コンシューマー アカウントのための Microsoft Entra セキュリティ運用
コンシューマー ID アクティビティは、組織が保護および監視するための重要な領域です。 この記事では、Azure Active Directory B2C (Azure AD B2C) テナントについて扱い、コンシューマー アカウント アクティビティの監視に関するガイダンスを提供します。 アクティビティは次のとおりです。
- コンシューマー アカウント
- 特権アカウント
- Application
- インフラストラクチャ
開始する前に
この記事のガイダンスに従って作業する前に、Microsoft Entra セキュリティ運用ガイドに関する記事を参照することをお勧めします。
ベースラインを定義する
異常な動作を発見するには、通常の想定される動作を定義します。 組織にとって想定される動作を定義することで、想定しない動作を検出できます。 その定義を使用することで、監視とアラート中の誤検知を減らすことができます。
想定される動作を定義した状態で、ベースライン監視を実行し、期待値を検証します。 次に、許容範囲から外れたものについてログを監視します。
通常のプロセス以外で作成されたアカウントについては、データ ソースとして、Microsoft Entra 監査ログ、Microsoft Entra サインイン ログ、ディレクトリ属性を使用します。 次の提案は、正常な動作を定義するのに役立ちます。
コンシューマー アカウントの作成
次のリストを評価します。
- コンシューマー アカウントを作成および管理するためのツールとプロセスの戦略と原則
- たとえば、コンシューマー アカウントの属性に適用される標準の属性および形式
- アカウントの作成に承認されているソース。
- たとえば、カスタム ポリシーのオンボーディング、顧客プロビジョニング、移行ツールなど
- 承認されたソース以外でアカウントが作成された場合のアラート戦略。
- 自分の組織が共同作業している組織の管理リストを作成します
- 承認されていないコンシューマー アカウント管理者によって作成、変更、または無効化されたアカウントに対する戦略とアラートのパラメーター。
- 顧客番号などの標準属性がない、または組織の名前付け規則に従っていないコンシューマー アカウントの監視とアラート戦略。
- アカウントの削除と保持のための戦略、原則、プロセス
確認先
ログ ファイルを使用して調査と監視を行います。 手順については、次の記事を参照してください。
監査ログと自動化ツール
Azure portal から、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりできます。 監視とアラートを自動化するために、Azure portal を使用して Microsoft Entra ログを他のツールと統合します:
- Microsoft Sentinel - セキュリティ情報イベント管理 (SIEM) 機能でセキュリティを分析します。
- Sigma ルール - ログ ファイルを解析するために、自動化された管理ツールで使用できる、ルールとテンプレートを記述するためのオープン標準です。 推奨される検索条件に Sigma テンプレートがある場合は、Sigma リポジトリへのリンクを追加しました。 Microsoft では、Sigma テンプレートの作成、テスト、管理は行っていません。 リポジトリとテンプレートは、IT セキュリティ コミュニティによって作成および収集されます。
- Azure Monitor – さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
- SIEM と統合された Azure Event Hubs - Azure Event Hubs を使用して、Splunk、ArcSight、QRadar、Sumo Logic など、SIEM と Microsoft Entra ログを統合します。
- Microsoft Defender for Cloud Apps - アプリの検出と管理、アプリとリソース全体のガバナンス、クラウド アプリのコンプライアンスの確認を行います。
- ID 保護 - サインイン時の動作やオフラインでの侵害の兆候からワークロード ID のリスクを検出します。
監視およびアラートする内容に関する推奨事項については、記事の残りの部分を参照してください。 脅威の種類別に整理された表を参照してください。 次の表に従って、事前構築済みのソリューションまたはサンプルへのリンクを参照してください。 前述のツールを使用してアラートを作成します。
コンシューマー アカウント
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 多数のアカウントの作成または削除 | 高 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 開始者(アクター) = CPIM サービス および アクティビティ: ユーザーの削除 状態 = 成功 開始者(アクター) = CPIM サービス |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整します。 誤ったアラートを制限します。 |
| 承認されていないユーザーまたはプロセスによって作成され、削除されたアカウント | 中 | Microsoft Entra 監査ログ | 開始者 (アクター) - ユーザー プリンシパル名 および アクティビティ: ユーザーの追加 状態 = 成功 開始者(アクター) != CPIM サービス および - または アクティビティ: ユーザーの削除 状態 = 成功 開始者(アクター) != CPIM サービス |
アクターが承認されていないユーザーの場合、アラートを送信するように構成します。 |
| 特権ロールに割り当てられたアカウント | 高 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 (アクター) によって開始 == CPIM サービス および アクティビティ: ロールへのメンバーの追加 状態 = 成功 |
アカウントが Azure AD ロール、Microsoft Entra ロール、または特権グループ メンバーシップに割り当てられている場合、調査についてアラートを生成し、優先します。 |
| 失敗したサインインの試行 | 中 - 孤立したインシデントの場合 高 - 多数のアカウントで同じパターンが発生している場合 |
Microsoft Entra サインイン ログ | 状態 = 失敗 および サインイン エラー コード 50126 - 無効なユーザー名またはパスワードにより、資格情報の検証でエラーが発生しました。 および Application == "CPIM PowerShell Client" または Application == "ProxyIdentityExperienceFramework" |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整し、誤ったアラートが生成されないようにします。 |
| スマート ロックアウト イベント | 中 - 孤立したインシデントの場合 高 - 多数のアカウントで同じパターンまたは VIP が発生している場合 |
Microsoft Entra サインイン ログ | 状態 = 失敗 および サインイン エラー コード = 50053 - IdsLocked および Application == "CPIM PowerShell Client" または Application =="ProxyIdentityExperienceFramework" |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整し、誤ったアラートを制限します。 |
| 事業を行っていない国または地域からの認証の失敗 | 中 | Microsoft Entra サインイン ログ | 状態 = 失敗 および 場所 = <未承認の場所> および Application == "CPIM PowerShell Client" または Application == "ProxyIdentityExperienceFramework" |
指定された市区町村名と等しくないエントリを監視します。 |
| 任意の種類の認証失敗の増加 | 中 | Microsoft Entra サインイン ログ | 状態 = 失敗 および Application == "CPIM PowerShell Client" または Application == "ProxyIdentityExperienceFramework" |
しきい値を設定していない場合は、失敗が 10% 以上増えた場合に監視してアラートを生成します。 |
| アカウントがサインインで無効またはブロックされる | 低 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 50057、ユーザー アカウントは無効になっています。 |
このシナリオは、誰かが組織を退職した後にアカウントにアクセスしようとしていることを示している可能性があります。 このアカウントはブロックされていますが、このアクティビティについて記録し、アラートを生成することが重要です。 |
| 成功したサインインの測定可能な増加 | 低 | Microsoft Entra サインイン ログ | 状態 = 成功 および Application == "CPIM PowerShell Client" または Application == "ProxyIdentityExperienceFramework" |
しきい値を設定していない場合は、認証の成功が 10% 以上増えた場合に監視し、アラートを生成します。 |
特権アカウント
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| サインインの失敗、不正なパスワードしきい値 | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 50126 |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整します。 誤ったアラートを制限します。 |
| 条件付きアクセス要件が原因による失敗 | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 53003 および 失敗の理由 = 条件付きアクセスによってブロック |
このイベントは、攻撃者がアカウントに侵入しようとしていることを示している可能性があります。 |
| 割り込み | [高]、[中] | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 53003 および 失敗の理由 = 条件付きアクセスによってブロック |
このイベントは、攻撃者がアカウントのパスワードを持っていても、MFA チャレンジに合格できないことを示している可能性があります。 |
| アカウントのロックアウト | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 50053 |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整します。 誤ったアラートを制限します。 |
| アカウントがサインインで無効またはブロックされる | low | Microsoft Entra サインイン ログ | 状態 = 失敗 および ターゲット = ユーザー UPN および エラー コード = 50057 |
このイベントは、誰かが組織を退職した後にアカウントを取得しようとしていることを示している可能性があります。 このアカウントはブロックされていますが、このアクティビティについて記録し、アラートを生成します。 |
| MFA 不正アクセスのアラートまたはブロック | 高 | Microsoft Entra サインイン ログ/Azure Log Analytics | サインイン > 認証の詳細 結果の詳細 = MFA 拒否、不正コードが入力された |
特権ユーザーは、自分が MFA プロンプトを引き起こしていないと示しており、これは攻撃者がアカウント パスワードを持っていることを示している可能性があります。 |
| MFA 不正アクセスのアラートまたはブロック | 高 | Microsoft Entra サインイン ログ/Azure Log Analytics | アクティビティの種類 = 不正報告 - MFA または不正報告によりユーザーをブロックしています - 不正報告のテナント レベル設定に基づいて、対応を行いませんでした | 特権ユーザーは、MFA プロンプトの割り当てがないことを示しました。 このシナリオは、攻撃者がアカウント パスワードを持っている可能性を示します。 |
| 想定された制御の範囲外の特権アカウント サインイン | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 UserPricipalName = <管理者アカウント> 場所 = <未承認の場所> IP アドレス = <未承認の IP> デバイス情報 = <承認されていないブラウザー、オペレーティング システム> |
未承認として定義したエントリを監視し、アラートを生成します。 |
| 通常のサインイン時間外 | 高 | Microsoft Entra サインイン ログ | 状態 = 成功 および 場所 = および 時間 = 勤務時間外 |
想定される時間外にサインインが発生した場合について監視し、アラートを生成します。 各特権アカウントの通常の勤務パターンを見つけて、通常の勤務時間外に予定外の変更が発生した場合にアラートを生成します。 通常の勤務時間外のサインインが、侵害や内部関係者の脅威の可能性を示している場合があります。 |
| パスワードの変更 | 高 | Microsoft Entra 監査ログ | アクティビティ アクター = 管理者/セルフサービス および ターゲット = ユーザー および 状態 = 成功または失敗 |
管理者アカウントのパスワードの変更についてアラートを生成します (特にグローバル管理者、ユーザー管理者、サブスクリプション管理者、緊急アクセス アカウントの場合)。 特権アカウントのクエリを記述します。 |
| 認証方法に対する変更 | 高 | Microsoft Entra 監査ログ | アクティビティ: ID プロバイダーの作成 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
変更は、攻撃者が認証方法をアカウントに追加して、継続的にアクセスできるようにしていることを示している可能性があります。 |
| 承認されていないアクターによって更新された ID プロバイダー | 高 | Microsoft Entra 監査ログ | アクティビティ: ID プロバイダーの更新 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
変更は、攻撃者が認証方法をアカウントに追加して、継続的にアクセスできるようにしていることを示している可能性があります。 |
| 承認されていないアクターによって削除された ID プロバイダー | 高 | Microsoft Entra アクセス レビュー | アクティビティ: ID プロバイダーの削除 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
変更は、攻撃者が認証方法をアカウントに追加して、継続的にアクセスできるようにしていることを示している可能性があります。 |
アプリケーション
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| アプリケーションに資格情報を追加した | 高 | Microsoft Entra 監査ログ | Service-Core ディレクトリ、Category-ApplicationManagement アクティビティ: アプリケーションの更新 - 証明書およびシークレット管理 および アクティビティ: サービス プリンシパルの更新/アプリケーションの更新 |
資格情報が次の場合にアラートを生成します。通常の営業時間またはワークフロー外に追加された場合、環境内で使用されていない種類の場合、またはサービス プリンシパルをサポートする非 SAML フローに追加された場合。 |
| Azure ロールベースのアクセス制御 (RBAC) ロールまたは Microsoft Entra ロールに割り当てられたアプリ | 高から中 | Microsoft Entra 監査ログ | 種類: サービス プリンシパル アクティビティ: ”ロールへのメンバーの追加” または ”ロールへの有資格メンバーの追加” または "スコープを持つメンバーをロールに追加する"。 |
該当なし |
| ".All" を使ったアクセス許可 (Directory.ReadWrite.All) や広範囲のアクセス許可 (Mail.) など、高い権限が付与されたアプリ。 | 高 | Microsoft Entra 監査ログ | 該当なし | ".All" (Directory.ReadWrite.All) や広範囲のアクセス許可 (Mail.) など、幅広いアクセス許可が付与されたアプリ |
| 管理者が、アプリケーションのアクセス許可 (アプリ ロール) または高い特権を持つ委任されたアクセス許可を付与する | 高 | Microsoft 365 ポータル | "サービス プリンシパルへのアプリ ロールの割り当てを追加する" このとき ターゲットは、機密データを含む API を識別する (Microsoft Graph など) “委任されたアクセス許可付与を追加” このとき ターゲットで、機密データを含む API を識別する (Microsoft Graph など) および DelegatedPermissionGrant.Scope に、高い特権のアクセス許可が含まれる。 |
グローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者がアプリケーションに同意したとき、アラートを生成します。 特に、通常のアクティビティや変更手順以外の同意を探します。 |
| アプリケーションに、Microsoft Graph、Exchange、SharePoint、または Microsoft Entra ID に対するアクセス許可が付与される。 | 高 | Microsoft Entra 監査ログ | "委任されたアクセス許可の付与を追加する" または "サービス プリンシパルへのアプリ ロールの割り当てを追加する" このとき ターゲットで、機密データを含む API を識別する (Microsoft Graph、Exchange Online など) |
前の行のアラートを使用します。 |
| すべてのユーザーの代理として、高い特権を持つ委任されたアクセス許可が付与される | 高 | Microsoft Entra 監査ログ | "委任されたアクセス許可の付与を追加する" where ターゲットで、機密データを含む API を識別する (Microsoft Graph など) DelegatedPermissionGrant.Scope に、高権限のアクセス許可が含まれる および DelegatedPermissionGrant.ConsentType が "AllPrincipals" である。 |
前の行のアラートを使用します。 |
| ROPC 認証フローを使用しているアプリケーション | 中 | Microsoft Entra サインイン ログ | 状態 = 成功 認証プロトコル - ROPC |
資格情報をキャッシュまたは保存できるため、このアプリケーションには高いレベルの信頼が置かれています。 可能であれば、より安全な認証フローに移行します。 このプロセスは自動化されたアプリケーション テストでのみ使用しますが、ほとんどありません。 |
| ダングリング URI | 高 | Microsoft Entra ID ログとアプリケーションの登録 | サービス - コア ディレクトリ カテゴリ - ApplicationManagement アクティビティ: アプリケーションの更新 成功 – プロパティ名 AppAddress |
たとえば、存在しなくなったドメイン名や所有していないドメイン名を指す未解決の URI を探します。 |
| リダイレクト URI 構成の変更 | 高 | Microsoft Entra ログ | サービス - コア ディレクトリ カテゴリ - ApplicationManagement アクティビティ: アプリケーションの更新 成功 – プロパティ名 AppAddress |
HTTPS* を使用していない URI、URL の末尾またはドメインにワイルドカードを含む URI、アプリケーションに固有ではない URI、ご自分が制御していないドメインを指す URI を探します。 |
| AppID URI の変更 | 高 | Microsoft Entra ログ | サービス - コア ディレクトリ カテゴリ - ApplicationManagement アクティビティ: アプリケーションの更新 アクティビティ: サービス プリンシパルの更新 |
URI の追加、変更、削除など、AppID URI の変更を探します。 |
| アプリケーション所有者に対する変更 | 中 | Microsoft Entra ログ | サービス - コア ディレクトリ カテゴリ - ApplicationManagement アクティビティ: アプリケーションへの所有者の追加 |
通常の変更管理アクティビティ以外でアプリケーション所有者として追加されたユーザーのインスタンスを探します。 |
| サインアウト URL への変更 | 低 | Microsoft Entra ログ | サービス - コア ディレクトリ カテゴリ - ApplicationManagement アクティビティ: アプリケーションの更新 および アクティビティ: サービス プリンシパルの更新 |
サインアウト URL に対する変更を探します。 空のエントリまたは存在しない場所へのエントリがあると、ユーザーによるセッションの終了が停止されます。 |
インフラストラクチャ
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 承認されていないアクターによって作成された新しい条件付きアクセス ポリシー | 高 | Microsoft Entra 監査ログ | アクティビティ: 条件付きアクセス ポリシーを追加する カテゴリ: Policy 開始者 (アクター): ユーザー プリンシパル名 |
条件付きアクセスの変更を監視し、アラートを生成します。 開始者 (アクター): 条件付きアクセスに変更を加えるために承認されていますか? |
| 承認されていないアクターによって削除された条件付きアクセス ポリシー | 中 | Microsoft Entra 監査ログ | アクティビティ: 条件付きアクセス ポリシーを削除する カテゴリ: Policy 開始者 (アクター): ユーザー プリンシパル名 |
条件付きアクセスの変更を監視し、アラートを生成します。 開始者 (アクター): 条件付きアクセスに変更を加えるために承認されていますか? |
| 承認されていないアクターによって更新された条件付きアクセス ポリシー | 高 | Microsoft Entra 監査ログ | アクティビティ: 条件付きアクセス ポリシーを更新する カテゴリ: Policy 開始者 (アクター): ユーザー プリンシパル名 |
条件付きアクセスの変更を監視し、アラートを生成します。 開始者 (アクター): 条件付きアクセスに変更を加えるために承認されていますか? 変更されたプロパティを確認し、古い値と新しい値を比較します |
| 承認されていないアクターによって作成された B2C カスタム ポリシー | 高 | Microsoft Entra 監査ログ | アクティビティ: カスタム ポリシーを作成する カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
カスタム ポリシーの変更を監視し、アラートを生成します。 開始者 (アクター): カスタム ポリシーの変更を承認されていますか? |
| 承認されていないアクターによって更新された B2C カスタム ポリシー | 高 | Microsoft Entra 監査ログ | アクティビティ: カスタム ポリシーを取得する カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
カスタム ポリシーの変更を監視し、アラートを生成します。 開始者 (アクター): カスタム ポリシーの変更を承認されていますか? |
| 承認されていないアクターによって削除された B2C カスタム ポリシー | 中 | Microsoft Entra 監査ログ | アクティビティ: カスタム ポリシーを削除する カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
カスタム ポリシーの変更を監視し、アラートを生成します。 開始者 (アクター): カスタム ポリシーの変更を承認されていますか? |
| 承認されていないアクターによって作成されたユーザー フロー | 高 | Microsoft Entra 監査ログ | アクティビティ: ユーザー フローを作成する カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
ユーザー フローの変更を監視し、アラートを生成します。 開始者 (アクター): ユーザー フローの変更を承認されていますか? |
| 承認されていないアクターによって更新されたユーザー フロー | 高 | Microsoft Entra 監査ログ | アクティビティ: ユーザー フローの更新 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
ユーザー フローの変更を監視し、アラートを生成します。 開始者 (アクター): ユーザー フローの変更を承認されていますか? |
| 承認されていないアクターによって削除されたユーザー フロー | 中 | Microsoft Entra 監査ログ | アクティビティ: ユーザー フローの削除 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
ユーザー フローの変更を監視し、アラートを生成します。 開始者 (アクター): ユーザー フローの変更を承認されていますか? |
| 承認されていないアクターによって作成された API コネクタ | 中 | Microsoft Entra 監査ログ | アクティビティ: API コネクタを作成する カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
API コネクタの変更を監視し、アラートを生成します。 開始者 (アクター): API コネクタの変更を承認されていますか? |
| 承認されていないアクターによって更新された API コネクタ | 中 | Microsoft Entra 監査ログ | アクティビティ: API コネクタの更新 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名: ResourceManagement |
API コネクタの変更を監視し、アラートを生成します。 開始者 (アクター): API コネクタの変更を承認されていますか? |
| 承認されていないアクターによって削除された API コネクタ | 中 | Microsoft Entra 監査ログ | アクティビティ: API コネクタの更新 カテゴリ: ResourceManagment ターゲット: ユーザー プリンシパル名: ResourceManagment |
API コネクタの変更を監視し、アラートを生成します。 開始者 (アクター): API コネクタの変更を承認されていますか? |
| 承認されていないアクターによって作成された ID プロバイダー (IdP) | 高 | Microsoft Entra 監査ログ | アクティビティ: ID プロバイダーの作成 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
IdP の変更を監視し、アラートを生成します。 開始者 (アクター): IdP 構成の変更を承認されていますか? |
| 承認されていないアクターによって更新された IdP | 高 | Microsoft Entra 監査ログ | アクティビティ: ID プロバイダーの更新 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
IdP の変更を監視し、アラートを生成します。 開始者 (アクター): IdP 構成の変更を承認されていますか? |
| 承認されていないアクターによって削除された IdP | 中 | Microsoft Entra 監査ログ | アクティビティ: ID プロバイダーの削除 カテゴリ: ResourceManagement ターゲット: ユーザー プリンシパル名 |
IdP の変更を監視し、アラートを生成します。 開始者 (アクター): IdP 構成の変更を承認されていますか? |
次の手順
詳細については、次のセキュリティ運用に関する記事を参照してください。