ThreatSync+ SaaS 統合を構成する — Microsoft 365

適用対象: ThreatSync+ SaaS 

Microsoft 365 ユーザー アクティビティに関連する脅威を検出するには、ThreatSync+ SaaS で Microsoft 365 のユーザー アクティビティ ログ データを取得できる状態になっている必要があります。このデータの収集、ユーザー アクティビティの監視、修正アクションの実行ができるようにするには、WatchGuard Cloud に SaaS 統合を追加して、これを構成する必要があります。

開始する前に

Microsoft 365 との SaaS 統合を作成する前に、以下を行う必要があります。

  • 少なくとも Microsoft Office 365 E1 または Microsoft 365 Business Basic ライセンスを持っていることを確認する
  • Microsoft 365 組織の監査ログ記録を有効化する
  • Microsoft 365 のロールと権限を検証する

監査ログ記録を有効化する

SaaS 統合を通じて ThreatSync+ SaaS からデータに接続できるようにするには、Microsoft 365 組織の監査ログ記録を有効化する必要があります。

Microsoft 365 組織では、監査ログ記録が既定で有効化されています。監査ログ記録が有効になっていることを確認するには、SaaS 統合を追加するコンピュータで以下の PowerShell コマンドを実行します。

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

監査ログ記録が有効になっていない場合は、ステータスが False になります。

UnifiedAuditLogIngestionEnabled : False

ステータスが True であれば、それ以上の操作は必要ありません。ステータスが False の場合は、以下の PowerShell コマンドを実行して監査ログ記録を有効化します。

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

監査ログ記録の構成が変更されるまでに、最大 60 分かかる場合があります。

詳細については、Microsoft ドキュメントの 監査をオンまたはオフにする を参照してください。

ロールと権限を検証する

SaaS 構成を追加する管理者は、Microsoft 365 アカウントで以下の管理者ロールと権限を有効化する必要があります。

  • グローバル管理者
  • セキュリティ管理者
  • サービス サポート管理者
  • ユーザー管理者

既存の管理者を選択すること、または適切な権限を備えた新規管理者を作成することができます。詳細については、Microsoft ドキュメントの Microsoft Admin Center で管理者ロールを割り当てる を参照してください。

管理者のロールと権限が必要となるのは、SaaS 統合の初期構成時のみです。SaaS 統合が追加されると、管理者権限は不要になります。

SaaS 統合を作成する

SaaS 統合を作成するには、SaaS 統合に使用するプライマリ Microsoft 365 ドメイン名および管理者ユーザー アカウントが必要です。

プライマリ ドメイン名は、脅威を監視する Microsoft 365 テナントのドメインです。たとえば、example.com。詳細については、プライマリ Office 365 ドメイン名を検索する を参照してください。

SaaS 統合を作成するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > ThreatSync+ 統合 > SaaS 統合 の順に選択します。
    SaaS 統合ページが開きます。
  2. SaaS 統合を追加する をクリックします。

Screenshot of the Add SaaS Integration page

  1. SaaS サービス ドロップダウン リストから、Microsoft 365 を選択します。
  2. Microsoft 365 ドメイン名 テキスト ボックスに、監視する Microsoft テナントのプライマリ ドメインの名前を入力します。
  3. Microsoft 365 ユーザーを無効化または有効化する機能を有効化するには、修正を有効化する を選択します。

既存の Microsoft 365 との SaaS 統合の修正を有効化または無効化する場合は、SaaS 統合を再アクティブ化して、手順 6 ~ 8 を繰り返す必要があります。詳細については、次を参照してください:SaaS 統合を編集する

  1. アクティブ化 をクリックします。
    認証のために Microsoft ログイン ページにリダイレクトされます。

Screenshot of the Microsoft Login page

  1. 必要な権限を備えた管理者ユーザーとしてログインします。
    Microsoft にログインすると、Microsoft によって同意ページにリダイレクトされます。

Screenshot of the Microsoft Permissions Requested dialog box

  1. 同意の詳細を確認し、同意する をクリックして同意します。SaaS 統合を完了するには、同意する必要があります。
    同意すると、ThreatSync+ SaaS UI にリダイレクトされます。SaaS 統合ステータスに、初期化中 と表示されます。ステータスが アクティブ に変わるまでに、最大 30 分かかる場合があります。

Screenshot of a successful SaaS integration added to ThreatSync+ SaaS that shows the Active status

  1. ステータスが アクティブ に変わったら、SaaS 統合の構成が完了したということです。Microsoft 365 の収集ステータスとログ件数のグラフを表示するには、名前 列の統合名をクリックします。

Screenshot of the Microsoft 365 domain name details after a successful SaaS integration with ThreatSync+ SaaS

ThreatSync+ SaaS によって環境が学習され、監視 メニューでアラートの表示が開始されるまでに、最大 7 日かかる場合があります。

SaaS 統合を編集する

既存のアクティブな SaaS 統合を編集して、名前を変更すること、繰り返しの障害通知をミュートすること、または Microsoft 365 ユーザーの修正を有効化または無効化することができます。

Screenshot of the Edit SaaS Integration page

SaaS 統合を編集するには、以下の手順を実行します。

  1. 構成 > ThreatSync+ 統合 > SaaS 統合 の順に選択します。

    SaaS 統合ページが開きます。
  2. 編集する SaaS 統合の名前をクリックします。
    SaaS 統合を編集する ページが開きます。
  3. (オプション) 説明 テキスト ボックスで、SaaS 統合の名前を編集します。
  4. SaaS コレクターの障害発生時に、この SaaS コレクターに通知が 1 回のみ送信されるようにする場合は、繰り返しの障害通知をミュートする チェックボックスを選択します。
  5. Microsoft 365 ユーザーを無効化または有効化する機能を有効化するには、修正を有効化する を選択します。

既存の Microsoft 365 との SaaS 統合の修正を有効化または無効化する場合は、統合を再アクティブ化して、統合に関する同意を再度提供する必要があります。

  1. 保存 をクリックします。

関連トピック

ThreatSync+ SaaS 統合について — Microsoft 365

ThreatSync+ ユーザー

ThreatSync+ を構成する