この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。
こんにちはDXソリューション統括部の村松です。
最近案件でAzure Sentinelを扱うことになったので、その中で気づいたことをお話しします。
ちなみにタイトルにあるExchange Onlineのメッセージ追跡ログというのは、簡単にいうと「いつ、誰が、誰に、どんな件名で、どれくらいの容量の、メールを受信もしくは送信したかを」記録するログです。そのためこのログを監査目的で収集する企業様も多いのではないでしょうか。
Azure SentinelではMicrosoft 365用のコネクタが標準で用意されており、このコネクタを有効化することでMicrosoft 365の監査ログ、Exchange、SharePoint、および Teams のログを収集できます。
Microsoft 365用コネクタを追加後、以下のクエリを実行することで収集したログを出力できます。
OfficeActivity
しかし、Exchange Onlineのメッセージ追跡ログについては確認することはできませんでした。
下記のドキュメントを確認したところ、どうやらこのコネクタではメッセージ追跡に関わるログは収集されないようです。
https://docs.microsoft.com/ja-jp/azure/azure-monitor/reference/tables/officeactivity
そのため、Azure Sentinelでこのログを収集するにはExchange Online Powershellでメッセージ追跡ログを取得し、カスタムログとしてAzure Sentinelに紐ついているOMSワークスペースに取り込む必要があります。
Exchange Online Powershell、カスタムログの収集およびメッセージ追跡ログの取得方法については以下のドキュメントをご覧ください。
(機会がありましたら、このブログにてメッセージ追跡ログの取得方法をお伝えできればと思います。)
Connect to Exchange Online PowerShell
Azure Monitor で Log Analytics エージェントを使用してカスタム ログを収集する
以上 今回はここまでにします。またの機会にお会いしましょう。