Office 365 Management API インテグレーションガイド

Office 365 Management APIは、Office 365およびAzure Active Directoryのアクティビティログから、さまざまなユーザー、管理者、システム、ポリシーのアクションやイベントに関する監査情報を提供します。Secureworks® Taegis™ XDRがデータを受信するには、Azure ADおよびOffice 365 Management APIからの認可が必要です。XDRは、Office 365 Commercial、Office 365 Government Community Cloud (GCC) および Office 365 GCC High環境をサポートしています。

重要

XDRがOffice 365からデータを受信するには、Office 365の監査ログ記録を有効にする必要があります。Office 365の監査ログ記録はデフォルトで無効になっています。 詳細については、MicrosoftドキュメントのOffice 365の監査ログ検索のオンまたはオフの切り替えを参照してください。

Office 365 Management Activity APIの詳細については、MicrosoftドキュメントのOffice 365 Management APIs Overviewを参照してください。

データの可用性と収集タイミング

アラートはMicrosoft REST APIを使用してポーリング方式で取り込まれます。データの可用性については、Office 365およびAzureのデータ可用性を参照してください。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Office 365		Auth	Auth, CloudAudit, Email, Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Office 365 の開始

注意

グローバルプラットフォームとして、Office 365 Management API GCC / GCC Highインテグレーションからのログは、XDRの他の部分と同様のデータレジデンシーおよび主権の取り扱いとなります。

Entra でアプリケーションを登録

注意

以下の手順は、テナント管理者としてログインしていることを前提としています。

1. アプリケーションを登録 し、Entra IDに追加します。

• 名前 — 任意の説明的な文字列
• サポートされているアカウントの種類 — この組織ディレクトリ内のアカウントのみ

以下の値は、XDRでインテグレーションを作成する際に使用するため、控えておいてください。

• ディレクトリ（テナント）ID
• アプリケーション（クライアント）ID

2. アプリケーションの権限を選択し、アプリケーションの権限を構成します。

以下の権限が必要です：

• ActivityFeed.Read
• ActivityFeed.ReadDlp
• ServiceHealth.Read

3. <Microsoft テナント名> の管理者の同意を付与をクリックします。

4. 証明書をアップロードして、アプリケーションに資格情報を提供します。

   重要

   XDRは、Privacy-Enhanced Mail（PEM）形式のみをサポートしています。PEM形式の詳細はRFC 7468を参照してください。
   

   暗号化されたキーおよびクライアントシークレットはサポートされていません。

   注意

   自己署名証明書がサポートされています。

   注意

   証明書は有効期限があり、Microsoft Entra IDおよびXDRの両方で、期限切れ前に更新が必要です。

   PowerShellまたはOpenSSLを使用して自己署名PEM（.pem拡張子）証明書を生成するには、以下のいずれかのコマンドを使用してください。

   # Prompt user for input
   $certname = Read-Host -Prompt "Enter certificate name"
   $keyname = Read-Host -Prompt "Enter key name"
   $mypwd = Read-Host -Prompt "Enter password" -AsSecureString
   $location = Read-Host -Prompt "Enter location"
   $cert = New-SelfSignedCertificate -Subject "CN=$certname" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
   Export-PfxCertificate -Cert $cert -FilePath "$location\$certname.pfx" -Password $mypwd
   Install-Module -Name PSPKI -Scope CurrentUser
   Import-Module -Name PSPKI
   Convert-PfxToPem -InputFile "$location\$certname.pfx" -Outputfile "$location\$certname.pem"
   # Read the PEM file content
   $pemContent = Get-Content "$location\$certname.pem" -Raw
   # Extract private key and certificate
   $privateKey = $pemContent -replace "(?ms).*?(-----BEGIN PRIVATE KEY-----.+?-----END PRIVATE KEY-----).*", '$1'
   $certificate = $pemContent -replace "(?ms).*?(-----BEGIN CERTIFICATE-----.+?-----END CERTIFICATE-----).*", '$1'
   # Save private key and certificate to separate files
   $privateKey | Set-Content "$location\$keyname.pem"
   $certificate | Set-Content "$location\$certname.pem"
   Write-Host "Files located at: $location"
   pause
   

   注意

   上記のコードをテキストファイルにコピー＆ペーストし、ファイルを.ps1拡張子（例：CertGen.ps1）で保存し、Powershellでスクリプトを実行してください。

   注意

   使用しているPowerShellのバージョンによっては、-Subjectでエラーが発生する場合、-Subjectを-SubjectNameに置き換える必要があります。

   または：

   openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
   

XDR でインテグレーションを追加

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化タブからO365 / Azureを選択します。

4. お客様のサブスクリプションに合ったOffice 365カードのセットアップを選択します：

   • Commercial契約のお客様はOffice 365 Managementを選択
   • GCC契約のお客様はOffice 365 Government Community Cloud (GCC)を選択
   • GCC High契約のお客様はOffice 365 Government Community Cloud (GCC High)を選択

   

   O365 Management APIインテグレーションの追加

5. インテグレーションの名前を入力します。任意の文字列で構いません。

6. Entraでアプリケーションを登録の手順1で取得したテナントIDとアプリケーションクライアントIDを入力します。
7. 証明書と関連する秘密鍵をアップロードします。
8. 完了を選択してインテグレーションを完了します。

SecureworksをMicrosoftパートナーとしてリンクする

Secureworksをセキュリティのソリューションプロバイダーとしてリンクすることは任意のプロセスですが、これによりMicrosoftはSecureworksがどのお客様のセキュリティ目標達成やMicrosoftエコシステムの価値実現を支援しているかをより深く理解できるようになります。これにより、SecureworksはパートナーとしてMicrosoftへのアクセスが向上し、お客様により良い製品やサービスを提供できるようになります。お客様のAzure環境へのアクセスを追加し、Secureworksがセキュリティ向上を通じてお客様のビジネスを支援できるようにしていただいた場合、さらにパートナーリンクとして当社を追加していただけますと幸いです。

Secureworksをパートナーとしてリンクするには、以下の手順に従ってください。

1. AzureポータルでパートナーIDへのリンクにアクセスします。
2. 対象となるロールまたは権限を持つユーザーを使用します。詳細はクレジットを受け取るために必要なロールと権限をご参照ください。
3. MicrosoftパートナーID欄に、次の値を入力します：4834104
4. パートナーIDをリンク ボタンをクリックしてプロセスを完了します。