
Nakonec klikněte na tlačítko "Add permissions".
16) Udělte souhlas admina
17) Navigujte zpět do Azure Active Directory
18) Navigujte na Role a administrátory
19) Přidělte TeskaLabs LogMan.io roli Global Reader
Zadejte "Global Reader" do vyhledávacího pole.
Pak klikněte na položku "Global Reader".
Vyberte "Add assignments".
Zadejte "TeskaLabs LogMan.io" do vyhledávacího pole. Alternativně použijte "Application (client) ID" z předchozích kroků.
Vyberte položku "TeskaLabs LogMan.io"; položka se objeví v "Selected items".
Stiskněte tlačítko "Add".
Gratulujeme! Vaše Microsoft 365 je nyní připravena pro sběr logů.
Konfigurace TeskaLabs LogMan.io
Příklad
connection:MSOffice365:MSOffice365Connection:
client_id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
tenant_id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
client_secret: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
# Sbírání Microsoft 365 Audit.General
input:MSOffice365:MSOffice365Source1:
connection: MSOffice365Connection
content_type: Audit.General
output: ms-office365-01
# Sbírání Microsoft 365 Audit.SharePoint
input:MSOffice365:MSOffice365Source2:
connection: MSOffice365Connection
content_type: Audit.SharePoint
output: ms-office365-01
# Sbírání Microsoft 365 Audit.Exchange
input:MSOffice365:MSOffice365Source3:
connection: MSOffice365Connection
content_type: Audit.Exchange
output: ms-office365-01
# Sbírání Microsoft 365 Audit.AzureActiveDirectory
input:MSOffice365:MSOffice365Source4:
connection: MSOffice365Connection
content_type: Audit.AzureActiveDirectory
output: ms-office365-01
# Sbírání Microsoft 365 DLP.All
input:MSOffice365:MSOffice365Source5:
connection: MSOffice365Connection
content_type: DLP.All
output: ms-office365-01
output:XXXXXX:ms-office365-01: {}
# Sbírání Microsoft 365 Message Trace logů
input:MSOffice365MessageTraceSource:MSOffice365MTSource1:
connection: MSOffice365Connection
output: ms-office365-message-trace-01
output:XXXXXX:ms-office365-message-trace-01: {}
Připojení
Připojení k Microsoft 365 musí být nakonfigurováno jako první v sekci connection:MSOffice365:....
connection:MSOffice365:MSOffice365Connection:
client_id: # Application (client) ID z Azure Portálu
tenant_id: # Directory (tenant) ID z Azure Portálu
client_secret: # Hodnota klientského tajemství z Azure Portálu
resources: # (volitelné) zdroje, ze kterých chcete získávat data, oddělené čárkou (,) (výchozí: https://manage.office.com,https://outlook.office365.com)
Danger
Pole client id, tenant_id a client secret MUSÍ být zadaná pro úspěšné připojení k Microsoft 365.
Sbírání z Microsoft 365 activity logs
Konfigurační možnosti pro nastavení sběru Audit logů (Audit.AzureActiveDirectory, Audit.SharePoint, Audit.Exchange, Audit.General a DLP.All):
input:MSOffice365:MSOffice365Source1:
connection: # ID MSOffice365 připojení
output: # Kam posílat příchozí události
content_type: # (volitelné, ale doporučené) Typ obsahu získávaných logů (výchozí: Audit.AzureActiveDirectory Audit.SharePoint Audit.Exchange Audit.General DLP.All)
refresh: # (volitelné) Interval obnovování v sekundách pro získání zpráv z API (výchozí: 600)
last_value_storage: # (volitelné) Perzistentní úložiště pro aktuální poslední hodnotu (výchozí: ./var/last_value_storage)
Sbírání z Microsoft 365 Message Trace
Konfigurační možnosti pro nastavení zdroje dat pro Microsoft 365 Message Trace:
```yaml input:MSOffice365MessageTraceSource:MSOffice365MessageTraceSource1: connection: # ID MSOffice365 připojení output: # Kam posílat příchozí události
refresh: # (volitelné) Interval obnovování v sekundách pro získání zpráv z API (výchozí: 600) last_value_storage: # (volitelné) Perzistentní úložiště pro aktuální poslední hodnotu (výchozí: ./var/last_value_storage)