スキップしてメイン コンテンツに移動

投稿

11月, 2022の投稿を表示しています

TA-dmarc add-on for SplunkでExchange Onlineにアクセスしよう

TA-dmarc add-on for Splunk | Splunkbase  でExchange Onlineにアクセスしよう 2022年11月時点ではExchange OnlineのIMAPは基本認証が使えないはずですので、モダン認証(OAuth2)を使う必要があります。WEBアプリ開発者でない方にとってはどうすれば?と途方に暮れているかもしれませんのでお役に立てればと思います。 ということで、最新のSplunkとTA-dmarcをセットアップしましょう。 TA-dmarcの[入力]の[Create New Input]に[DMARC imap(oauth2)]が表示されていることを確認します。 (TA-dmarc v4.1.1以降が必要です) また、この作業を行う前に、DNSでDMARCレコードを公開または「rua=mailto:<EMAIL>」を追記し統計レポートを受け取ることを確認しましょう。 統計レポートはドメインごとに24時間に1度の頻度なので届くのは翌日だと思います。 設定の流れ TA-dmarcで使用するアカウント情報を作成する TA-dmarc Account登録 メールボックスの権限設定 TA-dmarc Inputの登録 動作確認 TA-dmarcで使用するアカウント情報を作成する Azure ADポータルの[管理]>[アプリの登録]を開き、[新規登録]を選択します。 [名前] 管理しやすい名前を付けましょう。 [サポートされているアカウントの種類] 用法に合わせて選択ですが「この組織ディレクトリのみに含まれるアカウント」でよいと思います。 [リダイレクト URL] 「Web」を選び「https://localhost」に設定します。 [登録]を選択すると登録したアプリの[概要]に画面が変わります。 表示された "アプリケーション (クライアント) ID" の値は"Username"として後ほど利用します。 次に[管理]>[証明書とシークレット]を開き[新しいクライアントシークレット]を選択します。 [説明] 任意の名前 [有効期限] セキュリティ面を考慮すると短い方が良いですが運用とのバランスもありますのでお任せします。 [追加]を選択します。 追加されたシークレットの[値]

TA-dmarc add-on for Splunk でDMAR結果の表を作る

    TA-dmarc add-on for Splunk | Splunkbase  を使って表を作ります DMARCレポートをどんなダッシュボードで表現するかを考えるときは、データを眺めるのが一番ですよね。というわけで一覧表示してみましょう。 sourcetype="dmarc:json" | rename feedback{}.record.row.policy_evaluated.disposition as disposition | rename feedback{}.record.row.source_ip as source_ip | rename feedback{}.report_metadata.org_name as org_name  | rename feedback{}.record.row.count as count | rename feedback{}.record.row.policy_evaluated.reason.comment as comment | rename feedback{}.record.row.policy_evaluated.dkim as dkim | rename feedback{}.record.row.policy_evaluated.spf as spf | eval dmarc = if(IN(dkim,"pass") OR IN(spf,"pass"),"pass","fail")  | table disposition, source_ip, org_name,count, dmarc, comment, dkim, spf TA-dmarcで取り込んだデータを読み込みます。 sourcetype="dmarc:json" 表の列名の為にフィールド名を変更します。 正直なところこの書き方がスマートなのかは疑問ですが、TA-dmarcのフィールド名が長いのでとりあえず省略しないとつらいんですよね。 | rename feedfeedback{}.record~略 ~ DMARC結果を表示します。 DKIMとSPFのどちらかがpassだったらDMARCはpassって

TA-dmarc add-on for Splunk でDKIM認証結果を表示する

   TA-dmarc add-on for Splunk | Splunkbase  を使ってDKIM認証結果を表示する DMARCレポートにはDKIM認証の結果は載っているけど、なぜかTA-dmarcではフィールドとして扱っていないんですよね。(なんでだろう?) なので、ひと手間かけないと検索は出来るけど値としては使えないです。 sourcetype="dmarc:json" | eval dkim = spath ( _raw, "feedback{}.record.auth_results.dkim.result") | stats count by dkim TA-dmarcで取り込んだデータを読み込みます。 sourcetype="dmarc:json" dkim認証結果をjsonから抽出します。 spath(X,Y)でXのxmlまたはjsonからYで指定した値を取得できる | eval dkim = spath ( _raw, "feedback{}.record.auth_results.dkim.result") 円グラフで表現したい場合は stats を使用すると良いです。 | stats count by dkim 折れ線グラフなら timechart を使います。 | timechart count by dkim SPF認証についても"dkim"を"spf"に置き換えることで取得できます。

TA-dmarc add-on for Splunk でDMARC合否を表示する

  TA-dmarc add-on for Splunk | Splunkbase  を使ってDMARCレポートから合否を表示する。 DMARCレポートってSPFとDKIMの結果は載っているけどDMARCは載ってないんですよね。 なので、二つの結果のどちらかがPassすればPassという式が必要で次の検索コマンドを使うことで求めることが出来ます。 sourcetype="dmarc:json" | rename "feedback{}.record.row.policy_evaluated.dkim" AS dkim | rename "feedback{}.record.row.policy_evaluated.spf" AS spf | eval dmarc = if(like(dkim, "pass") OR like(spf, "pass"), "pass", "fail") | table dkim, spf, dmarc TA-dmarcで取り込んだデータを読み込みます。 sourcetype="dmarc:json" フィールド名が長いので短い名前に変更します。 | rename "feedback{}.record.row.policy_evaluated.dkim" AS dkim | rename "feedback{}.record.row.policy_evaluated.spf" AS spf dkimの値を求めます dkim 又は spf もしくは両方が"pass"だったら"pass"を"dmarc"に代入します。 文字列比較なので like(TEXT, PATTERN) を使います。 | eval dmarc = if(like(dkim, "pass") OR like(spf, "pass"), "pass", "fail") 結果を表として表示します。 | table dkim, spf,

Outlook On the Webに挑戦してみた。

そういや、M365を使っている会社のExchangeメールって、アプリのOutlookを使ってるのが多いんでしょうかね。 前々職や前職はそうで、PCのインデックス作成に時間がかかるわ、ostファイルが肥大化したり不整合を起こして使えなくなるわで、いい印象がないんだけど… — うさみこ@愛犬好き (@usamiko) 2022年11月14日 Microsoft365界隈ではWindows版Outlookを使わず、ブラウザ版のみを使っている人がいる。 私はというと、所属組織のメールシステムを去年Exchange Onlineに統一するまでは、Exchange Serverを社内向け、SMTP/POP3 Serverを社外送受信と使い分けていたため、Windows版Outlook+Thunderbirdなどを使っていた関係で、いまだにWindows版を利用している。 Exchange Onlineの利便性をフルに活用する為にはブラウザ版が適しているのは知っているので上のツイートをきっかけにブラウザ版だけで過ごしてみようとチャレンジしてみた感想をお伝えしたい。 Microsoft EdgeサイドバーのOutlookが使いやすい クリック一つでメールやスケジュールなどを利用できる点についてはWindows版が優れている。常に起動しておけばよいからだ。メモリーを消費するという声が聞こえるけど、TeamsやEdge、Chromeに比べればかわいいものだ。 ブラウザ版でも常に開いておけばよいという思うが、ウインドウを閉じてしまうと閉じてしまう。タブで切り替えながら使ってはいるけどやっぱり閉じてしまうのでクリック一つで開くことはできない。 その中で便利と感じたのが先月一般リリースされたサイドバーのOutlook。どのウィンドウでもクリック一つで受信トレイが表示できる。タブの切り替えなどにも影響しないのでとても便利だ。受信トレイを使った送受信ならこれで十分だし、ブラウザ版を開きたければその中にある”全画面で開く”をクリックすればすべての機能が使える点がとても良い。 通知が来ない ブラウザ版にも通知という機能はあるが、ブラウザを開いていなければ通知が表示されない。私の環境が悪いのかブラウザ版を開いていなければ通知は受けられなかった。 Windows版を常に起動し通