Microsoft 365 の監査ログの保存期間は90日間というのはご存じでしょうか?
監査ログでは、ユーザーの操作やアクセス履歴、管理者の操作履歴といった様々なアクティビティを確認することができます。いざという時に必要になる大事なログですので、最低でも1年間は保存しておくのが理想と考えています。

監査ログの長期保存方法

監査ログを90日以上保存するには、例として以下の5つの方法があげられます。

① 定期的にエクスポートして保存しておく (無期限で保存が可能)
② Microsoft 365 E5 または eDiscovery and Audit を利用 (1年間の保存が可能)
③ Advanced Audit Log アドオンを利用 (10年の保存が可能)
④ Microsoft Sentinel にログを取り込む (無期限で保存が可能)
⑤ サードパーティーサービスを利用する

① の定期的にエクスポートする方法は、手動でも自動化するにしても非常に手間のかかってしまう作業です。②、③ のライセンスを購入する方法も、ライセンスに応じてかなりのコストがかかってしまいます。
そこで今回は、④ に挙げた「Microsoft Sentinel にログを取り込む」方法についてご紹介いたします!

Microsoft Sentinel とは

Microsoft Sentinel は様々なセキュリティ関連ログを集めて分析する SIEM(Security Information and Event Management)と呼ばれる製品です。その特徴として、各サービスや製品と簡単に連携できるように様々なコネクタが用意されています。Microsoft 365 とも簡単に接続ができ、ログの取り込みが可能です。

Microsoft Sentinel に取り込んだログは、ポータルからクエリで検索したり、エクスポートすることができます。

Microsoft Sentinel の利用にかかる費用

Microsoft Sentinel にログを取り込む際には、通常ではデータインジェスト費用がかかりますが、Microsoft 365 の監査ログを含む一部のログは無料で取り込むことが可能です。
参考情報:Microsoft Sentinel のコストを計画して管理する | Microsoft Docs

なお、ログの取り込みとは別で、ログの保存には 1GB あたり 17.241円/月 の料金がかかります。

例:Microsoft Sentinel にてログを1年間保存した場合の費用

監査ログの容量はユーザー数や利用頻度などに応じ変動するため一概には言えませんが、200ユーザー規模の企業1日26MB としたとき(弊社調べ)、監査ログを1年間保存した場合の費用を算出してみました。

0.026GB× 31日 × 12か月 × 17.241円 = 166.754円/年

こちらの式をみていただくとわかる通り、Microsoft Sentinel を利用することで、非常に良心的なお値段で監査ログの長期保存をすることができます!

まとめ

Microsoft Sentinel は、ログを用いた脅威の分析など高度な機能を備えたツールとなっていますが、まずは監査ログの保存場所として使ってみるのはいかがでしょうか?

今回ご紹介した監査ログの取得は弊社で設定が可能ですので、ご興味がございましたら是非お気軽にお問い合わせください。