Office 365 メッセージ追跡 REST API プロトコルの構成オプション
IBM® Security 用のOffice 365 Message Trace REST APIプロトコル( QRadar® )は、Microsoft Message Trace REST APIからメッセージトレースログを収集します。 このアクティブなアウトバウンド・プロトコルは、Office 365 E メール・ログを収集するために使用されます。
- GCC、GCC-High、 DoD,、およびSovereign Cloudのお客様への特例:
- 新しいメッセージトレースAPIは、現在、ワールドワイド(WW)環境でのみ利用可能です。 マイクロソフトの発表によると、 「このスケジュールは当社のWW環境にのみ適用されるものであり、GCC、GCC-High、DOD、その他の主権クラウドには影響しませんのでご注意ください。」 「GCC、GCC-High、 DoD,、およびその他のソブリンクラウドのスケジュールについては、 CY25H2 で公開されます。」
- GCC、GCC-High、 DoD,、またはソブリンクラウドのお客様は、引き続き以下のRPMバージョンを使用する必要があります:
- プロトコル:
7.5.0-QRADAR-PROTOCOL-Office365MessageTraceRESTAPI-7.5-20250213060632.noarch.rpm - DSM:
7.5.0-QRADAR-DSM-MicrosoftOffice365MessageTrace-7.5-20260113065949.noarch.rpm
- プロトコル:
Microsoftがお客様のクラウド環境向けの MessageTraceV2 のサポートを正式にリリースするまでは、新しいバージョンへのアップグレードを行わないでください。
自動更新を無効にするには、 「自動更新」 に移動し、 「更新プログラムの確認」 を選択してください。 新しい MessageTrace のRPMパッケージが表示された場合は、それらを選択し、その更新を非表示にするオプションを選んでください。
基本認証は削除され、利用できなくなったため、デフォルトではモダン認証が選択されています。 モダン認証を使用するには、 Microsoft Entra 管理センター ( https://entra.microsoft.com/ ) でアプリケーションを登録する必要があります。 このポータルでは、Microsoft Message Trace API ログソースを作成するために必要な重要な値が提供されています。
- Microsoft ID プラットフォームにアプリを登録します。 詳細な手順については、 「Microsoft Identity Platform へのアプリケーションの登録 ( https://learn.microsoft.com/en-us/graph/auth-register-app-v2 )」を参照してください。
- 「クライアント ID」、 「テナント ID」、および 「クライアント秘密鍵」 の値を取得します。
- アプリケーションの 「概要」 ページで、 「クライアント ID」 と 「テナント ID」 の値を見つけてコピーします。 これらの値は、 Microsoft Office 365 メッセージ追跡ログ・ソースを作成するときに使用します。 詳細については、 「サインイン用のテナント ID およびアプリ ID の取得 ( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#sign-in-to-the-application )」を参照してください。
- アプリケーションの 「証明書とシークレット (Certificates and Secrets)」 ページで、 「新規シークレット (New Secret)」 をクリックしてクライアント・シークレットを作成し、そのクライアント・シークレットをテキスト・エディターにコピーします。 この値は、 Microsoft Office 365 メッセージ追跡ログ・ソースを作成するときに 「クライアント秘密鍵 (Client Secret)」 パラメーターに使用します。 詳細については、 「新しいクライアントシークレットの作成 」( https://learn.microsoft.com/en-us/graph/auth-register-app-v2#option-2-add-a-client-secret )を参照してください。
- Microsoft Entra ID で、アプリケーションに必要なアクセス許可を付与してください。 メッセージトレースAPIイベントに必要な権限は 「 ExchangeMessageTrace 」 です。 Read.All。 詳細については、 「Microsoft Graph のアクセス許可の設定 ( https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/graph-api-message-trace#configure-microsoft-graph-permissions )」を参照してください。
- テナントにサービスプリンシパルをプロビジョニングします。 詳細については、 「サービスプリンシパルのプロビジョニング ( https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/graph-api-message-trace#provision-a-service-principal )」を参照してください。注: サービスプリンシパルを作成した後、プロビジョニングが完了するまで数時間かかる場合があります。 この期間中、GraphベースのメッセージトレースAPIへのリクエストに対して、401(Unauthorized)エラーが返される場合があります。
Service principal-less authentication failed: The service principal for App ID 8bd644d1-64a1-4d4b-ae52-2e0cbf64e373 was not found. Please create a service principal for this app in your tenant. Provisioning may take several hours to complete.
{current_timestamp - event_delay} 指定された時点から過去30日分のメッセージトレースデータを取得します。| パラメーター | 値 |
|---|---|
| ログ・ソース ID | ログ・ソースの固有名。 名前にスペースを含めることはできません。また、Office 365 メッセージ追跡 REST API プロトコルで構成されているこのタイプのすべてのログ・ソースの中で固有である必要があります。 |
| 認証方式 | 最新の認証では、 OAuth 2.0 を使用して、リソースへのアクセスの認証と承認を行います。 基本認証では、ユーザー名とパスワードを使用します。 基本認証が廃止されたため、Microsoft Message Trace API のイベントを取得するには、これが唯一の利用可能な方法です。 この方法はデフォルトで選択されています。 重要: 2023 年 1 月 1 日以降、Microsoft は基本認証をサポートしなくなります。 メッセージ・トレース・イベントの受信を続行するには、 Modern 認証を使用する必要があります。
|
| クライアント ID | Microsoft Azure のアプリケーション設定にある Client ID の値 Active Directory. 詳細については、 「アプリケーションへのサインイン 」( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#sign-in-to-the-application )を参照してください。 |
| クライアント秘密鍵 | Microsoft Azure ポータルでアプリケーション用に作成したクライアントシークレット。 詳細については、 「新しいクライアントシークレットの作成 」( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#option-3-create-a-new-client-secret )を参照してください。 |
| テナント ID (Tenant ID) | Microsoft Azure Active Directory での認証に使用されるテナント ID の値。 詳細については、 「アプリケーションへのサインイン 」( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#sign-in-to-the-application )を参照してください。 |
| イベント遅延 (Event Delay) | データ収集の遅延秒数。 Microsoft Message Trace のログは、遅延配信システムに基づいて動作します。 データが欠落しないようにするために、ログは遅延して収集されます。 デフォルトの遅延は 900 秒 (15 分) で、最低で 0 秒に設定できます。 |
| プロキシーの使用 (Use Proxy) | プロキシーを使用して API にアクセスする場合は、このチェック・ボックスを選択します。 「プロキシー・サーバー」、「プロキシー・ポート」、「プロキシー・ユーザー名」、「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。 |
| 拡張オプションを有効にする | Microsoft API Login Endpoint および URLのデフォルト値を変更するには、このオプションを選択します。 このパラメーターを有効にしない場合は、デフォルト値が使用されます。 |
| Microsoft API ログイン・エンドポイント | Microsoft API ログイン・エンドポイントを指定します。 OAuth および 2.0https://login.microsoftonline.com 認証のデフォルト値は です。 「詳細オプションを有効にする」 パラメーターを有効にしない場合は、デフォルト値が使用されます。 |
| Microsoft Graph API Management URL | この URL を使用すると、トークンがMicrosoft Graph APIにアクセスできるようになります。 Message Trace API にアクセスする際の https://graph.microsoft.com デフォルト値は です。 「詳細オプションを有効にする」 パラメーターを有効にしない場合は、デフォルト値が使用されます。 |
| 繰り返し (Recurrence) | Microsoft Message Trace REST API に対して、新しいイベントの有無を確認するログ送信元クエリの間隔。 この時間間隔は、時間数 (H)、分数 (M)、または日数 (D) にすることができます。 デフォルトは 5 分です。 |
| EPS スロットル | QRadar が取り込む 1 秒当たりのイベントの最大数。 データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。 デフォルトは 5000 です。 |
メッセージトレースレポートの閲覧に関する条件付きアクセスと権限
- アプリケーションが Microsoft Entra ID に登録されていることを確認してください。
- アプリケーションがアプリケーション認証を使用するように設定されていることを確認してください( OAuth 2.0 )。
- 登録されたアプリケーションに対して、Exchange Online 用のサービスプリンシパル ( https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/graph-api-message-trace#provision-a-service-principal )がプロビジョニングされていることを確認してください。注: サービスプリンシパルを作成した後、プロビジョニングが完了するまで数時間かかる場合があります。 この期間中、GraphベースのメッセージトレースAPIへのリクエストに対して、401(Unauthorized)エラーが返される場合があります。
Service principal-less authentication failed: The service principal for App ID 8bd644d1-64a1-4d4b-ae52-2e0cbf64e373 was not found. Please create a service principal for this app in your tenant. Provisioning may take several hours to complete. - メッセージトレースデータにアクセスするために、アプリケーションに必要な Microsoft Graph のアクセス許可が設定されていることを確認してください。
- 必要な権限について、管理者の承認が得られていることを確認してください。
- 条件付きアクセスポリシーにおけるレガシーコンテンツのブロックおよびブロック解除の詳細については、 「条件付きアクセス: レガシー認証のブロック ( https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-block-legacy )」を参照してください。
- ユーザーおよびグループ向けの条件付きアクセス ポリシーを作成する方法の詳細については、 「条件付きアクセス: ユーザーとグループ ( https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-users-groups )」を参照してください。
- クラウドアプリまたはアクションの条件付きアクセスポリシーの作成に関する詳細については、 「条件付きアクセス:クラウドアプリまたはアクション ( https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-cloud-apps )」を参照してください。