📈

Microsoft Sentinel に取り込む Microsoft 365 系ログ量の調べ方

2023/03/28に公開

Microsoft Sentinel はデータの取り込む量に応じて課金が発生するモデルとなっており、Microsoft 365 系のログ保管やセキュリティインシデントの運用で利用されることが多くあります。
今回はご提案する際によく聞かれる本番環境へインジェストする前にログ量を把握する術をいくつかご紹介します

Microsoft Sentinel で取り込める Microsoft 365 系ログ

Microsoft 系のログを Sentinel で取り込むにはデータコネクタで接続するのが一番用意です。特に Microsoft 365 系のログはシームレスに統合できるようになっており、数クリックでデータを取り込むことが可能です
https://learn.microsoft.com/ja-jp/azure/sentinel/connect-microsoft-365-defender?tabs=MDE

取り込めるテーブルには以下のようなものがあります。
元々無償でインジェスト出来るものや Microsoft 365 E5 を保有していると 5 MB/日*ユーザー数分のインジェストが無料になる特典があります

コネクタ名(製品) テーブル 権限 特典など
Office 365 OfficeActivity 全体管理者
セキュリティ管理者
無償
Azure AD SinginLogs
AuditLogs
全体管理者
セキュリティ管理者
E5 特典対象
Microsoft 365 Defender Defender for Endpoint
DeviceInfo
DeviceNetworkInfo
DeviceProcessEvents
DeviceNetworkEvents
DeviceFileEvents
DeviceRegistryEvents
DeviceLogonEvents
DeviceImageLoadEvents
DeviceEvents
DeviceFileCortificateInfo

Defender for Identity
IdentityLogonEvents
IdentityQueryEvents
IdentityDirectoryEvents

Defender for Cloud Apps
CloudAppEvents

Defender for Office 365
EmailEvents
EmailUrlInfo
EmailAttachmentInfo
EmailPostDeliveryEvents
URLClickEvents

Defender for Alert Evidence
AlertEvidence
全体管理者
セキュリティ管理者
E5 特典対象
Azure AD Identity Protection SecurityAlert 全体管理者
セキュリティ管理者
無償
Defender for Endpoint SecurityAlert 全体管理者
セキュリティ管理者
無償
Defender for Office 365 SecurityAlert 全体管理者
セキュリティ管理者
無償
Defender for Identity SecurityAlert 全体管理者
セキュリティ管理者
無償
Defender for Cloud Apps SecurityAlert
McasShadowItReporting
全体管理者
セキュリティ管理者
SecurityAlert のみ無償
Azure Information Protection InformationProtectionLogs_CL 全体管理者
セキュリティ管理者
Azure Information Protection 管理者
SecurityAlert のみ無償
※2023年4月からMicrosoft Purview Information Protection コネクタの利用を推奨参照
Microsoft Purview Information Protection MicrosoftPurviewInformationProtection 全体管理者
セキュリティ管理者
E5 特典対象

■参照
https://azure.microsoft.com/ja-jp/offers/sentinel-microsoft-365-offer/
https://learn.microsoft.com/ja-jp/azure/sentinel/data-connectors/microsoft-365-defender

Microsoft 365 系ログ量を調べる

  1. Microsoft Sentinel の無料試用版で実際に取り込んでみる
    Microsoft Sentinel では 1 テナントにつき 20 ワークスペースまで無料試用版を作成することが可能で、1 ワークスペースにつき 10 GB / 日のインジェストが 31 日間無料で使えます。
    ワークスペース数と 10 GB / 日 のインジェスト無料の制限を上手く活用すれば、実際に計測することで実測値を費用をかけることなく確認することができます

  2. Microsoft 365 Defender で利用できる Advanced Hunting 機能を活用する
    Defender for Endpoint が含まれているライセンスをお持ちであれば Advanced Hunting でクエリを書くことでデータ量を調べることができます。

Advanced Hunting でデータ量を調べるクエリ

上段でご紹介した無償で取り込めない(E5 持っていれば特典対象) Microsoft 365 Defender コネクタについて Advanced Hunting で取れるものを記載しています

  • Defender for Office 365 ログ量
union
EmailEvents, EmailAttachmentInfo ,EmailUrlInfo ,EmailPostDeliveryEvents ,UrlClickEvents
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
  • Defender for Endpoint ログ量
union
DeviceInfo,DeviceNetworkInfo,DeviceProcessEvents,DeviceNetworkEvents,DeviceFileEvents,DeviceRegistryEvents,DeviceLogonEvents,DeviceImageLoadEvents,DeviceEvents,DeviceFileCertificateInfo
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
  • Defender for Identity ログ量
union
IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
  • Defender for Cloud Apps ログ量
union
CloudAppEvents
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
  • Defender Alert Evidence
union
AlertEvidence
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")

同じクエリを Sentinel に流すことでインジェストしたデータ量と見比べることにも利用出来ます。
実際に利用する際は時間範囲を GUI または KQL で同期間指定することに注意してください。

  • Microsoft 365 Defender
  • Microsoft Sentinel

まとめ

Sentinel に取り込める Microsoft 365 系ログのまとめと、実際に取り込むデータ量を計測する方法 2 つをご紹介させていただきました。
クエリに関しては複数環境で試しましたがまだ改善の余地はあると考えていますので、実際にお試しされて Feedback などもいただけると嬉しいです

Discussion