管理者ガイド¶
管理者により、LogLook+の運用に関する各種設定を行うことができます。
※ガイド中の画⾯はガイド作成時点のものであり、変更される場合があります。
画面の変更に伴い、操作に不明点が生じましたら弊社までご連絡ください。
アクセスユーザーの管理¶
LogLook+のレポートサービスは、Microsoft Entra(旧:Azure AD)環境で認証された組織のアカウントでご利用頂けます。
利用するユーザーや機能を制御したい場合、各設定画面から実施することができます。
アクセス制御の設定¶
Microsoft Entra(旧:Azure AD)の設定画面から、LogLook+レポートサービスの利用ユーザーを制御することができます。
※P1以上のライセンスをお持ちの場合、条件付きアクセスを利用することができます。
設定方法につきましては、条件付きアクセス制御の設定 をご参照ください。
- Microsoft Entra(旧:Azure AD)のグローバル管理者アカウントで、Microsoft Entra管理センターの Microsoft Entra ID(Azure AD)設定画面に接続します。
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView - 「アプリケーション」メニューを開き、「エンタープライズアプリケーション」を選択します。
- 「すべてのアプリケーション」から、「LogLook_ReportService」を選択します。
※お客様のご環境によっては「LogLook_レポートサービス」となっている場合があります
- 管理タブのプロパティを選択し、「割り当てが必要ですか?」を「はい」に変更して保存します。
- 管理タブの「ユーザーとグループ」を選択し、「ユーザーまたはグループの追加」をクリックします。
- アクセス許可する対象を選択し、割り当てを行います。
全体管理者の設定¶
LogLook+の管理設定画面から、全体管理者を設定することができます。
-
全体管理者の追加
① 全体管理者でLogLook+にサインインします。
② メニューから「Settings」-「Administrators」をクリックすると、Administrator設定画面が開きます。
③ 画面右上の「Add」ボタンをクリックすると、管理者追加画面が開きます。
④ 検索ボックスをクリックすると、候補ユーザーが表示されます。
検索ボックスにユーザーの表示名・メールアドレスを入力すると、組織のユーザーの中から検索条件に該当するユーザーが表示されます。
⑤ 全体管理者に設定したいユーザーを選択します。
⑥ 「Add」ボタンをクリックすると、選択したアカウントを全体管理者として追加します。
「Cancel」ボタンをクリックすると、全体管理者の追加を取り止めます。 -
全体管理者の削除
① 全体管理者から削除したいユーザーの「
」アイコンをクリックします。
② 削除用のダイアログが表示されます。
「Yes」ボタンをクリックすると、選択したアカウントを全体管理者から削除します。
「No」ボタンをクリックすると、全体管理者の削除を取り止めます。
利用機能の制限¶
LogLook+の管理設定画面から、ユーザー・グループごとにアクセスする機能を制御することができます。
利用機能の制御を行う場合、「Access Control有効」を有効に設定する必要があります。
「Access Control有効」が無効の状態でアクセス機能の設定を行うと、本画面で追加されたユーザー・グループはいずれの機能も利用することができなくなります。
-
利用制御するユーザーの追加
① 全体管理者でLogLook+にサインインします。
② メニューから「Settings」-「Access Control Settings」をクリックすると、Access Control設定画面が開きます。
③ 画面右上の「Add」ボタンをクリックすると、権限追加画面が開きます。
④ 検索ボックスをクリックすると、候補ユーザー・グループが表示されます。
検索ボックスにユーザーの表示名・メールアドレスを入力すると、組織の中から検索条件に該当するユーザー・グループが表示されます。
⑤ 利用制御を行いたいユーザー・グループを選択します。
⑥ 選択したユーザー・グループに許可する機能を選択します。機能 利用範囲 Search 検索画面から、ログの検索やCSVダウンロードの利用を許可します。 Archive アーカイブ画面から、ログのダウンロードやレポートのアーカイブの利用を許可します。 Report レポート画面の利用を許可します。
参照を許可するレポートを選択してください。
⑦ 「Add」ボタンをクリックすると、選択した機能が利用できるアカウントを追加します。
「Cancel」ボタンをクリックすると、アカウントの追加を取り止めます。 -
利用範囲の変更
① 利用範囲を変更したいユーザー・グループの「
」アイコンをクリックします。
② 権限追加画面が開くので、利用許可する機能の変更を行います。
③ 「Edit」ボタンをクリックすると、該当ユーザーが利用できる機能を変更します。
「Cancel」ボタンをクリックすると、利用範囲の変更を取り止めます。 -
利用制御するユーザーの削除
① 削除したいユーザー・グループの「」アイコンをクリックします。
② 削除用のダイアログが表示されます。
「Yes」ボタンをクリックすると、選択したアカウントをAccess Control画面から削除します。
「No」ボタンをクリックすると、該当アカウントの削除を取り止めます。
条件付きアクセス制御の設定¶
Warning
Microsoft Entra ID P1以上(旧:Azure Active Directory Premium)のご契約が必要です。
Microsoft Entra ID P1以上のライセンスをお持ちの場合、Microsoft Entra認証(旧:Azure AD認証)に加えて高度なアクセス条件を指定することができます。
お客様のアクセスポリシーに基づいて、LogLook+のレポートアクセスも同等のアクセス制御を設定することができます。
- Microsoft Entra(旧:Azure AD)のグローバル管理者アカウントで、 Microsoft Entra管理センターにサインインします。
- 保護メニューを開き、「Security Center」を選択します。
- 保護タブの「条件付きアクセス」を選択します。
- メニューから「ポリシー」を選択します。
- ポリシー一覧から該当のポリシーを選択します。
- 以下の設定を行い、「保存」ボタンをクリックします。
- 割り当て - ユーザー:規則を適用するユーザーを指定
- アクセス制御 - 許可:アクセス許可の要件を指定
- ポリシーの有効化:オンを選択
詳細はMicrosoftの公式情報をご参照ください。
■チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/app-based-mfa
アラート設定の管理¶
メニューから「Alerts」をクリックして、予め用意されたテンプレートから任意のアラートを設定することが可能です。
LogLook+に取り込まれたログより、アラート項目に該当するログを検知した場合に、設定した通知対象者にアラートメールが送信されます。
プランの構成¶
ご契約いただいているプランにより、設定可能な通知数が異なります。
プラン別の通知数は下記表をご確認ください。
なお、通知数は別途オプション契約により追加することが可能です。
詳細は担当営業もしくは、弊社のサポート窓口 まで問い合わせください。
・プラン比較
| Data Only Plan1 | Data Only Plan2 | Basic | Standard | Enterprise | |
|---|---|---|---|---|---|
| 利用可否 | × | ○ | ○ | ○ | ○ |
| 通知数 | プラン変更が必要 | オプション追加が必要 | オプション追加が必要 | ~50件 | ~100件 |
画面の構成¶
- セッティング:
作成したアラートが一覧で表示されます。
※アラートの設定方法については、アラートの設定 新規 を参照してください。 - テンプレート:
テンプレートの一覧と、テンプレートごとに作成したアラートの一覧が表示されます。 - レポート:
指定期間に検出されたアラートのレポートが表示されます。
セッティング¶
Settings タブをクリックすると、セッティング画面が表示されます。
作成したアラートが一覧で表示されます。
アラートは「
」ボタンから新規に設定することができます。
アラートの設定方法については、アラートの設定 新規 を参照してください。
| 項目 | 概要 |
|---|---|
「 」 |
クリックすると以下のアラート内容が表示されます。
|
| アラート名 | アラートの名称が表示されます。 |
| 実行間隔 | 通知を開始する時刻と実行間隔が表示されます。 |
| 通知先数 | 登録済みの通知先数が表示されます。 |
| 重要度 | 以下の重要度から設定された重要度が表示されます。
|
| アラート閾値 | 設定されたアラート閾値数が表示されます。 アラート閾値を設定不要のテンプレートでは「---」が表示されます。 |
| ワークロード | 設定したアラートに該当するワークロードが表示されます。 |
| アクティブ | 通知が有効な場合はアクティブ、通知が無効な場合は非アクティブが表示されます。 |
「 」 |
クリックすると対象のアラート編集画面が開きます。 アラートの編集方法については、アラートの設定 編集 を参照してください。 |
「 」 |
クリックすると対象のアラート削除画面が開きます。 アラートの削除方法については、アラートの設定 削除 を参照してください。 |
テンプレート¶
Templates タブをクリックすると、テンプレート画面が表示されます。
テンプレートの一覧と、テンプレートごとに作成したアラートの一覧が表示されます。
アラートは「」ボタンから新規に設定することができます。
アラートの設定方法については、アラートの設定 新規 を参照してください。
テンプレートの種類については、テンプレートの一覧 を参照してください。
| 項目 | 概要 |
|---|---|
| 「」 |
クリックすると次の内容が表示されます。 対象のテンプレートで作成したアラートの以下の項目
|
| テンプレート一覧 | 利用可能なアラートテンプレートの名前と説明が一覧で表示されます。 ※ログ収集対象外のワークロードの場合は、グレーアウトしてご利用いただけません。  |
| ワークロード | 設定したアラートに該当するワークロードが表示されます。 |
| 設定数 | 各テンプレートに対して設定されたアラートの総数が表示されます。 |
レポート¶
Reports タブをクリックすると、レポート画面が表示されます。
直近に通知されたアラートの履歴が表示されます。
アラートは「」ボタンから新規に設定することができます。
アラートの設定方法については、アラートの設定 新規 を参照してください。
| 項目 | 概要 |
|---|---|
| フィルター | 以下の項目から任意の値を設定し、フィルター機能を利用できます。
|
| 推移グラフ | 1日ごとのアラート総数を推移グラフで表示します。 |
| AlertName | 各アラート名の数と割合を円グラフで表示します。 |
| Severity | 各アラートの重要度の数と割合をドーナツチャートで表示します。 |
| Workload | 各アラートのワークロードの数と割合をドーナツチャートで表示します。 |
| アラート対象一覧 | 実行されたアラートの一覧が以下の内容で表示されます。
|
アラートの設定¶
新規¶
- 「」ボタンをクリックします。
-
アラートの新規設定画面で各項目の設定をします。
項目 概要 アラートのテンプレート ドロップダウンメニューから新規に設定したいアラートを選択します。 アラートの名前* アラートの名前を30文字以内で入力します。 アラートの説明* アラートの説明を150文字以内で入力します。 アラートの実行間隔 アラートの実行開始時間と実行間隔を設定します。 - 開始時間:
00:00 ~ 23:00の1時間おきで選択 - 繰り返し:
1, 2, 3, 4, 6, 8, 12, 24から選択
9:00 ~ 17:00, 17:00 ~ 1:00, 1:00 ~ 9:00が対象期間となります。
アラートの通知メールについては、アラートの通知メール を参照してください。アラート閾値* 閾値を必要とするテンプレートを選択した場合にアラート対象とする閾値を設定します。
※閾値不要のテンプレートを選択時はグレーアウトアラートの重要度 アラートの重要度を設定します。 アクティブ アラートを実行する場合はオンに設定します。
アラートを実行しない場合はオフに設定します。通知先* アラートメールの送信先を登録します。
※有効な通知先の合計数がSettings 画面の「有効な通知先数」を超えると登録できません。
* :必須入力項目
- 開始時間:
-
「
」ボタンをクリックします。
編集¶
- セッティング画面で編集するアラートの「」アイコンをクリックします。
- 項目を編集します。
※各項目の説明については、アラートの設定 新規 の表を参照してください。
※以下2つの項目は編集できません。変更したい場合は再度新しいアラートを作成してください。- アラートのテンプレート
- アラートの実行間隔
- 「」ボタンをクリックします。
削除¶
- セッティング画面で削除するアラートの「」アイコンをクリックします。
- 内容を確認し、「
」ボタンをクリックします。
アラートの通知メール¶
アラート対象のログが検出された場合、アラートで設定した通知先に通知メールが送信されます。
通知メールは、「alert@loglook.plus」から送信されます。
・通知メールの内容
| 種類 | 概要 |
|---|---|
| アラート名 | アラートで設定した「アラートの名前」が表示されます。 |
| 説明 | アラートで設定した「アラートの説明」が表示されます。 |
| 対象期間 | アラートで設定した「アラートの実行間隔」をもとに対象期間が設定されます。 |
| アラート表 | アラートテンプレートに対応した内容が表示されます。 |
Appendix¶
・テンプレートの一覧
| テンプレート名 | Workload | Operation | 備考 |
|---|---|---|---|
| ユーザーの一定回数以上サインイン失敗 | AzureADSignIn | --- | 対話型、非対話型を含む |
| onmicrosoft.com アカウントの一定回数以上サインイン失敗 | AzureADSignIn | --- | 対話型、非対話型を含む |
| SharePointで一定以上のファイルダウンロードアクティビティ | SharePoint | FileDownloaded | |
| OneDriveで一定以上のファイルダウンロードアクティビティ | OneDrive | FileDownloaded | |
| SharePointでゲストユーザーの一定以上のファイルアクセスアクティビティ | SharePoint | FileAccessed | |
| OneDriveでゲストユーザーの一定以上のファイルアクセスアクティビティ | OneDrive | FileAccessed | |
| SharePointで一定数以上のファイル削除 | SharePoint | FileRecycled | |
| SharePointでゲストユーザーによる一定数以上のファイル削除 | SharePoint | FileRecycled | |
| OneDriveで一定数以上のファイル削除 | OneDrive | FileRecycled | |
| OneDriveでゲストユーザーによる一定数以上のファイル削除 | OneDrive | FileRecycled | |
| SharePointで匿名リンクの作成 | SharePoint | AnonymousLinkCreated | |
| SharePointで匿名リンクを使用したファイルへのアクセス | SharePoint | AnonymousLinkUsed | |
| OneDriveで匿名リンクの作成 | OneDrive | AnonymousLinkCreated | |
| OneDriveで匿名リンクを使用したファイルへのアクセス | OneDrive | AnonymousLinkUsed | |
| SharePointの共有ポリシーの変更 | SharePoint | SharingPolicyChanged | |
| チームの種類をプライベートからパブリックに変更 | MicrosoftTeams | TeamSettingChanged | |
| Teamsのプライベートチャネルの作成 | MicrosoftTeams | ChannelAdded | |
| ゲストユーザーがTeamsのチーム内でファイル共有しました | SharePoint | SharingSet | |
| アプリの作成 | PowerApps | CreatePowerApp | |
| フローの作成 | MicrosoftFlow | CreateFlow | |
| 管理者ロールの追加 | AzureActiveDirectory | Add member to role | |
| 管理者ロールの削除 | AzureActiveDirectory | Remove member from role | |
| 管理者によるユーザー パスワードの強制リセット | AzureActiveDirectory | Set force change user password | |
| 外部ユーザーの追加 | AzureActiveDirectory | Add user | |
| グループ所有者の変更 | AzureActiveDirectory | Add owner to group, Remove owner from group | |
| アカウントが有効化されました | AzureActiveDirectory | Enable account | |
| リスクのあるIPアドレスからのサインイン | AzureADSignIn | --- | 対話型、非対話型を含む |
| 無効化されているアカウントのサインイン | AzureADSignIn | --- | 対話型、非対話型を含む |
| ユーザーの危険なサインインと詳細情報 | AzureADSignIn | --- | 対話型、非対話型を含む |
| 確認されたすべての危険なサインイン | AzureADSignIn | --- | 対話型、非対話型を含む |
| 不可能な移動サインインの検出 | AzureADSignIn | --- | 対話型、非対話型を含む |
| 一定以上のサインインが条件つきアクセス ポリシーによってブロックされました | AzureADSignIn | --- | 対話型、非対話型を含む |
| SharePointのファイルでマルウェア検出 | SharePoint | FileMalwareDetected | |
| OneDriveのファイルでマルウェア検出 | OneDrive | FileMalwareDetected | |
| Exchangeで検出されたDLPルールの一致 | DLP | DLPRuleMatch | |
| SharePointで検出されたDLPルールの一致 | DLP | DLPRuleMatch | |
| OneDriveで検出されたDLPルールの一致 | DLP | DLPRuleMatch | |
| Teams で検出された DLP ルールの一致 | DLP | DLPRuleMatch |