Microsoft Sentinel に取り込む Microsoft 365 系ログ量の調べ方
Microsoft Sentinel はデータの取り込む量に応じて課金が発生するモデルとなっており、Microsoft 365 系のログ保管やセキュリティインシデントの運用で利用されることが多くあります。
今回はご提案する際によく聞かれる本番環境へインジェストする前にログ量を把握する術をいくつかご紹介します
Microsoft Sentinel で取り込める Microsoft 365 系ログ
Microsoft 系のログを Sentinel で取り込むにはデータコネクタで接続するのが一番用意です。特に Microsoft 365 系のログはシームレスに統合できるようになっており、数クリックでデータを取り込むことが可能です
取り込めるテーブルには以下のようなものがあります。
元々無償でインジェスト出来るものや Microsoft 365 E5 を保有していると 5 MB/日*ユーザー数分のインジェストが無料になる特典があります
コネクタ名(製品) | テーブル | 権限 | 特典など |
---|---|---|---|
Office 365 | OfficeActivity | 全体管理者 セキュリティ管理者 |
無償 |
Azure AD | SinginLogs AuditLogs |
全体管理者 セキュリティ管理者 |
E5 特典対象 |
Microsoft 365 Defender |
Defender for Endpoint DeviceInfo DeviceNetworkInfo DeviceProcessEvents DeviceNetworkEvents DeviceFileEvents DeviceRegistryEvents DeviceLogonEvents DeviceImageLoadEvents DeviceEvents DeviceFileCortificateInfo Defender for Identity IdentityLogonEvents IdentityQueryEvents IdentityDirectoryEvents Defender for Cloud Apps CloudAppEvents Defender for Office 365 EmailEvents EmailUrlInfo EmailAttachmentInfo EmailPostDeliveryEvents URLClickEvents Defender for Alert Evidence AlertEvidence |
全体管理者 セキュリティ管理者 |
E5 特典対象 |
Azure AD Identity Protection | SecurityAlert | 全体管理者 セキュリティ管理者 |
無償 |
Defender for Endpoint | SecurityAlert | 全体管理者 セキュリティ管理者 |
無償 |
Defender for Office 365 | SecurityAlert | 全体管理者 セキュリティ管理者 |
無償 |
Defender for Identity | SecurityAlert | 全体管理者 セキュリティ管理者 |
無償 |
Defender for Cloud Apps | SecurityAlert McasShadowItReporting |
全体管理者 セキュリティ管理者 |
SecurityAlert のみ無償 |
Azure Information Protection | InformationProtectionLogs_CL | 全体管理者 セキュリティ管理者 Azure Information Protection 管理者 |
SecurityAlert のみ無償 ※2023年4月からMicrosoft Purview Information Protection コネクタの利用を推奨参照 |
Microsoft Purview Information Protection | MicrosoftPurviewInformationProtection | 全体管理者 セキュリティ管理者 |
E5 特典対象 |
■参照
https://azure.microsoft.com/ja-jp/offers/sentinel-microsoft-365-offer/
https://learn.microsoft.com/ja-jp/azure/sentinel/data-connectors/microsoft-365-defender
Microsoft 365 系ログ量を調べる
-
Microsoft Sentinel の無料試用版で実際に取り込んでみる
Microsoft Sentinel では 1 テナントにつき 20 ワークスペースまで無料試用版を作成することが可能で、1 ワークスペースにつき 10 GB / 日のインジェストが 31 日間無料で使えます。
ワークスペース数と 10 GB / 日 のインジェスト無料の制限を上手く活用すれば、実際に計測することで実測値を費用をかけることなく確認することができます -
Microsoft 365 Defender で利用できる Advanced Hunting 機能を活用する
Defender for Endpoint が含まれているライセンスをお持ちであれば Advanced Hunting でクエリを書くことでデータ量を調べることができます。
Advanced Hunting でデータ量を調べるクエリ
上段でご紹介した無償で取り込めない(E5 持っていれば特典対象) Microsoft 365 Defender コネクタについて Advanced Hunting で取れるものを記載しています
- Defender for Office 365 ログ量
union
EmailEvents, EmailAttachmentInfo ,EmailUrlInfo ,EmailPostDeliveryEvents ,UrlClickEvents
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
- Defender for Endpoint ログ量
union
DeviceInfo,DeviceNetworkInfo,DeviceProcessEvents,DeviceNetworkEvents,DeviceFileEvents,DeviceRegistryEvents,DeviceLogonEvents,DeviceImageLoadEvents,DeviceEvents,DeviceFileCertificateInfo
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
- Defender for Identity ログ量
union
IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
- Defender for Cloud Apps ログ量
union
CloudAppEvents
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
- Defender Alert Evidence
union
AlertEvidence
| summarize TotalGB = format_bytes(sum(estimate_data_size(*)), 2, "GB")
同じクエリを Sentinel に流すことでインジェストしたデータ量と見比べることにも利用出来ます。
実際に利用する際は時間範囲を GUI または KQL で同期間指定することに注意してください。
- Microsoft 365 Defender
- Microsoft Sentinel
まとめ
Sentinel に取り込める Microsoft 365 系ログのまとめと、実際に取り込むデータ量を計測する方法 2 つをご紹介させていただきました。
クエリに関しては複数環境で試しましたがまだ改善の余地はあると考えていますので、実際にお試しされて Feedback などもいただけると嬉しいです
Discussion