Exchange Online のメッセージ追跡ログを Sumo Logic でログ分析する

オフィスのグループウェアとして Microsoft 365 を採用されている会社は多いと思いますが、そういった場合、Exchange Online を使って日々のメール送受信を行っているかと思います。

送りたい相手に自由に送り、受信させることができることがメールの基本原理であるため、その柔軟性からビジネスにおいてメールは必要不可欠なものとして日常的に使われます。
その特性からサイバーセキュリティにおいて、攻撃の配送経路として使われることが非常に多いため、優先的に守るべきセキュリティとなります。

Exchange Online ではメールの配送履歴（ログ）を記録し、Exchange管理センターで検索することができる「メッセージ追跡」（Message Trace）という機能があります。

そこで皆さんは、この「メッセージ追跡ログ」どうしていますでしょうか？何も分析せず Microsoft 365 上での保存期間が過ぎて捨ててしまっていることはありませんでしょうか？

こういう時に、セキュリティを高めるためSIEM製品に取り込みログ分析をすることができます。
では、SIEM製品に一つである Sumo Logic ではどのように分析できるか見ていきます。

ログの収集

Sumo Logic では、Sumo Logic 自身がクラウドネイティブな SaaS製品 ということもあり、主要な SaaS のログ取り込みについては Cloud-to-Cloud というAPI連携を活用した方法によって、非常に簡単かつ少ない設定でログ収集が行なえるようになっています。

公式のドキュメントに記載がある通り、Azureポータル でのアプリケーションの登録と、API実行の権限をつけてあげるのみです。
また、Sumo Logic では、ソースを作成し、Azure側で設定したID情報やAPIシークレットを登録してあげることでログの収集が開始されます。

App のインストール

Sumo Logic は「アウトオブボックス」と呼ばれる、作り込みの必要がない出来合いのダッシュボードを提供するための App が用意されています。
Microsoft Exchange Trace Logs という名前で App がありますので、これをインストールします。

App は、ソースカテゴリを設定するのみのほぼワンクリックで設定することができます。

分析しよう

メールログを分析する観点についてざっとまとめてみます。

• スパムやフィッシングと判定されたメールが急激に増えていないか
• 送信元のドメイン・IPは国外でないか
• 似たようなタイトルのメッセージが大量に来ていないか
• 添付ファイルを含むような容量の大きいメッセージがないか、または連続して発生していないか
• 他のセキュリティ製品（エンドポイントセキュリティなど）で検知したユーザーのメールのアクティビティに不審なものはないか

では、App を見ながら分析していきます。

Microsoft Exchange Trace Logs - Overview のダッシュボード

「Microsoft Exchange Trace Logs - Overview」のダッシュボードを見ていきます。

メッセージの配信ステータスを日ごとに可視化することによって、どんなステータスのメールが増減しているか分析することができます。
ステータスとして注目すべきは、「Quarantined」、「FilteredAsSpam」、「Spam」などが急激に増えていたりしないかを見ます。

もし何か傾向が読み取れさらに増減を明確に見ていきたい場合などは、下図の赤枠部分をキーボードのShiftを押しながら選択していくことで、特定のステータスだけに絞って分析することができます。

メッセージの送信データサイズの統計情報を可視化することで、日々のデータ送信の傾向を見ることができます。
特に大きい日がないかや、特定の送信者が多くデータを送信していないか確認することができます。

特定の送信者でデータを絞りたい場合は、フィルターの機能を使って分析を行います。

メールタイトルで頻繁に利用されているキーワードを可視化することで、例えばエモテットなど大規模なキャンペーンメールが送られていないか確認することができます。

送信者別のメール配信ステータスの統計を可視化します。
感染してしまい踏み台として活動してしまっているアカウントがないかや、サマリーとしての傾向を把握するなど様々なことに分析することができます。

Microsoft Exchange Trace Logs - Message Monitoring のダッシュボード

「Microsoft Exchange Trace Logs - Message Monitoring」のダッシュボードを見ていきます。

メールのメッセージの送信元IPアドレスがどの国から来ているかを可視化します。
海外から送信されてきたメッセージを分析するのに利用することができます。またはメールアカウントを海外で利用されていることを分析することができます。

メールのメッセージの宛先IPアドレスがどの国に向けて送信されているかを可視化します。
意図せず海外にメールを送信されていないかを分析することができます。またはメールアカウントを海外で利用されていることを分析することができます。

これらのパネルは Sender Address を特定してさらに分析することが可能です。

送信者アドレスが CrowdStrike の脅威インテリジェンスに合致するデータが存在していないか分析することができます。

このクエリにアラートを設定しておき、出力があった場合はさらなる詳細調査を行うことをおすすめします。

まとめ

メールはセキュリティ上、攻撃経路となる可能性が非常に高いツールとなります。
今回は Exchange Online のログを分析する方法についてご紹介させていただきましたが、他のメールソリューションの場合であっても分析観点は同じようなものになります。
Eメールログを分析せず、ただ取得して保存しているだけとならないよう、積極的にSIEMに取り込み分析することをおすすめいたします。