Microsoft Sentinel とのインテグレーション – Miro Help Center

概要

Miro コネクターは、Miro REST APIを使用して、監査ログおよびコンテンツ活動ログを Microsoft Sentinel に取り込みます。これにより、Microsoft Sentinel 内で Miro ワークスペース活動の監視が集中化され、セキュリティーの脅威検出、インシデント調査、コンプライアンスの報告が可能です。

データコネクター

このソリューションには2つのデータコネクターが含まれています。

コネクター	プランの要件	キャプチャする内容	参考資料
Miro 監査ログ (Enterprise プラン)	Enterprise プラン	ユーザー認証、コンテンツアクセス、チームの変更、管理操作を含む組織全体の監査イベント。	API ドキュメント \| 監査ログ概要
Miro コンテンツログ (Enterprise プラン + Enterprise Guard)	Enterprise プラン + Enterprise Guard アドオン	アイテムの作成、更新、削除に関するコンテンツ活動の追跡情報で、コンプライアンスとeDiscoveryをサポートします。	APIドキュメント \| コンテンツログ概要

前提条件

一般的な要件

アクティブな Microsoft Sentinel ワークスペース。
Miro 組織の会社の管理者ロール。
Miro OAuth アクセストークン（非期限切れ）。

コネクタ固有の要件

監査ログコネクタの場合

Miro Enterprise プラン。
OAuth スコープ: auditlogs:read。
アクセストークン。

コンテンツログコネクタの場合

Miro Enterprise プラン + Enterprise Guard アドオン。
OAuth スコープ：contentlogs:export。
アクセストークン。
Miro 組織 ID。

インストール

Miro コネクターを設定する方法は2通りあります。

オプション 1（推奨）： エンタープライズインテグレーションを使用します。自動的にトークンを生成する最も簡単なセットアップです。
オプション 2（代替案）： カスタム OAuth アプリケーションを作成します。OAuth アプリ設定をより細かくコントロールできます。

注意: オプション 1 を使用する場合、インテグレーションは自動的に組織内でユーザー数が最も多いチームに結びつけられます。オプション 2 を使用する場合、アプリをインストールするチームを選択できます。ただし、チームの選択は収集されるログには影響しません。どちらのオプションも組織全体のログアクセスを提供します。すべてのチームの関連するイベントがログに含まれます。

オプション 1: Enterprise インテグレーションを使用する（推奨）

これは、多くのユーザーにとって最もシンプルなオプションです。Miro のエンタープライズインテグレーション設定を通じて、自動的に OAuth アプリケーションを作成し、アクセストークンを生成します。

監査ログコネクターの場合

Miro の会社設定を開く。
アプリとインテグレーションセクションを展開する。
Enterprise インテグレーションをクリックする。
SIEMトグルを有効にする。
アクセストークンの値をコピーする。
トークンを安全に保管する。

コンテンツログコネクタ用

Miroの会社設定を開きます。
アプリとインテグレーションセクションを展開します。
Enterpriseインテグレーションをクリックします。
eDiscoveryトグルを有効にします。
表示されたアクセストークンの値をコピーします。
ブラウザーのURLから組織IDを取得します:
- ブラウザーのURLを確認して組織IDを探します。
- URLの形式: https://miro.com/app/settings/company/{ORGANIZATION_ID}/
- URLから組織ID（数値）をコピーします。
トークンと組織IDを安全に保管してください。

オプション2: カスタムOAuthアプリケーションの使用（代替）

このオプションは、OAuthアプリケーションの設定をより自由に管理できます。スコープをカスタマイズしたり、複数のインテグレーションを管理したり、手動でOAuthアプリを管理したい場合に使用してください。

ステップ 1：Miro OAuth アプリケーションを作成する

Miro アカウントにログインします。
Miro のアプリ設定に進みます。
新しいアプリを作成をクリックします。
アプリ作成時に期限のないアクセストークンオプションを選択します（OAuth トークンについて詳しくはコチラをご覧ください）。
必要な OAuth スコープを有効にします：
- auditlogs:read は監査ログコネクターのため。
- contentlogs:export はコンテンツログコネクターのため（Enterprise Guard が必要です）。
アプリをインストールして OAuth トークンを取得する をクリックします。
アクセストークン をコピーし、安全に保管します。

OAuth の詳しいセットアップ方法については、OAuth のはじめ方をご覧ください。

ステップ 2：コンテンツログ専用オーガニゼーションIDの取得

Miro の会社設定に移動します。
ブラウザのURLを確認し、組織IDを見つけます:
- URLの形式は次の通りです: https://miro.com/app/settings/company/{ORGANIZATION_ID}/。
- URLから組織ID（数値）をコピーします。

Microsoft Sentinelでソリューションを展開する

Microsoft Sentinel で、コンテンツハブに移動します。
「Miro」を検索し、ソリューションをクリックします。
インストールをクリックし、展開ウィザードに従います。
Log Analytics ワークスペースを選択します。
インストールを完了します。

データコネクタの設定

Miro 監査ログコネクタ

Microsoft Sentinel でデータコネクタに移動します。
Miro 監査ログ (Enterprise プラン)を見つけてコネクタページを開くをクリックします。
接続をクリックします。
アクセストークンを入力します。
コネクタを有効にするために接続をクリックします。

Miro コンテンツログコネクタ

Microsoft Sentinel で、データコネクター に移動します。
Miro Content Logs (Enterprise Plan + Enterprise Guard) を見つけ、コネクターページを開く をクリックします。
接続をクリックします。
組織ID を入力します。
アクセストークン を入力します。
接続をクリックしてコネクターを有効化します。

データの取り込みはコネクターの有効化後、5～10分以内に開始します。

データテーブル

MiroAuditLogs_CL

組織レベルの監査イベントには以下が含まれます：

ユーザー認証とアクセス。
コンテンツオペレーション。
チームと組織の変更。
ユーザープロフィールの変更。
管理操作。

主要列

カラム	説明
`TimeGenerated`	イベントのタイムスタンプ。
`event`	特定のアクションや活動を識別するイベント名。
`logType`	ログエントリのタイプ。
`category`	関連するイベントをグループ化するイベントカテゴリ。
`createdBy_email`	イベントを引き起こしたユーザー。
`context_ip`	イベントのIPアドレス。
`details`	イベント固有の追加情報（JSON）。

MiroContentLogs_CL

コンテンツレベルの活動ログには以下が含まれます：

ユーザーの関連情報やタイムスタンプを含むアイテムレベルの操作。
状態の遷移と変更。
コンプライアンスおよびeDiscoveryのための活動追跡。

主要なカラム

カラム	説明
`TimeGenerated`	イベントのタイムスタンプ。
`actionType`	コンテンツに対して実行されたアクションの種類。
`actor_email`	アクションを実行したユーザー。
`itemType`	対象コンテンツアイテムの種類。
`contentId`	コンテンツの一意の識別子。
`state`	アイテムの状態情報（JSON）。

サンプルクエリ

最近の監査イベントを閲覧

MiroAuditLogs_CL
| sort by TimeGenerated desc
| project TimeGenerated, event, category, createdBy_email, context_ip
| take 20

ユーザーとイベントタイプによるアクティビティ

MiroAuditLogs_CL
| summarize EventCount = count() by createdBy_email, event, category
| order by EventCount desc

ユーザーによるコンテンツの変更

MiroContentLogs_CL
| where TimeGenerated > ago(7d)
| summarize Changes = count() by actor_email, actionType
| order by Changes desc

時間におけるイベントの傾向

MiroAuditLogs_CL
| summarize count() by event, bin(TimeGenerated, 1h)
| render timechart

最もアクティブなユーザー（コンテンツ変更）

MiroContentLogs_CL
| where TimeGenerated > ago(30d)
| summarize TotalActions = count() by actor_email
| top 10 by TotalActions desc

トラブルシューティング

データが表示されない

アクセストークンが有効で、正しいスコープを持っていることを確認してください。
コンテンツログの場合、組織にEnterprise Guardアドオンがあることを確認してください。
組織IDが正しいことを確認してください（コンテンツログの場合）。
初回のデータ取り込みには5～10分かかることがあります。
データコネクタ ページでコネクタのステータスを確認してください。

認証エラー

オプション 1 を使用している場合（Enterprise インテグレーションのトグル）

Miro の会社設定に移動し、アプリとインテグレーションを展開し、Enterprise インテグレーションをクリックします。
トグル（監査ログのための SIEM、コンテンツログのための eDiscovery）がまだ有効化されていることを確認します。
他の管理者がトグルを無効化した場合、そのトークンは無効になります。
新しいトークンを生成し、コネクタ設定を更新するためにトグルを再度有効化します。
Miro で会社の管理者の役割を持っていることを確認します。

オプション 2 (カスタム OAuth アプリ) を使用する場合

Miro アプリ設定でトークンが無効になっていないことを確認します。
OAuth アプリケーションに必要なスコープが有効であることを確認します。
必要に応じてトークンを再生成し、コネクタ設定に更新します。
あなたが Miro の会社の管理者の役割を持っていることを確認します。

コンテンツログが動作していない

Miro プランに Enterprise Guard アドオンが含まれていることを確認してください（ベースとなる Enterprise プランには含まれていません）。
OAuth スコープ contentlogs:export が有効になっていることを確認してください。
組織 ID が正しいことを再確認してください。
Enterprise Guard へのアップグレードが必要な場合は、Miro アカウントマネージャーにお問い合わせください。

リソース

Miro ヘルプセンターのリソース

Miro 監査ログ: https://help.miro.com/hc/en-us/articles/360017571434-Audit-logs。
Miro コンテンツログ: https://help.miro.com/hc/en-us/articles/17774729839378-Content-Logs-overview。
Miro Sentinel インテグレーションガイド: https://help.miro.com/hc/en-us/articles/31325908249362。

Miro 開発者ドキュメント

Enterprise API 入門: https://developers.miro.com/docs/getting-started-with-enterprise-api.
OAuth 入門: https://developers.miro.com/docs/getting-started-with-oauth.
OAuth トークン認証: https://developers.miro.com/reference/authorization-flow-for-non-expiring-access-tokens.
監査ログ API: https://developers.miro.com/reference/enterprise-get-audit-logs.
コンテンツログ API: https://developers.miro.com/reference/enterprise-board-content-item-logs-fetch.
API リファレンス: https://developers.miro.com/reference.