Logmanager dokumentace
Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Zpět na domovskou stránku

Office 365

Pro příjem logů z Microsoft cloudu je nutné otevřít TCP port, který bude dostupný z celého internetu (Microsoft nemá definované rozsahy IP sítí, ze kterých odesílá logy).

Pro tento účel je v Logmanager připraven TCP port 8443, na kterém poslouchá jen služba O365 a žádné jiné funkce nejsou na tomto portu dostupné. Je tedy možné jej bez obav zpřístupnit z internetu.

Port 8443 Logmanageru může být do internetu propagován skrz váš firewall na jakémkoliv volném venkovním portu. Služba na tomto portu přijímá požadavky pouze na specifickém endpointu /wh/o365/, a to pouze HTTP metody GET a POST, na všechny ostatní požadavky vrací chybový HTTP stav 400.

Služba O365 je v LM vypnutá až do chvíle, kdy je nastavena a uložena konfigurace o aplikaci na MS cloudu dle tohoto dokumentu níže.
Tok autorizace

Tok autorizace

Jak funguje sběr událostí z O365:

  1. Microsoft zašle na port 8443 Logmanager ID auditních událostí. Pokud není Logmanager dostupný, je ze strany Microsoft automaticky proveden pokus o doručení později.
  2. Logmanager si podle ID začne z Microsoftu stahovat jednotlivé události. Pokud se mu to nepovede, zkusí to později.
  3. Logmanager zhruba jednou za měsíc provádí automaticky obměnu API tokenů.
Pro funkční sběr událostí je nutné, aby měl Logmanager neomezený přístup do internetu na portu 443! Microsoft nemá definované IP rozsahy, ze kterých se čtou auditní události/vyměňují API tokeny.

Další informace o Office 365 APIs https://docs.microsoft.com/en-us/office/office-365-management-api/get-started-with-office-365-management-apis

Registrace komponenty O365 v Microsoft Azure

Tento dokument popisuje, jak nakonfiguravat O365 cloud pro zasílání auditních událostí na váš Logmanager.

Ujistěte se, že máte povoleno auditování Office 365, pro zjištění můžete použít tento návod https://docs.microsoft.com/en-us/office/office-365-management-api/troubleshooting-the-office-365-management-activity-api#enabling-unified-audit-logging-in-office-365. Auditování by mělo být automaticky zapnuté od chvíle, co používáte O365. Nicméně, pokud není povoleno, registrace čtení z Logmanageru skončí s následující chybou z O365 cloudu: ‚Tenant <tenantID> does not exist‘.
  1. Otevřete si admin console panel: https://admin.microsoft.com/Adminportal/#/homepage

  2. V levém panelu klikněte na „Show all“ a otevřete „Azure Active Directory“ (https://aad.portal.azure.com)

  3. Dále zvolte „Enterprise applications“, poté klikněte na „Create your own appication“ a vyplňte název své nové aplikace a zaškrtněte druhou možnost, jak je znázorněno na obrázku:

    Registrace aplikace

    Registrace aplikace

  4. V dalším okně vyberte možnost přidat vlastní aplikaci: „Add your own application“, a následně klikněte na odkaz „OK, I want to go to App Registration to register my new application“, otevře se stránka na adrese: https://aad.portal.azure.com/#blade/Microsoft_AAD_RegisteredApps/ApplicationsListBlade4

  5. Na této stránce vyberte možnost „+ New Registration“.

  6. V Logmanager v nastavení O365 komponenty vyplňte Veřejnou URL adresu pro příjem O365 logů (Logmanager uvnitř sítě vždy poslouchá na portu 8443, váš firewall může propagovat jakýkoliv port směrem do internetu. Je ale nutné do tohoto pole uvést celé doménové jméno vaší veřejné IP a správný externí port, na kterém bude Logmanager z internetu dostupný). Po uložení formuláře stiskněte F5 pro opětovné načtení dat z databáze Logmanager.

  7. V Logmanager si zkopírujte hodnotu veřejné URL adresy pro příjem logů, kterou vložíte do formuláře na webu MS do políčka Redirect URI.

  8. Do formuláře vyplňte vlastní název aplikace. Každá aplikace, kterou používáte, by měla mít jedinečný název. Tuto hodnotu budete muset vyplnit do registračního formuláře pro komponentu uživatelského rozhraní Logmanager O365. V podporovaných typech účtů vyberte druhou možnost, pro povolení přístupu jakéhokoliv druhu.

    Pokud plánujete shromažďovat protokoly od více organizací, vyberte možnost „Účty v adresáři libovolné organizace“.
    Pokud plánujete shromažďovat protokoly pouze pro vaši organizaci, vyberte možnost „Účty v adresáři této organizace“.
    Zaregistrování aplikace

    Zaregistrování aplikace

  9. Na stejné stránce vyplňte: guilabel: „Redirect URI“. Viz výše krok 7.

  10. Zkopírujte veřejnou adresu Logmanager z GUI Logmanager v předchozím kroku a klikněte na Register:

  11. Přejděte zpět do „Enterprise applications“, kde nyní můžete vidět Logmanager aplikaci. V nově otevřené stránce Overview si zkopírujte Application ID, kterou vložte do GUI Logmanager.

    ID aplikace

    ID aplikace

  12. Na stránce Microsoft dále klikněte na „Single sign-on“ a vyberte „logmanager1“, jak je vidět na obrázku:

    Single sign-on

    Single sign-on

  13. Prvně je nutné ve webové konzoli MS přidat oprávnění nově vytvořené aplikaci pro čtení logů. Klikněte v levém menu na „API permissions“, vyberte ze seznamu Office 365 Management APIs a zvolte tlačítko „Přidat oprávnění“.

  14. V nově otevřené stránce zaškrtněte všechna oprávnění pro „Delegated permissions“ i pro „Application permissions“ a dvakrát tam přidejte všechna dostupná oprávnění (v závislosti na vašem typu O365 tam můžete vidět více oprávnění, na našem demo účtu s 5 uživateli vidíme například pouze 3). Jednou jako delegovaný a podruhé jako oprávnění aplikace.

    Oprávnění rozhraní API

    Oprávnění rozhraní API

  15. V dalším kroku je nutné odsouhlasit tato nová oprávnění administrátorem. Klikněte ve spodní části obrazovky na „Grant admin consent“, jak je znázorněno na obrázku:

    Oprávnění API

    Oprávnění API

  16. Jakmile odsouhlasíte oprávnění, vše by mělo zezelenat:

    Nastavení oprávnění

    Nastavení oprávnění

  17. Dále na stránce Microsoft klikněte na „Certificates & secrets“ a nechte vygenerovat nový „New client secret“:

    Certifikáty a tajné kódy

    Certifikáty a tajné kódy

  18. Zkopírujte vygenerovanou hodnotu tajného kódu a vložte ji do Logmanager do pole klíč aplikace.

  19. V Logmanager uložte formulář a obnovte stránku. Poté klikněte na tlačítko „Otestujte zda je LM dostupný z internetu“, otevře se nová webová stránka, která pomocí webserveru výrobce Logmanageru ověří, že je komponenta O365 dostupná z internetu.

    Služba je dostupná až po uložení kompletní konfigurace ID, klíče a veřejné URL, do té doby je služba vypnutá a není dostupná z internetu. Pokud vám testovací webová stránka říká, že není komponenta dostupná, ověřte prosím, zda máte správně zadanou URL, prostupy na firewallech, vyplněné všechny hodnoty formuláře.

  20. Dále je nutné přidat nového tenanta pro čtení logů z MS (Pokračujte pouze v případě, že máte funkční test dostupnosti Logmanager komponenty z internetu!). V GUI Logmanager nastavení stačí kliknout na tlačítko „Register a new tenant at Microsoft“.

    Pokud vám testovací web sdělí, že komponenta je neplatná, zkuste obnovit stránku pomocí control-F5.

    Mělo by to vypadat následovně:

    Konfigurace tenanta

    Konfigurace tenanta

    nebo v JSON formátu command:

    {
      "content": [
        {
          "contentType": "Audit.AzureActiveDirectory",
          "webhook": {
            "expiration": "",
            "status": "enabled",
            "address": "https://demo.logmanager.cz:8443/wh/o365/",
            "authId": "o365_logmanager_H4SB13"
          },
          "status": "enabled"
        },
        {
          "contentType": "Audit.Exchange",
          "webhook": {
            "expiration": "",
            "status": "enabled",
            "address": "https://demo.logmanager.cz:8443/wh/o365/",
            "authId": "o365_logmanager_H4SB13"
          },
          "status": "enabled"
        },
        {
          "contentType": "Audit.General",
          "webhook": {
            "expiration": "",
            "status": "enabled",
            "address": "https://demo.logmanager.cz:8443/wh/o365/",
            "authId": "o365_logmanager_H4SB13"
          },
          "status": "enabled"
        },
        {
          "contentType": "Audit.SharePoint",
          "webhook": {
            "expiration": "",
            "status": "enabled",
            "address": "https://demo.logmanager.cz:8443/wh/o365/",
            "authId": "o365_logmanager_H4SB13"
          },
          "status": "enabled"
        },
        {
          "contentType": "DLP.All",
          "webhook": {
            "expiration": "",
            "status": "enabled",
            "address": "https://demo.logmanager.cz:8443/wh/o365/",
            "authId": "o365_logmanager_H4SB13"
          },
          "status": "enabled"
        }
      ],
      "msg": "Tenant registration result tenant_id: 6a98b5da-7b3c-4486-bb0b-66a048c6da62",
      "registeredContent": {
        "Audit.AzureActiveDirectory": "enabled",
        "Audit.SharePoint": "enabled",
        "Audit.General": "enabled",
        "Audit.Exchange": "enabled",
        "DLP.All": "enabled"
      },
      "result_subscribe_content": [
        {
          "Audit.AzureActiveDirectory": "OK"
        },
        {
          "Audit.Exchange": "OK"
        },
        {
          "Audit.SharePoint": "OK"
        },
        {
          "Audit.General": "OK"
        },
        {
          "DLP.All": "OK"
        }
      ],
      "status": "OK"
    }
    
  21. Při úspěšné registraci se vám zobrazí stránka s textem výstupu registračního procesu (JSON data, která zobrazuje Microsoft cloud).

  22. Po registraci je nutné v Logmanager donastavit název vaší organizace/domény v menu Zdroje => O365 bude zobrazena nová organizace. Upravte nově vytvořeného tenanta bez jakékoli domény a nastavte jej na název vaší domény.

    Editace tenanta

    Editace tenanta

  23. Nakonec byste měli vidět také nového tenanta v Logmanager menu a mít přístup k prohlížení posledních O365 protokolů.

    O365 tenants

    O365 tenants

Zadaný název vaší organizace/domény bude pak automaticky ukládán do všech přijatých zpráv do pole meta.src.host
Pokud při pokusu o registraci nového tenanta (nové domény) hlasí chybu oprávnění (permission error), je nutné ověřit, že vytvořená aplikace má správně nastavené oprávnění takovým způsobem, aby přes ni mohli číst data i ostatní tenanti. To lze zjistit pouze na tomto odkazu (nové UI webového rozhraní MS tuto informaci neposkytuje): https://portal.azure.com/#blade/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/Overview/appId/, ve kterem je nutné dosadit ID aplikace. Na této stránce pak hledejte Podporované typy účtu, kde musí být vyplněno Všichni uživatelé účtu Microsoft.

Jiné možnosti auditování O365 najdete zde: https://docs.microsoft.com/cs-cz/microsoft-365/compliance/enable-mailbox-auditing

Další podrobnosti najdete také na následujících odkazech:

Zdrojové adresy IP, které komunikují s Logmanager z internetu, můžete omezit pomocí této příručky od společnosti Microsoft.