■ 新機能:
▼ [新サービス] 高度な追及のメールとコラボレーションの取得に対応
・高度な追及 (Advanced Hunting) の以下のスキーマの収集に対応しました。
- EmailAttachmentInfo
メールに添付されたファイルに関する情報
- EmailEvents
メールの配信やブロック イベントなど、Microsoft 365 のメール イベント
- EmailPostDeliveryEvents
Microsoft 365 が受信者メールボックスに電子メールを配信した後に配信後に発生す
るセキュリティ イベント
- EmailUrlInfo
メールの URL に関する情報
※高度な追及は Microsoft Defender XDR 機能が使用できるライセンスが必要です。詳細は Microsoft Defender XDR のライセンス要件のドキュメントをご覧ください。
https://learn.microsoft.com/ja-jp/defender-xdr/prerequisites#licensing-requirements
▼ モジュール統合
・これまで「監査ログ」と「メッセージ追跡ログ」の 2 つに分かれていたモジュールを1 つに統合しました。
※旧バージョンからバージョンアップした際は、インストールディレクトリが 1 つに統合されます。バージョンアップの詳細については、インストールマニュアル「5.3. Logstorage Microsoft 365 連携パックのバージョンアップ」をご覧ください。
・収集するログは起動スクリプトの引数で指定します。
event_entraid Microsoft EntraID イベントログ
event_exchange Exchange イベントログ
event_sharepoint SharePoint イベントログ
event_general Microsoft Teams イベントログ等
msg_trace メッセージ追跡ログ
advhunt_email 高度な追及 メールとコラボレーション
・設定ファイルが XML 形式 (collector.xml) になりました。
・以前の監査ログに追加された以下の機能が他のログ収集に対しても適用されます。
- (M365A-320-U02) 通信タイムアウトパラメータの追加
- (M365A-320-U03) ログ取得 API 対象期間パラメータの追加
▼ Logstorage ライセンスチェック機能
・連携パックの実行時に Logstorage ライセンスの有効期限のチェックを行う様になりました。
・Logstorage ライセンスは $LOGST_HOME/conf/licensekey ファイルを参照します。コンソールサーバ―と LogGate が別筐体の場合は、コンソールサーバ―の該当ファイルを LogGate サーバーにコピーしてください。
詳細はマニュアル「6.1. Logstorage ライセンスキーファイルの配置」をご覧ください。
▼ output 出力のログ長上限チェック
・連携パックが出力するログの長さに制限を設け、制限を超えた場合には該当のログを output ディレクトリへ出力せず、専用の illegal ファイルに出力します。
・ログの長さ制限の既定値は、Logstorage が扱えるログメッセージの最大長である 32,767 バイトです。
詳細はインストールマニュアル「I.1. 出力ログのサイズ上限」をご覧ください。
■ 修正・変更点:
▼ Azure Active Directory から Microsoft Entra ID への名称変更対応
・マイクロソフト社にて行なわれた Azure Active Directory (Azure AD) から Microsoft Entra ID へのブランド変更に対応しました。
・Azure AD イベントログを収集する際に指定していたサービス名 (event_azuread) を、Entra ID イベントログ (event_entraid) に変更しました。
・動作ログファイル名やデータファイル名、outputファイル名に使用していた azureadをentraid に変更しました。
・ログフォーマット定義、テンプレート条件に含まれる「Azure Active Directory」の名称を「Microsoft Entra ID」に変更しました。
▼ 認証サービスのエンドポイント更新
・アクセストークンを取得する際の Microsoft の認証サービスのエンドポイントを従来の「login.windows.net 」から最新の「login.microsoftonline.com」に更新しました。
・ファイアウォールに「login.microsoftonline.com」へのアクセスを許可するように設定してください。
詳細はインストールマニュアル「4.2. Logstorage のネットワーク要件」をご覧ください。
▼ 複数テナントでの利用方法改善
・複数テナントからログ収集を行う際の設定、コレクターの起動方法を変更しました。
・資格情報ファイル (credentials.properties)を設定ファイル (collector.xml) に統合しました。
・起動スクリプトの-cオプションを廃止し、-pオプションで設定ファイル、-lオプションで識別名を指定することになりました。
・confディレクトリ以下にあったデータファイルおよびパーシストファイル、outputディレクトリ以下に作成していた一時ファイルをワークディレクトリ以下に移動しました。ワークディレクトリは設定ファイルの<work_directory>で指定します。
※詳細はインストールマニュアル「D.3. 複数テナントの設定方法」をご覧ください
▼ 一時ファイルのクリーンアップ
・コレクター起動時に、出力ディレクトリへ残置している一時ファイル (.tmp) があれば削除する様にしました。
▼ [メッセージ追跡ログ] メール通知機能の廃止準備
・メッセージ追跡ログのメール通知機能は将来廃止することになりました。それに伴い本バージョンでは設定ファイルの既定値からメール通知に関する項目を削除しました。
・機能の削除は行っていないため、従来の設定値を記載することでメール通知機能は動作します。(設定ファイルがXML形式となったことで、設定値の記載箇所は<msg_trace>タグの中になります)
・旧バージョンからバージョンアップを行なった場合の設定値は引き継がれ、メール通知機能はそのまま使用できます。
▼ [監査ログ] ログフォーマット定義・各種テンプレート条件の更新
・以下のアクティビティを追加しました
- ThreatIntelligence(脅威インテリジェンス)
- Quarantine(検疫アクティビティ)
・「Azure Active Directory」の名称を「Microsoft Entra ID」に変更しました。
・新たに追加された操作名に対応しました。
- Teams アクティビティ
・SharePoint のカラムセット定義に「サイトURL」と「ソース対象URL」を追加しました。
・検索条件にアサインされていた条件固有のカラムセットを定義済みのカラムセットに修正しました。
▼ バンドルモジュール・アップデート
・OpenJDK 17.0.12 (build 17.0.12+7) をバンドルしました(*1)。
本バージョン以降、本ソフトウェアで利用する JDK バージョンは Java17 となります。
■ 本バージョンで修正された不具合:
▼ [メッセージ追跡ログ] Pending 処理中のエラー発生によりログが欠損する問題
▼ ファイルレシーバーの監視ディレクトリが不正に書き換えられてしまう問題
▼ [メッセージ追跡ログ] ミリ秒の無いサマリ情報が illegal.log に出力され、LogGate に取り込まれない問題
▼ [メッセージ追跡ログ] filter に Pending を指定した場合に詳細情報ログが重複する問題
▼ 空白を含むパスの問題
▼ [メッセージ追跡ログ] Ver. 2.1.0 へのバージョンアップに失敗する問題
▼ Logstorage の管理 DB のユーザー名/パスワードを変更している場合に、設定テンプレート名称変更スクリプトの実行に失敗する問題
(*1) 下記のコミュニティが提供するソフトウェアを指します。
Eclipse Adoptium (https://adoptium.net)
