Office 365
Pro příjem logů z Microsoft cloudu je nutné otevřít TCP port, který bude dostupný z celého internetu (Microsoft nemá definované rozsahy IP sítí, ze kterých odesílá logy).
Pro tento účel je v Logmanageru připraven TCP port 8443, na kterém poslouchá jen služba O365 a žádné jiné funkce nejsou na tomto portu dostupné. Je tedy možné jej bez obav zpřístupnit z internetu.
Port 8443 Logmanageru může být do internetu propagován skrz váš firewall na jakémkoliv volném venkovním portu. Služba na tomto portu přijímá požadavky pouze na specifickém endpointu /wh/o365/, a to pouze HTTP metody GET a POST, na všechny ostatní požadavky vrací chybový HTTP stav 400.
Služba O365 je v LM vypnutá až do chvíle, kdy je nastavena a uložena konfigurace o aplikaci na MS cloudu dle tohoto dokumentu níže.
Jak funguje sběr událostí z O365:
- Microsoft zašle na port 8443 Logmanager ID auditních událostí. Pokud není Logmanager dostupný, je ze strany Microsoft automaticky proveden pokus o doručení později.
- Logmanager si podle ID začne z Microsoftu stahovat jednotlivé události. Pokud se mu to nepovede, zkusí to později.
- Logmanager zhruba jednou za měsíc provádí automaticky obměnu API tokenů.
Pro funkční sběr událostí je nutné, aby měl Logmanager neomezený přístup do internetu na portu 443! Microsoft nemá definované IP rozsahy, ze kterých se čtou auditní události/vyměňují API tokeny.
Přístup na servery Microsoftu vyžaduje transparentní komunikaci, tzn. bez HTTPS/SSL inspekce. Zkontrolujte nastavení vašeho firewallu, zda komunikaci neblokujete nebo zda nemáte zapnutou HTTPS/SSL inspekci (známou také jako MITM, tedy Man in the middle). Pokud vám to váš firewall umožňuje, vytvořte pro Logmanager speciální unikátní pravidlo, kterým povolíte jen požadovanou komunikaci.
Další informace o Office 365 APIs https://docs.microsoft.com/en-us/office/office-365-management-api/get-started-with-office-365-management-apis
Tento dokument popisuje, jak nakonfiguravat O365 cloud pro zasílání auditních událostí na váš Logmanager.
Ujistěte se, že máte povoleno auditování Office 365, pro zjištění můžete použít tento návod https://docs.microsoft.com/en-us/office/office-365-management-api/troubleshooting-the-office-365-management-activity-api#enabling-unified-audit-logging-in-office-365. Auditování by mělo být automaticky zapnuté od chvíle, co používáte O365. Nicméně, pokud není povoleno, registrace čtení z Logmanageru skončí s následující chybou z O365 cloudu: ‚Tenant <tenantID> does not exist‘.
-
V Logmanageru v nastavení O365 komponenty vyplňte Veřejnou URL adresu pro příjem O365 logů (Logmanager uvnitř sítě vždy poslouchá na portu 8443, váš firewall může propagovat jakýkoliv port směrem do internetu. Je ale nutné do tohoto pole uvést celé doménové jméno vaší veřejné IP a správný externí port, na kterém bude Logmanager z internetu dostupný). Po uložení formuláře stiskněte F5 pro opětovné načtení dat z databáze Logmanager.
-
Otevřete si Microsoft Entra admin center: https://entra.microsoft.com/#home
-
V levém panelu klikněte na „Show more“ a otevřete „Identity“
-
Dále zvolte „Applications“ a „App registrations“, poté klikněte na „New registration“.
Registrace aplikace
-
Do formuláře vyplňte vlastní název aplikace. Každá aplikace, kterou používáte, by měla mít jedinečný název. Tuto hodnotu budete muset vyplnit do registračního formuláře pro komponentu uživatelského rozhraní Logmanager O365. V podporovaných typech účtů vyberte druhou možnost, pro povolení přístupu jakéhokoliv druhu.
V Logmanageru si zkopírujte hodnotu veřejné URL adresy pro příjem logů, kterou vložíte do formuláře na webu MS do políčka Redirect URI a klikněte na Register.- Pokud plánujete shromažďovat protokoly od více organizací, vyberte možnost „Účty v adresáři libovolné organizace“.
- Pokud plánujete shromažďovat protokoly pouze pro vaši organizaci, vyberte možnost „Účty v adresáři této organizace“.
Zaregistrování aplikace
-
Přejděte do „Identity / Roles & admins / Roles & admins“, do vyhledávacího pole zadejte Global Reader a klikněte na nalezenou roli.
Nastavení role Global Reader
-
Klikněte na Add assignments, vyhledejte v předchozím kroku vytvořenou aplikaci logmanager, vyberte ji a klikněte na tlačítko Add.
Nastavení role Global Reader
-
Přejděte do „Identity / Applications / Enterprise applications“, kde nyní můžete vidět Logmanager aplikaci. Klikněte na ní a v nově otevřené stránce Overview si zkopírujte Application ID, které vložte do GUI Logmanager.
ID aplikace
ID aplikace
-
Nyní je nutné ve webové konzoli MS přidat oprávnění nově vytvořené aplikaci pro čtení logů. Přejděte do „Identity / Applications / App registrations“, klikněte na “All applications” a na Logmanager aplikaci.
Oprávnění rozhraní API
-
Dále klikněte v levém menu na „API permissions“ a “Add a permission” a vyberte ze seznamu Office 365 Management APIs.
-
V nově otevřené stránce klikněte na „Delegated permissions“ a zaškrtněte všechna oprávnění. Klikněte na „Application permissions“ a opět přidejte všechna dostupná oprávnění. Klikněte na tlacitko “Add permissions”.
Oprávnění rozhraní API
-
V dalším kroku je nutné odsouhlasit tato nová oprávnění administrátorem. Klikněte na „Grant admin consent“, jak je znázorněno na obrázku:
Oprávnění rozhraní API
-
Jakmile odsouhlasíte oprávnění, vše by mělo zezelenat:
Oprávnění rozhraní API
-
Dále na stránce Microsoft klikněte na „Certificates & secrets“ a nechte vygenerovat nový „New client secret“:
Certifikáty a tajné kódy
-
Zkopírujte si vygenerovanou hodnotu tajného kódu do schránky.
Certifikáty a tajné kódy
-
V Logmanageru vložte hodnotu Secret do pole klíč aplikace, uložte formulář a obnovte stránku. Poté klikněte na tlačítko „Otestujte zda je LM dostupný z internetu“, otevře se nová webová stránka, která pomocí webserveru výrobce Logmanageru ověří, že je komponenta O365 dostupná z internetu.
Certifikáty a tajné kódy
Služba je dostupná až po uložení kompletní konfigurace ID, klíče a veřejné URL, do té doby je služba vypnutá a není dostupná z internetu. Pokud vám testovací webová stránka říká, že není komponenta dostupná, ověřte prosím, zda máte správně zadanou URL, prostupy na firewallech, vyplněné všechny hodnoty formuláře.
- Dále je nutné přidat nového tenanta pro čtení logů z MS (Pokračujte pouze v případě, že máte funkční test dostupnosti Logmanager komponenty z internetu!). V GUI Logmanager nastavení stačí kliknout na tlačítko „Register a new tenant at Microsoft“.
Pokud vám testovací web sdělí, že komponenta je neplatná, zkuste obnovit stránku pomocí control-F5.
Mělo by to vypadat následovně:
Konfigurace tenanta
nebo v JSON formátu:
{
"content": [
{
"contentType": "Audit.AzureActiveDirectory",
"webhook": {
"expiration": "",
"status": "enabled",
"address": "https://demo.logmanager.cz:8443/wh/o365/",
"authId": "o365_logmanager_H4SB13"
},
"status": "enabled"
},
{
"contentType": "Audit.Exchange",
"webhook": {
"expiration": "",
"status": "enabled",
"address": "https://demo.logmanager.cz:8443/wh/o365/",
"authId": "o365_logmanager_H4SB13"
},
"status": "enabled"
},
{
"contentType": "Audit.General",
"webhook": {
"expiration": "",
"status": "enabled",
"address": "https://demo.logmanager.cz:8443/wh/o365/",
"authId": "o365_logmanager_H4SB13"
},
"status": "enabled"
},
{
"contentType": "Audit.SharePoint",
"webhook": {
"expiration": "",
"status": "enabled",
"address": "https://demo.logmanager.cz:8443/wh/o365/",
"authId": "o365_logmanager_H4SB13"
},
"status": "enabled"
},
{
"contentType": "DLP.All",
"webhook": {
"expiration": "",
"status": "enabled",
"address": "https://demo.logmanager.cz:8443/wh/o365/",
"authId": "o365_logmanager_H4SB13"
},
"status": "enabled"
}
],
"msg": "Tenant registration result tenant_id: 6a98b5da-7b3c-4486-bb0b-66a048c6da62",
"registeredContent": {
"Audit.AzureActiveDirectory": "enabled",
"Audit.SharePoint": "enabled",
"Audit.General": "enabled",
"Audit.Exchange": "enabled",
"DLP.All": "enabled"
},
"result_subscribe_content": [
{
"Audit.AzureActiveDirectory": "OK"
},
{
"Audit.Exchange": "OK"
},
{
"Audit.SharePoint": "OK"
},
{
"Audit.General": "OK"
},
{
"DLP.All": "OK"
}
],
"status": "OK"
}
-
Při úspěšné registraci se vám zobrazí stránka s textem výstupu registračního procesu (JSON data, která zobrazuje Microsoft cloud).
-
Po registraci je nutné v Logmanager donastavit název vaší organizace/domény v menu “Zdroje” => O365 bude zobrazena nová organizace. Upravte nově vytvořeného tenanta bez jakékoli domény a nastavte jej na název vaší domény.
Editace tenanta
-
Nakonec byste měli vidět také nového tenanta v Logmanager menu a mít přístup k prohlížení posledních O365 protokolů.
O365 tenants
Zadaný název vaší organizace/domény bude pak automaticky ukládán do všech přijatých zpráv do pole meta.src.host
Pokud při pokusu o registraci nového tenanta (nové domény) hlasí chybu oprávnění (permission error), je nutné ověřit, že vytvořená aplikace má správně nastavené oprávnění takovým způsobem, aby přes ni mohli číst data i ostatní tenanti. To lze zjistit pouze na tomto odkazu (nové UI webového rozhraní MS tuto informaci neposkytuje): https://entra.microsoft.com/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Overview/appId/xxx, kde místo “xxx” je nutné dosadit ID aplikace. Na této stránce pak hledejte Supported account types, kde musí být vyplněno Multiple organizations.
O365 tenants
Jiné možnosti auditování O365 najdete zde: https://docs.microsoft.com/cs-cz/microsoft-365/compliance/enable-mailbox-auditing
Další podrobnosti najdete také na následujících odkazech:
- https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app
- https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent
- https://docs.microsoft.com/en-us/office/office-365-management-api/troubleshooting-the-office-365-management-activity-api#azure-application-permissions
Zdrojové adresy IP, které komunikují s Logmanagerem z internetu, můžete omezit pomocí této příručky od společnosti Microsoft.