Shromažďování protokolů ze služby Microsoft 365
TeskaLabs LogMan.io může shromažďovat protokoly z Microsoft 365, dříve Microsoft Office 365.
Existují následující třídy protokolů Microsoft 365:
1) Auditní protokoly: Obsahují informace o různých akcích a událostech uživatelů, správců, systému a zásad z Azure Active Directory, Exchange a SharePoint.
2) Sledování zpráv: Poskytuje možnost získat přehled o e-mailovém provozu procházejícím poštovním serverem Microsoft Office 365 Exchange.
Povolení auditu Microsoft 365
Ve výchozím nastavení je pro podnikové organizace Microsoft 365 a Office 365 povoleno protokolování auditu. Při nastavování protokolování organizace Microsoft 365 nebo Office 365 byste však měli ověřit stav auditování Microsoft Office 365.
1) Přejděte na stránku https://compliance.microsoft.com/ a přihlaste se.
2) V levém navigačním podokně centra shody Microsoft 365 klikněte na položku Audit.
3) Klikněte na banner Zahájit zaznamenávání aktivit uživatelů a správců.
Může trvat až 60 minut, než se změna projeví.
Další podrobnosti naleznete v části Zapnutí nebo vypnutí auditování.
Konfigurace služby Microsoft 365
Nejprve je třeba nakonfigurovat službu Microsoft 365.
Kroky:
1) Nastavte předplatné Microsoft 365 a předplatné Azure.
Potřebujete předplatné služby Microsoft 365 a předplatné služby Azure, které bylo přidruženo k předplatnému služby Microsoft 365.
Pro začátek můžete použít zkušební předplatné Microsoft 365 i Azure.
Další podrobnosti naleznete v části Welcome to the Office 365 Developer Program.
2) Zaregistrujte svou instanci aplikace TeskaLabs LogMan.io v Azure AD.
To vám umožní vytvořit identitu pro TeskaLabs LogMan.io a přiřadit mu specifická oprávnění, která potřebuje ke shromažďování protokolů z rozhraní Microsoft 365 API.
Přihlaste se do Azure portal pomocí pověření z předplatného Microsoft 365, které chcete používat.
3) Přejděte do služby Azure Active Directory.
4) Na stránce Azure Active Directory vyberte možnost "Registrace aplikací" (1) a poté vyberte možnost "Nová registrace" (2).
5) Vyplňte registrační formulář pro aplikaci TeskaLabs LogMan.io.
- Název: "TeskaLabs LogMan.io"
- Podporované typy účtů: "Pouze účet v tomto organizačním adresáři"
- Adresa URL přesměrování: Žádné
Stisknutím tlačítka "Register" proces dokončíte.
6) Shromážděte základní informace
Na portálu Azure uložte následující informace ze stránky registrované žádosti:
- ID aplikace (klienta)
- ID adresáře (nájemce)
7) Vytvoření klientského tajemství
Client secret slouží k bezpečné autorizaci a přístupu k TeskaLabs LogMan.io.
Po zobrazení stránky pro vaši aplikaci vyberte v levém panelu položku Certifikáty a tajemství (1). Poté vyberte záložku "Klientské tajemství" (2). Na této kartě vytvořte nová tajemství klienta (3).
8) Vyplňte informace o novém klientském tajemství
- Popis: "TeskaLabs LogMan.io klientské tajemství"
- Platnost: 24 měsíců
Pro pokračování stiskněte tlačítko "Add".
9) Kliknutím na ikonu schránky zkopírujte tajnou hodnotu klienta do schránky.
Uložte Hodnotu (nikoli ID tajného klienta) pro konfiguraci TeskaLabs LogMan.io.
10) Zadejte oprávnění pro přístup aplikace TeskaLabs LogMan.io k rozhraním API pro správu Microsoft 365.
Přejděte do sekce Registrace aplikací > Všechny aplikace na portálu Azure a vyberte "TeskaLabs LogMan.io".
11) V levém podokně vyberte položku API Permissions (Oprávnění API) (1) a poté klikněte na tlačítko Add a permission (Přidat oprávnění) (2).
12) Na kartě Microsoft API vyberte možnost Microsoft 365 Management APIs.
13) Na výsuvné stránce vyberte všechny typy oprávnění.
- Delegovaná oprávnění
- ActivityFeed.Read
- ActivityFeed.ReadDlp
- ServiceHealth.Read
- Oprávnění aplikace
- ActivityFeed.Read
- ActivityFeed.ReadDlp
- ServiceHealth.Read
Klikněte na tlačítko "Přidat oprávnění" a dokončete.
14) Přidejte oprávnění "Microsoft Graph".
- Delegovaná oprávnění
- AuditLog.Read.All
- Oprávnění aplikace
- AuditLog.Read.All
Vyberte "Microsoft Graph", "Delegated permissions", poté vyhledejte a vyberte "AuditLog.Read.All" v "Audit Log".
Poté opět vyberte "Microsoft Graph", "Application permissions", poté vyhledejte a vyberte "AuditLog.Read.All" v "Audit Log".
15) Přidání oprávnění "Office 365 Exchange online" pro shromažďování zpráv o sledování zpráv.
Znovu klikněte na "Přidat oprávnění".
Poté přejděte na "APIs my organization uses" (Rozhraní API, které používá moje organizace).
Do vyhledávacího řádku zadejte "Office 365 Exchange Online".
Nakonec vyberte položku "Office 365 Exchange Online".
Vyberte možnost "Application permissions".
Do vyhledávacího řádku zadejte "ReportingWebService".
Zaškrtněte políčko "ReportingWebService.Read.All".
Nakonec klikněte na tlačítko "Přidat oprávnění".
16) Udělení souhlasu správce
17) Přejděte do služby Azure Active Directory
18) Přejděte na položku Role a správci
19) Přiřazení role TeskaLabs LogMan.io do role Global Reader
Do vyhledávacího řádku zadejte "Global Reader".
Poté klikněte na položku "Global Reader".
Vyberte možnost "Přidat přiřazení".
Do vyhledávacího řádku zadejte "TeskaLabs LogMan.io". Případně použijte "ID aplikace (klienta)" z předchozích kroků.
Vyberte položku "TeskaLabs LogMan.io", položka se objeví ve "Vybraných položkách".
Stiskněte tlačítko "Přidat".
Congratulujeme! Váš Microsoft 365 je nyní připraven ke sběru protokolu.
Konfigurace TeskaLabs LogMan.io
connection:MSOffice365:
Nejprve je třeba nastavit připojení pro pravidelné obnovování tokenu OAuth:
connection:MSOffice365:MSOffice365Connection:
client_id: # ID aplikace (klienta) z Azure Portal
tenant_id: # ID adresáře (nájemce) z portálu Azure
client_secret: # Hodnota klientského tajemství z Azure Portal
resources: # (nepovinné) prostředky, ze kterých chcete získat data, oddělené čárkou (,) (výchozí: https://manage.office.com,https://outlook.office365.com)
Vždy je třeba zadat Client ID, tenant ID a client secret.
input:MSOffice365Source:
Konfigurační možnosti pro nastavení připojení a dotazů:
připojení: # ID připojení MSOffice365
content_type: # (nepovinné) Typ obsahu získaných protokolů (výchozí: Audit.AzureActiveDirectory Audit.Exchange Audit.SharePoint Audit.General)
resource: # (nepovinný) zdroj, ze kterého se mají data získat (výchozí: https://manage.office.com)
output: # Na který výstup se mají odesílat příchozí události
kódování: # (nepovinné) Kódování hromadného obsahu odpovědi serveru (výchozí: utf-8)
last_value_storage: # (nepovinné) Trvalé úložiště pro aktuální poslední hodnotu (výchozí: ./var/last_value_storage)
Příklad konfigurace
input:MSOffice365Source:MyMSOffice365Source:
připojení: MSOffice365Connection:: MSOffice365Connection
...
vstup:MSOffice365MessageTraceSource:
Možnosti konfigurace pro nastavení zdroje dat pro sledování zpráv MS Office:
připojení: # ID připojení MSOffice365
output: # Na který výstup se mají odesílat příchozí události
resource: # (nepovinný) zdroj, ze kterého se mají získávat data (výchozí: https://outlook.office365.com)
kódování: # (nepovinné) Kódování harsetu hromadného obsahu odpovědi serveru (výchozí: utf-8)
last_value_storage: # (nepovinné) Trvalé úložiště pro aktuální poslední hodnotu (výchozí: ./var/last_value_storage)
refresh: # (nepovinné) Interval obnovování v sekundách pro získávání zpráv z rozhraní API (výchozí: 600)
Příklad konfigurace ####
input:MSOffice365MessageTraceSource:MSOffice365MessageTraceSource:
připojení: MSOffice365Connection
...
Obnovení tajemství klienta
Platnost klientského tajemství vyprší po 24 měsících a je třeba jej pravidelně obnovovat.
1) Přejděte do služby Azure Active Directory.
2) Přejděte na "App registrations" (Registrace aplikací) a vyberte "TeskaLabs LogMan.io".
3) Vytvořte nové klientské tajemství.
Přejděte do části "Certifikáty a tajemství".
Na kartě "Klientské tajemství" stiskněte tlačítko "Nový klientský sekret".
V poli Popis vyplňte "TeskaLabs LogMan.io Client Secret 2". Pro nová klientská tajemství používejte rostoucí čísla.
Zvolte vypršení platnosti "730 dní (24 mothns)".
Stiskněte tlačítko "Přidat".
4) Překonfigurujte TeskaLabs LogMan.io tak, aby používal nové klientské tajemství.
5) Odstraňte staré klientské tajemství.
Vysvětlení atributů Microsoft 365
| Atribut | Popis | Hodnoty jako příklad | Poznámky | Úplný seznam (ext) | |
|---|---|---|---|---|---|
| o365.audit.ActorContextId | ID účtu uživatele nebo služby, který akci provedl. | 571c8d2c-1ae2-486d-a17c-81bf54cbaa15 | |||
| o365.audit.ApplicationId | Identifikátor aplikace (jedinečný řetězec písmeno+číslo) | 89bee1f7-5e6e-4d8a-9f3d-ecd601259da7 | |||
| o365.audit.AzureActiveDirectoryEventType | Typ události Azure Active Directory. Následující hodnoty označují typ události. | 0 - Označuje událost přihlášení k účtu. 1 - Označuje událost zabezpečení aplikace Azure. |
|||
| o365.audit.DeviceProperties | Vlastnosti zdrojového zařízení, například operační systém, typ prohlížeče atd. | Name: "OS" Value: "Linux" } {2 položky Název: "BrowserType" Hodnota: "Firefox" } {2 položky Name: "IsCompliantAndManaged" Value: "False" } {2 items Name: "SessionId" Value: "e94ad17c-354f-4009-a9ee-34900770e997" |
Parcing těchto vlastností stále probíhá | ||
| o365.audit.ErrorNumber | Řetězec kódu chyby, který lze použít ke klasifikaci typů chyb, které se vyskytnou, a který by měl být použit k reakci na chyby. | 0, 50140, 501314 ... | https://learn.microsoft.com/en-us/azure/active-directory/develop/reference-aadsts-error-codes | ||
| o365.audit.ExtraProperties | Zatím nedefinováno | // | |||
| o365.audit.FileSizeBytes | Velikost souboru v bytech | 23301 | |||
| o365.audit.InterSystemsId | Řetězec jedinečného ID mezi systémy | acc33436-ee63-4d81-b6ee-544998a1c7d9 | |||
| o365.audit.IntraSystemId | Řetězec unikátních vnitrosystémových ID | 01dd20c0-edb9-4aaa-a51b-2bf38e1a8900 | |||
| o365.audit.ItemName | Unikátní název položky | b1379a75-ce5e-4fa3-80c6-89bb39bf646c | |||
| o365.audit.LogonError | Chybová zpráva zobrazená po neúspěšném přihlášení | InvalidUserNameOrPassword, TriggerBrowserCapabilitiesInterrupt, InvalidPasswordExpiredPassword | |||
| o365.audit.ObjectId | Cesta URL k přístupnému souboru | https://telescopetest.sharepoint.com/sites/Shared Documents/Docs/o365 - logs.xlsx | |||
| o365.audit.RecordType | Typ operace uvedený v záznamu. Tato vlastnost označuje službu nebo funkci, ve které byla operace spuštěna. | 6 | https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype | ||
| o365.audit.ResultStatus | Spuštěná odezva | Úspěch, Neúspěch | |||
| o365.audit.SourceFileExtension | Přípona zpřístupněného souboru (typ formátu). | .xlsx, .pdf, .doc atd. | |||
| o365.audit.SourceFileName | Název souboru, ke kterému uživatel přistupoval | "o365.attributesexplained.xlsx" | |||
| o365.audit.SupportTicketId | ID potenciálního požadavku na podporu poté, co uživatel otevřel požadavek na podporu v Azure Active Directory. | // | ID tiketu podpory zákazníka pro akci v situacích "act-on-behalf-of". | ||
| o365.audit.TargetContextId | GUID organizace, do které patří cílový uživatel. | 571c8d2c-1ae2-486d-a17c-81bf54cbaa15 | |||
| o365.audit.UserKey | Alternativní ID uživatele identifikovaného ve vlastnosti UserID. Tato vlastnost je například vyplněna jedinečným ID pasu (PUID) pro události prováděné uživateli v aplikaci SharePoint. Tato vlastnost může také uvádět stejnou hodnotu jako vlastnost UserID pro události vyskytující se v jiných službách a události prováděné systémovými účty. | i:0h.f|membership|1003200224fe6604@live.com | |||
| o365.audit.UserType | Typ uživatele, který provedl operaci. Následující hodnoty označují typ uživatele. | 0 - Běžný uživatel. 2 - Správce v organizaci Microsoft 365.1 3 - Správce datového centra Microsoft nebo systémový účet datového centra. 4 - Systémový účet. 5 - Aplikační účet. 6 - Příkazce služby. 7 - Vlastní zásada. 8 - Systémová zásada. |
|||
| o365.audit.Version | Udává číslo verze činnosti (identifikované vlastností Operation), která je protokolována. | 1 | |||
| o365.audit.Workload | Služba Microsoft 365, ve které k činnosti došlo. | AzureActiveDirectory | |||
| o365.message.id | Jedná se o ID internetové zprávy (známé také jako ID klienta), které se nachází v záhlaví zprávy v poli Message-ID:. | 08f1e0f6806a47b4ac103961109ae6ef@server.domain | Toto ID by mělo být jedinečné; ne všechny odesílající poštovní systémy se však chovají stejně. V důsledku toho je možné, že při dotazování na základě jediného ID zprávy získáte výsledky pro více zpráv. | ||
| o365.message.index | Hodnota indexu MessageTrace | 1, 2, 3 ... | |||
| o365.message.size | Velikost odeslané/přijaté zprávy v bytech. | 33489 | |||
| o365.message.status | Následující akce po odeslání zprávy. | Delivered, FilteredAspam, Expanded | https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/run-a-message-trace-and-view-results | ||
| o365.message.subject | Předmět zprávy; lze zapsat jednoznačně. | "Závazný nabídkový dopis pro paní Smithovou" | |||