ESA の Azure AD およびオフィス 365 メールボ
ックスの設定方法設定
目次
はじめに メールボックス オート治療プロセスフロー 前提条件 パブリックのおよび Private 証明書およびキーペア構築 証明書: Unix/Linux (openssl を利用する) 証明書: Windows (PowerShell を利用する) Cisco E メール セキュリティと併用するための紺碧アプリケーションの登録 アプリケーション 登録 証明書および秘密 API 権限 クライアントID および借用者 ID を得ること Cisco E メール セキュリティの設定 接続をチェックして下さい Mail ポリシーの 3 月を有効に して下さい メールボックス オート治療レポート例 メールボックス オート治療ロギング ESA のトラブルシューティング トラブルシューティング Azure AD 関連情報概要
この資料は必要な ID を生成し、Cisco E メール セキュリティ アプライアンス(ESA)でオフィ ス 365 メールボックス設定のための設定を完了するために Windows Azure の新規アプリケーシ ョンを登録するためにステップバイステップ「ハウツー」を提供したものです。 ESA 管理者が Advanced Malware Protection (AMP)、Microsoft Office 365 LDAP コネクタ、またはオフィス 365 のための Cisco 脅威 アナライザのオンprem バージョンを実行するためのメールボックス オ ート治療(3 月)を設定するときこれが必要となります。Microsoft Exchange は大規模 な組織に中型によってグローバルに使用される標準メール システ ムの 1 ついままで常にでした。 クラウド アプリケーションの上昇によって、Microsoft はホスト された Exchange サーバおよび Azure Active Directory を含むクラウド動力メールおよびクラウド ベースのソフトウェアを提供するのにオフィス 365 を利用します。
Cisco E メール セキュリティはスパム、phishing 不正侵入およびウイルスから、およびファイル 評判のために Advanced Malware Protection (AMP)およびファイル 分析のために Cisco 脅威 グリッドを利用する拡張 な malware 保護と Microsoft Exchange を保護します。
Cisco E メール セキュリティが他の保護 サービスを取囲む間、このガイドは Microsoft Office 365 顧客が ransomware のような悪意のあるゼロ日不正侵入からメールボックスをどのように保護で きるか説明します。 それステップ AMP と統合設定オフィス 365 メールボックス オート治療(3
月)の詳細を通した読者。
メールボックス オート治療プロセスフロー
ファイルは悪意のあるようにユーザのメールボックスに達した後でさえもいつでも記録されるか もしれません。 新しい情報が Cisco E メール セキュリティに現れ、回顧アラートを押すと同時に AMP および Cisco 脅威 グリッドはこの開発を識別できます。 E メール セキュリティ用の
AsyncOS によって、得ま多くによりちょうど警告 します。 組織がオフィス 365 をメールボック スを管理すればのに使用している場合脅威評決が変更するときユーザのメールボックスでメッセ ージの自動治療操作を行うために Cisco E メール セキュリティを設定できます。
Cisco E メール セキュリティは Microsoft Azure Active Directory とオフィス 365 メールボックス へのアクセス権を得るために直接安全に通信し。 添付ファイルが付いているメールが ESA によ って処理され、AMP によってスキャンされる場合、ファイルの添付(SHA256)はファイル評判 に AMP に提供されます。 AMP 開封はきれいとしてマークすることができます(ステップ 5、図 1)、および端受信者の O365 メールボックスにそれから渡されて。 後で、AMP 開封は悪意のあ るに、Cisco 脅威 グリッド送信します回顧評決アップデート(ステップ 8 を、SHA256 を処理し たあらゆる ESA への図 1)変更されます。 ESA が悪意のあるの回顧評決アップデートを、もし 設定するなら受信すれば、ESA はそれから 3 月次の処置をとります: 、削除は前方、転送し、削 除します。
図 1: Microsoft Office 365 が付いている Cisco E メール セキュリティ通信
このガイドはメールボックス オート治療だけのための O365 で Cisco E メール セキュリティを設 定する方法をカバーすることです。 AMP は(ファイル評判およびファイル 分析)既に設定する 必要があります。 ファイル評判およびファイル 分析に関する更に詳しい情報については、展開 した AsyncOS のバージョンのためのユーザガイドを参照して下さい。
前提条件
公共証明書(CER)を作成するアクティブな公共の(または private)証明書(CER)およ び証明書(PEM)に署名するのに使用されるプライベートキーまたは証明書(PEM)に署 名するのに使用されるプライベートキーを保存する機能および能力。 Cisco はこれを管理 プリファレンスに基づいて終らせるためにこの資料の 2 つのメソッドを提供します: 証明書: Unix/Linux/OS X (openssl を利用する)証明書: Windows (PowerShell を利用する) 1. 通常 Unix/Linux によってターミナル アプリケーションに Windows ホストからかサーバ-ま たはアクセス管理される Windows PowerShell へのアクセス、 2. オフィス 365 アカウント サブスクリプションがエンタープライズ E3 またはエンタープラ イズ E5 アカウントのような Exchange にアクセスが、含まれていることをオフィス 365 ア カウント サブスクリプション(確かめて下さい。) 3.http://portal.azure.com への Microsoft Azure 管理者 アカウントおよびアクセス 4.
オフィス 365 および Microsoft Azure 両方 AD アカウントは [email protected] アクティブ な eメールアドレスにきちんと結ばれ、そのドメインおよびアカウントによってメールを送 信 し、受信できます
5.
Microsoft Office 365 LDAP コネクタは Cisco から提供される E メール セキュリティ バージ ョン 11.1 または それ 以降およびクラウド E メール セキュリティ(CES) LDAP 資格情報 のために AsyncOS を必要とします。 詳細については、参照して下さい: LDAP コネクタへ の Azure 6. Azure AD に戻って ESA メールボックス コネクタを設定するために次の 4 つの値を作成します: クライアントID 1. 借用者 ID 2. 拇印 3. .pem 形式の証明書 プライベートキー 4. これらの必要な値を構築するために、この資料のステップを完了する必要があります。 ヒント: それらがコンフィギュレーションのステップの必要とされた以降であるので、出 力を $base64Value、$base64Thumbprint および $keyid のためにローカルで保存して下さ い。 コンピュータの利用可能 な、ローカル フォルダで証明書の .crt および関連する .pem を持って下さい。
パブリックのおよび Private 証明書およびキーペア構築
注: 既に証明書このセクションをスキップしなさい(x509 形式/規格)およびプライベート キーがあっている場合。 来るセクションでそれらを必要とするので CRT および PEM 両方 ファイルがあることをことを確かめて下さい、!
証明書: Unix/Linux (openssl を利用する)
作成されるべき値: ●拇印 ●公共証明書(CRT ファイル) ●プライベートキー(PEM ファイル) 提供されたスクリプトの目的および実行のために Unix/Linux/OS X を、使用している管理者それ は OpenSSL がインストールしたあると仮定してあります。 注: openssl」および「openssl バージョン」OpenSSL インストールを確認するためコマン ドを「実行して下さい。 ない場合 OpenSSL をインストールして下さい! 支援については次に挙げるドキュメントを参照して下さい: Cisco E メール セキュリティ用の Azure AD 設定 スクリプト ホスト(X) UNIX/Linux/OS から: ターミナル アプリケーションから、テキストエディタは次のコピーによって(しかしまた は快適でシェル スクリプトを作成します)、スクリプトを作成します: https://raw.githubusercontent.com/robsherw/my_azure/master/my_azure.sh 1. スクリプトを貼り付けて下さい 2. スクリプト実行可能モジュールを作ることを確かめて下さい! 次のコマンドを実行します。 chmod u+x my_azure.sh3.
スクリプトを実行して下さい: ./my_azure.sh 4.
図 2 見るように、スクリプトは Azure App 登録のために必要とされる公共証明書(CER ファイ ル)を構築し、呼出します。 スクリプトはまた theThumbprintandCertificate プライベートキー (PEM ファイル)を Cisco E メール セキュリティ セクションの設定で使用する呼出します。 Microsoft Azure のアプリケーションを登録する必要な値があります! [次の セクションをスキップして下さい! Cisco E メール セキュリティで使用のための紺碧アプリ ケーションの登録に進んで下さい。]
証明書: Windows (PowerShell を利用する)
Windows を使用している管理者に関してはアプリケーションを利用するか、または自己署名証明 書を作成する知識を持つ必要があります。 この証明書は Microsoft Azure アプリケーションを作 成し、API コミュニケーションを関連付けるために使用されます。 作成されるべき値: ●拇印 ●公共証明書(CRT ファイル) ●プライベートキー(PEM ファイル) 自己署名証明書を作成するこの資料のための例は XCA (https://hohnstaedt.de/xca/ を、 https://sourceforge.net/projects/xca/) 使用しています。注: XCA は Mac、Linux、または Windows のためにダウンロードすることができます。
1. 証明書およびキーのためのデータベースを作成して 下さい: a. ツールバーから『File』 を選択 して下さい b. データベースを『New』 を選択 して下さい c. データベースのためのパスワードを作成して下 さい (後の手順でそれを必要とします、従ってそれを 覚えて下さい!) 2. Certificates タブをクリックし、そして証明書を『 New』 をクリック して下さい 3. 認証対象タブをクリックし、次を記入して下さい: a. 内部名 b. countryName c. stateOrProvinceName d. localityName e. organizationName
f. organizationalUnitName (OU) g. commonName (CN) h. emailAddress 4. New 鍵を『Generate』 をクリック して下さい 5. ポップアップで、提供された情報を確認して下さい (望まれる変更します): a. 名前 b. Keytype: RSA c. Keysize: 2048 ビット d. 『Create』 をクリック して下さい e. 「正常に作成しました『OK』 をクリック する ことによって RSA プライベートキー「名前」」 ポップアップを確認して下さい 図 3: の使用 XCA (ステップ 3-5) 6. キー使用法タブをクリックし、次を選択して下さい: a. X509v3 キー使用法の下: デジタル署名、キー暗号化 b. X509v3 によって拡張されるキー使用法の下: E メール 保護 図 4: XCA (ステップ 6)の使用 7. 証明書への変更を加えるために『OK』 をクリック して下さい 8. 「正常に作成しました『OK』 をクリック すること によって証明書「名前」」ポップアップを確認して下 さい 次に、公共証明書(CER ファイル)をエクスポートしたいと思い、PowerShell の使用のための 証明書 プライベートキー(PEM ファイル)は次にの上で、および Cisco E メール セキュリティ ステップの設定の使用のために命じます: 1. 新しく作成された証明書の内部名をクリックし、強 調表示して下さい。 2. 『Export』 をクリック して下さい a. アクセスの容易さのための保存ディレクトリを 設定 して下さい(望まれる変更する) b. 保証して下さいエクスポート形式を設定 されま すに PEM (.crt) c. [OK] をクリックします。
図 5: XCA (エクスポート CRT)の使用(ステップ 1-2) 3. プライベートキー タブをクリックして下さい 4. 新しく作成された証明書の内部名をクリックし、強 調表示して下さい。 5. 『Export』 をクリック して下さい a. アクセスの容易さのための保存ディレクトリを 設定 して下さい(望まれる変更する) b. 保証して下さいエクスポート形式を設定 されま すに PEM private (.pem)
c. [OK] をクリックします。 6. 密接な XCA 終了すれば 図 6: XCA (エクスポート PEM)の使用(ステップ 3-5) 最終的には、作成された証明書を奪取 し、Cisco E メール セキュリティを設定するために必要で ある Thumbprint を得ます。 Windows PowerShell を使用する、次を実行して下さい: 1.
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $cer.Import("c:\Users\joe\Desktop\myCert.crt")
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin) $bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
$keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]
次のステップの値を取得するため、クリップボードにファイルまたはコピーに保存します: 2.
$base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt $base64Thumbprint 注: 「c:\Users\joe\Desktop…」 出力を保存している PC の位置はあります。 PowerShell コマンドを実行することが次に類似した好むはずである場合の期待された 出力: PS C:\Users\joe\Desktop> $base64Thumbprint 75fA1XJEJ4I1ZVFOB2xqkoCIh94= 見るように、PowerShell コマンドは ESA 設定のために必要とされる拇印である base64Thumbprint を呼出します。
また Azure App 登録のために必要とされる公共証明書(CER ファイル)を作成することを完了 しました。 そして証明書 プライベートキー(PEM ファイル)を Cisco E メール セキュリティ セ クションの設定で使用する作成しました。 Microsoft Azure のアプリケーションを登録する必要な値があります!
Cisco E メール セキュリティと併用するための紺碧アプリケーシ
ョンの登録
アプリケーション 登録
Microsoft Azure ポータルへのログイン1. Azure Active Directory (図 7)をクリックして下さ い 2. アプリケーション登録をクリックして下さい 3. 新登録を『+』 をクリック して下さい 4. 「レジスタ アプリケーション」ページ: a. [Name]: Cisco E メール セキュリティ 3 月 (または選択の名前) b. サポートされた勘定科目の種類: この組織ディ レクトリだけのアカウント(アカウント名) c. リダイレクト URI: (オプション) [注: このブランクを残すことができますまたは書 き込み式用の https://www.cisco.com/sign-on を使 用すること自由に感じて下さい] d. ページの一番下に、『register』 をクリック し て下さい
図 7 Microsoft Azure > Azure Active Directory 上で指名されるようにアプリケーション画面を、示されます: 図 8: Microsoft Azure アプリケーション登録 ページ
証明書および秘密
管理オプションのアプリケーション ペイン、… 証明書及び秘密を選択して下さい 1. 証明書を『Upload』 をクリック して下さい 2. CRT ファイルを(先にから作成される)選択して下さい 3. [Add] をクリックします。 4.API 権限
管理オプションのアプリケーション ペイン、… API 権限を選択して下さい 1. 追加します権限を『+』 をクリック して下さい 2. サポートされたレガシー API にスクロールし、Exchange を選択して下さい 3.delegated 権限の下記の権限を選択して下さい: EWS > 「EWS.AccessAsUser.All」
(Exchange Web サービスによるユーザ署名のとしてアクセス メールボックス)Mail > 「 Mail.Read」(読まれたユーザ メール)Mail > 「Mail.ReadWrite」(ユーザ メールを書けば 読まれる)Mail > 「Mail.Send」(ユーザとしてメール送信)
4.
スクロールして下さいペインの上に… 5.
アプリケーション権限の下記の権限を選択して下さい: 「full_access_as_app」(すべてのメ ールボックスへのフルアクセスを用いる使用 Exchange Web サービス)Mail > 「
Mail.Read」(読まれたユーザ メール)Mail > 「Mail.ReadWrite」(ユーザ メールを書けば 読まれる)Mail > 「Mail.Send」(ユーザとしてメール送信) 6. オプション: Microsoft グラフが「User.Read」権限のためにデフォルトで有効に なること がわかります; 設定されるようにこれを残しか、または読まれてクリックし、アプリケーシ ョンに関連付けられる API 権限からこれを取除くために権限を『Remove』 をクリック す ることができます。 7. Microsoft グラフが既にリストされていた場合権限『Add』 をクリック して下さい(または 更新権限を、) 8. 最終的には、新しい権限がアプリケーションに適用されるようにするアクセス許可 admin 同意をのための…クリックして下さい 9. 頼む内部ペイン ポップアップがあります: 10. 「<Azure Name> のすべてのアカウントの要求されたアクセス許可のための同意を許可した いと思いますか。 これは既存の admin 同意を記録しますこのアプリケーションを既になりま せん下記にリストされている」。ものを一致するアップデートします 『Yes』 をクリック して下さい この時点で、示されている類似した許可されるグリーン成功 メッセージおよび「Admin 同意によ って必要とされる」列の表示が現れるはずです:
図 9: Microsoft Azure アプリケーション登録(必要な権限 API)
クライアントID および借用者 ID を得ること
管理オプションのアプリケーション ペイン、… 概要をクリックして下さい 1. アプリケーション(クライアント)の右へマウスに ID クリップボードに『Copy』 をクリッ ク すれば 2. これをメモ、Notepad、Notepad++、等に貼り付け、「クライアントID」として注意して下 さいこれに 3. ディレクトリ(借用者)の右へマウスに ID クリップボードに『Copy』 をクリック すれば 4. これをメモ、Notepad、Notepad++、等に貼り付け、「借用者 ID」として注意して下さいこ れに 5.図 10: Microsoft Azure アプリケーション登録(アプリケーションおよびディレクトリ ID 位置)
Cisco E メール セキュリティの設定
作成された値: ●クライアントID ●借用者 ID ●拇印 ●プライベートキー(PEM ファイル) 現時点で、準備される表で表示される 4 つの値があるはずです: クライアントID、借用者 ID、拇 印、プライベートキー(PEM ファイル)。 使用可能作成された値で、ESA の 3 月を設定します。 ESA へのログイン 1. システム 管理 > メールボックス設定へのナビゲート 2. 『Enable』 をクリック して下さい 3. イネーブル オフィス 365 メールボックス設定のためのチェックボックスをクリックして下 さい 4. クライアントID で入力して下さい 5. 借用者 ID で入力して下さい 6.Thumbprint で入力して下さい(Thumbprint は「パブリックのおよび Private 証明書および キーペア」構築で作成されました先に) 7. 証明書 プライベートキーに関しては、『File』 を選択 し、選択します PEM ファイルをクリ ックして下さい(「パブリックのおよび Private 証明書およびキーペア」構築で先に作成さ れる) 8.
[Submit] をクリックします。 9. 成功 メッセージが表示されます(図 11) 10. 保存します UI の上部右手の変更をクリックして下さい 11. コメントで入力し、クリックによってコンフィギュレーション変更を保存します変更を完 了して下さい 12. 図 11: ESA 設定(メールボックス設定)
接続をチェックして下さい
次のステップは ESA からの Microsoft Azure への API 接続を確認することです。
Settings ページ同じメールボックスからクリックして下さいチェック接続を… 1. O365 アカウントで管理されるドメインのための有効な eメールアドレスで入力して下さい 2. 接続を『Test』 をクリック して下さい 3. 成功 メッセージを受け取る必要があります(図 12) 4. 終わるために『Done』 をクリック して下さい 5.
図 12: 設定 ESA (チェック接続…)
イネーブルは Mail ポリシーで傷つきます
最後の段階はメール ポリシーのための AMP 設定の 3 月を有効に することです。 ポリシー > 着信メール ポリシーを郵送するナビゲート 1.設定したいポリシー名のための Advanced Malware Protection カラムの設定をクリックして 下さい(前。、図 13): 2. 図 13: イネーブルは傷つきます(着信メール ポリシー) ページの一番下にスクロールして下さい 3. クリックして下さいイネーブル メールボックス オート治療(3 月)のためのチェックボッ クスを 4. 3 月の間奪取 したい次のいずれかの操作を選択して下さい: に転送して下さい: eメールアド レスの <enter >削除に転送して下さい: eメールアドレス > および削除の <enter
図 14: イネーブルは傷つきます(AMP 設定) [Submit] をクリックします。 6. 保存します UI の上部右手の変更をクリックして下さい 7. コメントで入力し、クリックによってコンフィギュレーション変更を保存します変更を完了 して下さい 8. 完全な設定! Cisco E メール セキュリティ現時点で新しい情報がネットワークに入った後脅威のために判別さ れるファイルについて利用可能、に知らせているようになるので絶えず出現は脅威を評価して準 備ができています。 回顧評決が Cisco 脅威 グリッドから生成 されるとき、ヒント メッセージは E メール セキュリテ ィ 管理者に送られます(もし設定するなら): 図 15: Cisco E メール セキュリティ回顧評決情報 メッセージ例 メールボックス オート治療はメール ポリシーに対して設定されるとしてもし設定するなら奪取 されます。
メールボックス オート治療レポート例
remediated あらゆる SHA256 のための報告は E メール セキュリティ アプライアンス(ESA)お よびセキュリティ管理 アプライアンス(SMA)で両方利用可能 な メールボックス オート治療レ ポートにです。 図 16: E メール セキュリティ アプライアンス メールボックス オート治療レポート例(モニタ > メールボックス オート治療) 図 17: セキュリティ管理 アプライアンス メールボックス オート治療レポート例(モニタリング > Advanced Malware Protection: メールボックス オート治療)
メールボックス オート治療ロギング
メールボックス オート治療に個々のログが、「3 月」あります。 メールボックス オート治療ロ グは Cisco E メール セキュリティおよび Microsoft Azure および Microsoft O365 間のすべての通 信アクティビティが含まれています。
3 月ログの例:
Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000 Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD. Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD. Fri May 31 01:17:58 2019 Info: Token request successful.
Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's([email protected]) mailbox.
Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391
SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:[email protected].
Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's ([email protected]) mailbox. Tue Jun 4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938
SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:[email protected].
Tue Jun 4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's ([email protected]) mailbox.
ESA のトラブルシューティング
接続ステータスのための正常な結果はテストすることを見なければ、Azure AD から実行された アプリケーション 登録を検討したい場合もあります。 ESA から、3 月ログをトレース レベルに設定 し、接続を再検査して下さい。 不成功な接続に関しては、ログは類似したをへの示すかもしれません:Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD. Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with
identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190 Timestamp: 2017-03-30 20:08:50Z
Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190 Timestamp: 2017-03-30 20:08:50Z
(借用者 ID と同じである)アプリケーション ID、ディレクトリ ID、または Azure AD のアプリ ケーションのログからの他の関連する識別を確認して下さい。 値の不確実である場合、アプリケ ーションを門脈 Azure AD から削除し、開始して下さい。
接続の成功に関しては、ログは類似したにであるはずです:
Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD. Thu Mar 30 15:51:58 2017 Trace: command session starting Thu Mar 30 15:52:00 2017 Info: Token request successful.
Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's([email protected]) mailbox.
トラブルシューティング Azure AD
注: Cisco TAC および Ciscoサポートは Microsoft Exchange、Microsoft Azure AD、またはオ フィス 365 で加入者宅側問題を解決するために資格を与えられません。
加入者宅側に関しては Microsoft Azure AD においての、マイクロソフトのサポートを実行する必 要があります発行します。 Microsoft Azure ダッシュボードからの「ヘルプ + サポート」オプシ ョンを参照して下さい。 ダッシュボードからのマイクロソフトのサポートに直接支援 要求を開 けますかもしれません。
