Microsoft Graph Security API アラートログを収集する
このドキュメントでは、Chronicle フィードを設定して Microsoft Graph Security API アラートのログを収集する方法について説明します。
詳細については、Chronicle へのデータの取り込みをご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル MICROSOFT_GRAPH_ALERT が付加されたパーサーに適用されます。
Microsoft Graph Security API のアラートを構成する
- Azure ポータルにログインします。
- [Azure Active Directory] をクリックします。
- [アプリの登録] をクリックします。
- [新規登録] をクリックしてアプリケーションを作成します。
- [クライアント ID] と [テナント ID] をコピーします。これらは、Chronicle フィードを構成するときに必要になります。
- [API 権限] をクリックします。
- [権限を追加] をクリックし、新しいペインで [Microsoft Graph] を選択します。
- [アプリケーションのアクセス許可] をクリックします。
- [SecurityActions] セクションと [SecurityActions] セクションを展開し、[Read.All] 権限を選択します。
- [権限を追加] をクリックします。
- [デフォルトディレクトリへの管理者の同意を付与] をクリックします。
- [管理] メニューで、[証明書] と [シークレット] をクリックします。
- [新しいクライアント シークレット] をクリックして、新しいキーを作成します。
- [値] フィールドから秘密鍵をコピーします。秘密鍵は作成時にのみ表示され、Chronicle フィードを構成するときに必要です。
Microsoft Graph Security API アラートのログを取り込むように Chronicle フィードを構成する
- Chronicle メニューから [設定] を選択し、[フィード] をクリックします。
- [Add New] をクリックします。
- [ソースタイプ] として [サードパーティ API] を選択します。
- Microsoft Graph Security API アラートのフィードを作成するには、[ログタイプ] として [Microsoft Graph API Alerts] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータを構成します。
- OAuth クライアント ID: 前の手順で取得したクライアント ID を指定します。
- OAuth クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
- TenantId: 前の手順で取得したテナント ID を指定します。
- API フルパス: 次のパスを指定します。
graph.microsoft.com/v1.0/security/alerts - API 認証エンドポイント: 次のエンドポイントを指定します:
https://login.microsoftonline.com/{tenantId}/oauth2/token
- [次へ] をクリックし、[送信] をクリックします。
Chronicle フィードの詳細については、Chronicle フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィードの作成時に問題が発生した場合は、Chronicle サポートにお問い合わせください。