機密性の高い操作のレポート ブック
機密性の高い操作のレポート ブックは、環境内の侵害の可能性がある、疑わしいアプリケーションやサービス プリンシパルのアクティビティの特定を支援することを目的としています。
この記事では、機密性の高い操作のレポート ブックの概要について説明します。
前提条件
Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。
- Premium P1 ライセンスがある Microsoft Entra テナント
- Log Analytics ワークスペース および そのワークスペースへのアクセス
- Azure Monitor と Microsoft Entra ID の適切なロール
Log Analytics ワークスペース
Microsoft Entra ブックを使用するには、その "前" に Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースへのアクセスは、いくつかの要因によって決まります。 ワークスペース と データを送信するリソースに適したロールが必要です。
詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。
Azure Monitor ロール
Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロール が用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセス権を付与する 2 つの Log Analytics 組み込みロールも用意されています。
[表示]:
- Monitoring Reader
- Log Analytics 閲覧者
設定を表示および変更する:
- Monitoring Contributor
- Log Analytics 共同作成者
Microsoft Entra ロール
読み取り専用アクセスを使用すると、ブック内の Microsoft Entra ID ログ データの表示、Log Analytics からのデータのクエリ、または Microsoft Entra 管理センターでのログの読み取りを行うことができます。 更新アクセスにより、診断設定を作成および編集して、Microsoft Entra データを Log Analytics ワークスペースに送信する機能が追加されます。
[読み取り]:
- レポート閲覧者
- セキュリティ閲覧者
- グローバル閲覧者
更新:
- セキュリティ管理者
Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。
Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください。
説明
このブックは、テナント内で実行された最近の機密性の高い操作を特定します。
組織で Azure Monitor ブックを使用したことがない場合は、ブックにアクセスする前に、Microsoft Entra のサインインと監査のログを Azure Monitor と統合する必要があります。 この統合により、最長で 2 年間、ブックを使用してログの保存、クエリ、視覚化を行うことができます。 保存されるのは、Azure Monitor との統合後に作成されたサインインおよび監査イベントだけであるため、ブックにはその日付より前の分析情報は含まれません。 詳細については、「Microsoft Entra ログの Azure Monitor との統合」を参照してください。
ブックにアクセスする方法
適切なロールの組み合わせを使って Microsoft Entra 管理センターにサインインします。
[ID]>[監視と正常性]>[ブック] の順に移動します。
[トラブルシューティング] セクションから [機密性の高い操作のレポート] ブックを選択します。
セクション
このブックは、4 つのセクションに分割されています。
変更されたアプリケーションとサービス プリンシパルの資格情報/認証方法 - このレポートでは、直近で多くのサービス プリンシパル資格情報を変更したアクターと、各種類のサービス プリンシパル資格情報の変更された回数が示されます。
サービス プリンシパルに付与された新しいアクセス許可 - このブックでは、サービス プリンシパルに対して最近付与された OAuth 2.0 アクセス許可も強調表示されます。
サービス プリンシパルのディレクトリ ロールとグループ メンバーシップの更新
変更されたフェデレーション設定 - このレポートでは、ユーザーまたはアプリケーションにより、ドメインでのフェデレーション設定が変更される場合が強調表示されます。 たとえば、署名証明書など、Active Directory フェデレーション サービス (ADFS) の新しい TrustedRealm オブジェクトがドメインに追加された場合が報告されます。 ドメインのフェデレーション設定に対する変更は、めったにないはずです。
変更されたアプリケーションとサービス プリンシパルの資格情報および認証方法
攻撃者が環境内のアクセス権を獲得する最も一般的な方法の 1 つは、既存のアプリケーションやサービス プリンシパルに新しい資格情報を追加する方法です。 資格情報があれば、攻撃者は標的のアプリケーションまたはサービス プリンシパルとして認証して、それらに、アクセス許可を持つすべてのリソースへのアクセスを付与できます。
このセクションには、検出に役立つ以下のデータが含まれています。
資格情報の種類を含め、アプリやサービス プリンシパルに追加された新しい資格情報すべて
上位のアクターと、それらが実行した資格情報の変更の数
すべての資格情報変更のタイムライン
サービス プリンシパルに付与された新しいアクセス許可
攻撃者は、アクセス権を取得するために利用できる高特権のアクセス許可セットを持つサービス プリンシパルやアプリケーションを見つけられない場合、別のサービス プリンシパルまたはアプリケーションへのアクセス許可の追加を試みることがよくあります。
このセクションには、既存のサービス プリンシパルに AppOnly アクセス許可が付与された内訳が含まれています。 管理者は、Exchange Online、Microsoft Graph を始めとして、過剰に高いアクセス許可が付与されているすべてのインスタンスを調査する必要があります。
サービス プリンシパルのディレクトリ ロールとグループ メンバーシップの更新
攻撃者が既存のサービス プリンシパルやアプリケーションに新しいアクセス許可を追加する論理に従えば、もう 1 つのアプローチとなるのは、それらを既存のディレクトリ ロールまたはグループに追加することです。
このセクションには、サービス プリンシパルのメンバーシップに加えられたすべての変更の概要が含まれていて、高い特権を持つロールとグループへの追加はすべて確認する必要があります。
変更されたフェデレーション設定
環境内に長期的な足がかりを得るための別の一般的なアプローチは、次のとおりです。
- テナントのフェデレーション ドメインでの信頼を変更する。
- 攻撃者が制御する別の SAML IDP を、信頼されている認証ソースとして追加する。
このセクションには以下のデータが含まれています。
ドメイン フェデレーションによる既存の信頼に対して実行された変更
新しいドメインや信頼の追加
フィルタ
この段落では、各セクションでサポートされているフィルターの一覧を示します。
変更されたアプリケーションとサービス プリンシパルの資格情報および認証方法
- 時間の範囲
- 操作名
- 資格情報
- Actor
- アクターの除外
サービス プリンシパルに付与された新しいアクセス許可
- 時間の範囲
- クライアント アプリ
- リソース
サービス プリンシパルに対するディレクトリ ロールとグループ メンバーシップの更新
- 時間の範囲
- 操作
- 開始しているユーザーまたはアプリ
変更されたフェデレーション設定
- 時間の範囲
- 操作
- 開始しているユーザーまたはアプリ
ベスト プラクティス
変更されたアプリケーションとサービス プリンシパルの資格情報を使用して、組織内での使用頻度が低いサービス プリンシパルに追加されようとしている資格情報を探します。 このセクションに記載されたフィルターを利用して、変更された疑いのあるアクターやサービス プリンシパルがないかさらに調査します。
サービス プリンシパルに付与された新しいアクセス許可を使用して、侵害されている可能性があるアクターによって、サービス プリンシパルに追加されようとしている広範または過剰なアクセス許可を探します。
[変更されたフェデレーション設定] セクションを使用して、ターゲット ドメインまたは URL の追加や変更が、管理上の正当な操作であることを確認ます。 ドメイン フェデレーションの信頼を変更または追加するアクションはまれであり、確かに適正であることをできるだけ早く調査するアクションとして扱う必要があります。