Azure SentinelのMicrosoft 365用コネクタでExchange Onlineの「メッセージ追跡ログ」が収集できない

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

こんにちはDXソリューション統括部の村松です。

最近案件でAzure Sentinelを扱うことになったので、その中で気づいたことをお話しします。

ちなみにタイトルにあるExchange Onlineのメッセージ追跡ログというのは、簡単にいうと「いつ、誰が、誰に、どんな件名で、どれくらいの容量の、メールを受信もしくは送信したかを」記録するログです。そのためこのログを監査目的で収集する企業様も多いのではないでしょうか。

Azure SentinelではMicrosoft 365用のコネクタが標準で用意されており、このコネクタを有効化することでMicrosoft 365の監査ログ、Exchange、SharePoint、および Teams のログを収集できます。

Microsoft 365用コネクタを追加後、以下のクエリを実行することで収集したログを出力できます。

 

  OfficeActivity

 

しかし、Exchange Onlineのメッセージ追跡ログについては確認することはできませんでした。

下記のドキュメントを確認したところ、どうやらこのコネクタではメッセージ追跡に関わるログは収集されないようです。

 

https://docs.microsoft.com/ja-jp/azure/azure-monitor/reference/tables/officeactivity

 

そのため、Azure Sentinelでこのログを収集するにはExchange Online Powershellでメッセージ追跡ログを取得し、カスタムログとしてAzure Sentinelに紐ついているOMSワークスペースに取り込む必要があります。

Exchange Online Powershell、カスタムログの収集およびメッセージ追跡ログの取得方法については以下のドキュメントをご覧ください。

(機会がありましたら、このブログにてメッセージ追跡ログの取得方法をお伝えできればと思います。)

 

Connect to Exchange Online PowerShell

Azure Monitor で Log Analytics エージェントを使用してカスタム ログを収集する

Get-MessageTrace

 

以上 今回はここまでにします。またの機会にお会いしましょう。

 

いいね (この記事が参考になった人の数:4)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください