설치 매뉴얼
마이크로소프트 오피스 365는 서브스크립션 기반 오피스 프로그램입니다. 워드, 엑셀, 파워포인트, 원노트, 원드라이브를 포함하며, Microsoft Purview를 통해 컴플라이언스 관리를 지원합니다. 예를 들어 Purview는 아래와 같이 감사 로그 검색을 지원합니다.
그러나 보안 및 준수 센터의 데이터는 7일 분량만 보관되고, 기본으로 제공되는 감사 로그 검색 기능을 이용하여 데이터를 분석하는게 매우 힘들기 때문에 이를 로그프레소 플랫폼으로 통합하여 분석하는 것이 좋습니다.
Azure 포탈 설정
Azure 포탈에 로그인한 후 Azure Active Directory 메뉴를 선택하여 애플리케이션 등록 화면으로 이동합니다. 여기에서 새로운 애플리케이션을 아래와 같이 등록합니다.
애플리케이션을 생성한 후 API 권한 보기 화면으로 이동합니다.
권한 추가 버튼을 클릭합니다.
권한 목록에서 Office 365 Management APIs 를 선택합니다.
애플리케이션 사용 권한 유형을 선택하고, 모든 권한을 체크한 후 권한을 추가합니다.
권한을 추가한 후에 관리자가 이를 승인해야 합니다. 아래와 같이 '관리자 동의가 필요함'이 '예'로 표시되어 있는 것을 확인하고 '관리자 동의 허용' 버튼을 클릭합니다.
동의하면 아래와 같이 상태가 허용됨으로 전환됩니다.
'메일 흐름' 수집을 위해서는 추가로 생성한 어플리케이션이 아래의 관리 역할(Entra ID > 역할 및 관리자로 이동) 중 하나에 할당이 되어 있어야 합니다.
- 전역 읽기 권한자
- 보안 읽기 권한자
- Exchange 관리자
이제 '인증서 및 암호'를 클릭한 후 '새 클라이언트 암호' 버튼을 클릭하면 새 클라이언트 암호를 생성할 수 있습니다.
생성된 클라이언트 암호는 화면을 벗어나면 다시는 조회할 수 없으므로 안전한 위치에 복사해두시기 바랍니다. 만약 실수로 화면을 벗어났다면, 삭제하고 새 암호를 다시 생성하시면 됩니다.
이제 개요 화면에서 테넌트 ID, 클라이언트 ID, 클라이언트 암호를 확인합니다.
방화벽 정책 변경
확장된 쿼리 명령어와 수집기를 사용하려면 로그프레소 서버에서 아래 URL에 접속할 수 있도록 방화벽 정책을 허용해야 합니다.
- https://manage.office.com
- https://login.microsoftonline.com
로그프레소 접속 프로파일 설정
방금 개요 화면에서 확인한 3가지 정보를 로그프레소 접속 프로파일에 설정합니다. HTTP 프록시를 사용해야 하는 경우 해당 설정도 추가합니다.
로그프레소 수집 설정
Azure AD 수집기 설정
Microsoft 365 Azure Active Directory 감사 로그를 M365_AAD
테이블에 저장합니다.
- 접속 프로파일
- Microsoft 365 접속 프로파일 식별자
- 수집 지연 시간
- 10800초 지정. 시간 차 없이 수집하면 나중에 기록되는 감사 로그는 수집하지 못하므로 유실이 발생할 수 있습니다. Microsoft 365 감사 로그는 평균 30분, 최대 3시간 이상 지연되어 기록될 수 있습니다.
- 수집 시작 시각
- yyyy-MM-dd HH:mm:ss 형식으로 로그 수집을 시작할 시점을 지정. 최대 7일 전까지의 로그만 존재합니다.
SharePoint 수집기 설정
Microsoft 365 SharePoint 및 OneDrive 감사 로그를 M365_SHAREPOINT
테이블에 저장합니다.
- 접속 프로파일
- Microsoft 365 접속 프로파일 식별자
- 수집 지연 시간
- 10800초 지정. 시간 차 없이 수집하면 나중에 기록되는 감사 로그는 수집하지 못하므로 유실이 발생할 수 있습니다. Microsoft 365 감사 로그는 평균 30분, 최대 3시간 이상 지연되어 기록될 수 있습니다.
- 수집 시작 시각
- yyyy-MM-dd HH:mm:ss 형식으로 로그 수집을 시작할 시점을 지정. 최대 7일 전까지의 로그만 존재합니다.
Exchange 수집기 설정
Microsoft 365 Exchange 감사 로그를 M365_EXCHANGE
테이블에 저장합니다.
- 접속 프로파일
- Microsoft 365 접속 프로파일 식별자
- 수집 지연 시간
- 10800초 지정. 시간 차 없이 수집하면 나중에 기록되는 감사 로그는 수집하지 못하므로 유실이 발생할 수 있습니다. Microsoft 365 감사 로그는 평균 30분, 최대 3시간 이상 지연되어 기록될 수 있습니다.
- 수집 시작 시각
- yyyy-MM-dd HH:mm:ss 형식으로 로그 수집을 시작할 시점을 지정. 최대 7일 전까지의 로그만 존재합니다.
메일 흐름 수집기 설정
Microsoft 365 Exchange 메일 흐름 메시지 추적 로그를 M365_MAIL_FLOW
테이블에 저장합니다.
- 접속 프로파일
- Microsoft 365 접속 프로파일 식별자
- 수집 지연 시간
- 10800초 지정. 시간 차 없이 수집하면 나중에 기록되는 감사 로그는 수집하지 못하므로 유실이 발생할 수 있습니다. Microsoft 365 감사 로그는 평균 30분, 최대 3시간 이상 지연되어 기록될 수 있습니다.
- 수집 시작 시각
- yyyy-MM-dd HH:mm:ss 형식으로 로그 수집을 시작할 시점을 지정. 최대 7일 전까지의 로그만 존재합니다.
일반 감사 수집기 설정
Microsoft 365 일반 감사 로그를 M365_GENERAL
테이블에 저장합니다.
- 접속 프로파일
- Microsoft 365 접속 프로파일 식별자
- 수집 지연 시간
- 10800초 지정. 시간 차 없이 수집하면 나중에 기록되는 감사 로그는 수집하지 못하므로 유실이 발생할 수 있습니다. Microsoft 365 감사 로그는 평균 30분, 최대 3시간 이상 지연되어 기록될 수 있습니다.
- 수집 시작 시각
- yyyy-MM-dd HH:mm:ss 형식으로 로그 수집을 시작할 시점을 지정. 최대 7일 전까지의 로그만 존재합니다.