Microsoft Entra セキュリティ運用ガイド
Microsoft では、コントロール プレーンとして ID を利用した多層防御原則により、実績のあるゼロ トラスト セキュリティへのアプローチを成功させてきました。 組織はスケール、コスト削減、セキュリティを追求し、ハイブリッド ワークロード環境を受け入れ続けています。 Microsoft Entra ID は、ID 管理の戦略において非常に重要な役割を果たします。 最近では、ID とセキュリティの侵害に関するニュースにより、企業の IT 部門は、ID セキュリティ態勢を、防御的セキュリティ成功の指標として捉えるようになりました。
さらに組織はオンプレミスとクラウドのアプリケーションを組み合わせて使用する必要があり、ユーザーはそれらのアプリケーションに、オンプレミスとクラウド専用の両方のアカウントでアクセスします。 オンプレミスとクラウドの両方でユーザー、アプリケーション、デバイスを管理するのは困難なシナリオです。
ハイブリッド ID
Microsoft Entra ID では、場所に関係なく、すべてのリソースに対する認証と承認を行うための、共通のユーザー ID を作成します。 これをハイブリッド ID と呼んでいます。
Microsoft Entra でハイブリッド ID を実現するために、お使いのシナリオに応じて、3 つの認証方法のうち 1 つを使用できます。 次に 3 つの方法を示します。
現在のセキュリティ操作を監査したり、または Azure 環境のセキュリティ運用を確立したりする際には、次のことをお勧めします。
- Microsoft セキュリティ ガイダンスの特定の部分を読み、クラウドベースまたはハイブリッド Azure 環境のセキュリティ保護に関する知識のベースラインを確立します。
- アカウントとパスワードの戦略と認証方法を監査し、最も一般的な攻撃ベクトルを抑止します。
- セキュリティ上の脅威を示す可能性があるアクティビティについて、継続的な監視とアラートを行うための戦略を作成します。
対象者
Microsoft Entra SecOps ガイドは、より高度な ID セキュリティ構成と監視プロファイルを通じて脅威に対抗する必要がある、企業の IT ID セキュリティ運用チームおよび管理サービス プロバイダーを対象としています。 このガイドは、セキュリティ オペレーション センター (SOC) の防御と侵入テストのチームに対し、ID のセキュリティ態勢の改善および維持についてアドバイスする、IT 管理者や ID アーキテクトにとって特に有益です。
Scope
この概要では、事前にお読みいただきたい推奨文書やパスワードの監査と戦略に関する推奨事項について説明します。 またこの記事では、ハイブリッド Azure 環境および完全なクラウドベースの Azure 環境で使用できるツールの概要についても説明します。 最後に、監視、アラート、およびセキュリティ情報イベント管理 (SIEM) の戦略と環境を構成するために使用できるデータ ソースの一覧を提供します。 このガイドの残りの部分では、次の領域における監視およびアラートの戦略について説明します。
ユーザー アカウント。 管理者特権を持たない、非特権ユーザー アカウント特有のガイダンス。異常なアカウントの作成と使用、異常なサインインなどが含まれます。
特権アカウント。 管理タスクを実行するための昇格されたアクセス許可を持つ特権ユーザー アカウント特有のガイダンス。 タスクには、Microsoft Entra ロールの割り当て、Azure リソース ロールの割り当て、Azure リソースとサブスクリプションのアクセス管理が含まれます。
Privileged Identity Management (PIM)。 PIM を使用してリソースへのアクセスを管理、制御、監視する方法に特有のガイダンス。
アプリケーション。 アプリケーションの認証を提供するために使用されるアカウント特有のガイダンス。
デバイス。 ポリシーの外部で登録または参加したデバイスの監視とアラート、非準拠の使用、デバイス管理ロールの管理、仮想マシンへのサインイン特有のガイダンス。
[インフラストラクチャ]。 ハイブリッド環境および純粋なクラウドベースの環境に対する脅威の監視とアラート特有のガイダンス。
重要なリファレンス コンテンツ
Microsoft には、お客様のニーズに合わせて IT 環境をカスタマイズできる製品とサービスが多数用意されています。 ご自身の運用環境に関する次のガイダンスを確認することをお勧めします。
Windows オペレーティング システム
オンプレミス環境
クラウドベースの Azure 環境
Active Directory Domain Services (AD DS)
Active Directory フェデレーション サービス (AD FS)
データ ソース
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal から Microsoft Entra 監査ログを表示できます。 コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてログをダウンロードします。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:
Microsoft Sentinel - セキュリティ情報イベント管理 (SIEM) 機能を備え、エンタープライズ レベルでインテリジェントにセキュリティを分析できます。
Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 その代わり、リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。
Azure Monitor – さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
Azure Event Hubs と SIEM の統合。 Azure Event Hubs 統合を介して、Splunk、ArcSight、QRadar、Sumo Logic などの他の SIEM に Microsoft Entra ID ログを統合できます。 詳細については、「Azure イベント ハブへのMicrosoft Entra ログのストリーム配信」を参照してください。
Microsoft Defender for Cloud Apps - アプリを検出し、アプリを管理し、すべてのアプリとリソースを制御し、クラウド アプリのコンプライアンス状況を確認できます。
Identity Protection プレビューを使用してワークロード ID をセキュリティで保護する - サインイン動作とオフラインでの侵害の兆候からワークロード ID のリスクを検出するために使用されます。
監視とアラートの対象の多くは、条件付きアクセス ポリシーの影響です。 条件付きアクセスに関する分析情報とレポート ブックを使用して、1 つまたは複数の条件付きアクセス ポリシーがサインインに及ぼしている影響と、デバイスの状態などのポリシーの結果を確認できます。 このブックでは、影響の概要を確認し、指定期間における影響を特定できます。 また、このブックを使用して、特定のユーザーのサインインを調査することもできます。 詳細については、「条件付きアクセスに関する分析情報とレポート」をご覧ください。
この記事の残りの部分では、何を監視とアラートの対象にすべきかについて説明します。 特定の事前構築済みソリューションがある場合は、リンクを示すか、表の後にサンプルを提供しています。 それ以外の場合は、前述のツールを使用してアラートを作成できます。
Identity Protection により、調査に役立つ 3 つの主要なレポートが生成されます。
[危険なユーザー] には、リスクのあるユーザーに関する情報、検出の詳細、すべての危険なサインインの履歴、リスク履歴が含まれます。
[危険なサインイン] には、疑わしい状況を示す可能性のあるサインインの状況に関する情報が含まれています。 このレポートの情報を調査するための追加情報については、「方法: リスクの調査」をご覧ください。
リスク検出には、サインインとユーザーのリスクを通知する Microsoft Entra ID Protection によって検出されたリスク シグナルに関する情報が含まれます。 詳細については、「ユーザー アカウントの Microsoft Entra セキュリティ操作ガイド」を参照してください。
詳細については、「Identity Protection とは」をご覧ください。
ドメイン コントローラーの監視のためのデータ ソース
最適な結果を得るために、Microsoft Defender for Identity を使用してドメイン コントローラーを監視することをお勧めします。 このアプローチにより、最適な検出と自動化の機能を使用できるようになります。 これらのリソースのガイダンスに従います。
- Microsoft Defender for Identity のアーキテクチャ
- クイックスタート: Microsoft Defender for Identity を Active Directory に接続する
Microsoft Defender for Identity を使用する予定がない場合は、次のいずれかの方法でドメイン コントローラーを監視します。
- イベント ログ メッセージ。 「Active Directory の侵害の兆候を監視する」をご覧ください。
- PowerShell コマンドレット。 「ドメイン コントローラーの展開のトラブルシューティング」をご覧ください。
ハイブリッド認証のコンポーネント
Azure ハイブリッド環境の一部として、次の項目をベースラインとして使用し、監視とアラートの戦略に含める必要があります。
PTA エージェント – パススルー認証エージェントは、パススルー認証を有効にするために使用され、オンプレミスにインストールされます。 エージェントのバージョンの確認と次の手順の詳細については、「Microsoft Entra パススルー認証エージェント: バージョン リリース履歴」を参照してください。
AD FS/WAP - Azure Active Directory フェデレーション サービス (Microsoft Entra FS) と Web アプリケーション プロキシ (WAP) を使用すると、セキュリティおよびエンタープライズの境界を越えてデジタル ID と権利を安全に共有できます。 セキュリティのベストプラクティスについては、Active Directoryフェデレーションサービスを保護するためのベストプラクティスを参照してください。
Microsoft Entra Connect Health エージェント – Microsoft Entra Connect Health の通信リンクを提供するために使用されるエージェントです。 エージェントのインストールについては、「Microsoft Entra Connect Health エージェントのインストール」をご覧ください。
Microsoft Entra Connect Sync Engine - オンプレミスのコンポーネント。同期エンジンとも呼ばれます。 この機能の詳細については、「Microsoft Entra Connect 同期サービスの機能」をご覧ください。
パスワード保護 DC エージェント – Azure パスワード保護 DC エージェントは、イベント ログ メッセージの監視とレポート作成に使用されます。 情報については、「Active Directory Domain Services にオンプレミスの Microsoft Entra パスワード保護を適用する」を参照してください。
パスワード フィルター DLL – DC エージェントのパスワード フィルター DLL は、オペレーティング システムからユーザーのパスワード検証要求を受け取ります。 このフィルターは、DC でローカルで実行されている DC エージェント サービスにそれらを転送します。 DLL の使用の詳細については、「Active Directory Domain Services にオンプレミスの Microsoft Entra パスワード保護を適用する」をご覧ください。
パスワード ライトバック エージェント - パスワード ライトバックは、Microsoft Entra Connect により有効になる機能で、クラウド内でのパスワード変更を既存のオンプレミスのディレクトリにリアルタイムで書き戻せるようにします。 この機能の詳細については、「Microsoft Entra ID でのセルフサービス パスワード リセットによる書き戻しのしくみ」を参照してください。
Microsoft Entra プライベート ネットワーク コネクタ - オンプレミスに配置され、アプリケーション プロキシ サービスへの送信接続を容易にする軽量のエージェント。 詳細については、「Microsoft Entra プライベート ネットワーク コネクタについて」を参照してください。
クラウドベース認証のコンポーネント
Azure クラウドベース環境の一部として、次の項目をベースラインとして使用し、監視とアラートの戦略に含める必要があります。
Microsoft Entra アプリケーション プロキシ – このクラウド サービスは、オンプレミスの Web アプリケーションへのセキュリティで保護されたリモート アクセスを提供します。 詳細については、「Microsoft Entra アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス」を参照してください。
Microsoft Entra Connect - Microsoft Entra Connect ソリューションに使用されるサービス。 詳細については、「Microsoft Sentinel Connect とは」を参照してください。
Microsoft Entra Connect Health – Service Health は、ユーザーが使用しているリージョン内の Azure サービスの正常性を追跡するカスタマイズ可能なダッシュボードを提供します。 詳細については、「Microsoft Sentinel Connect とは」を参照してください。
Microsoft Entra 多要素認証 (MFA) – MFA では、ユーザーは認証のために複数の形式の証明を提供する必要があります。 このアプローチにより、環境をセキュリティで保護するためのプロアクティブな最初の手順が提供されます。 詳細については、「Microsoft Entra MFA を取得する方法」を参照してください。
動的グループ - Microsoft Entra 管理者向けセキュリティ グループ メンバーシップの動的構成では、ユーザー属性に基づいて Microsoft Entra で作成されるグループを設定する規則を設定できます。 詳しくは、「動的グループと Microsoft Entra B2B コラボレーション」を参照してください。
条件付きアクセス - 条件付きアクセスは、Microsoft Entra ID で使用されるツールです。このツールによって、シグナルをまとめ、決定を行い、組織のポリシーを適用することができます。 条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中心になるものです。 詳細については、「条件付きアクセスとは」をご覧ください。
Identity Protection – 組織は、このツールを使用して、ID ベースのリスクの検出と修復の自動化、ポータルでのデータを使用したリスク調査、SIEM へのリスク検出データのエクスポートを実行できます。 詳細については、「Identity Protection とは」をご覧ください。
グループベースのライセンス – ライセンスは、ユーザーに直接割り当てるのではなく、グループに割り当てることができます。 ユーザーのライセンスの割り当て状態に関する情報は Microsoft Entra ID に格納されます。
プロビジョニング サービス - プロビジョニングとは、ユーザーがアクセスする必要のあるクラウド アプリケーションのユーザー ID とロールを作成することです。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 詳細については、「Microsoft Entra ID でのアプリケーションのプロビジョニングのしくみ」をご覧ください。
Graph API – RESTful Web API である Microsoft Graph API を使用すると、Microsoft Cloud サービスのリソースにアクセスできます。 アプリを登録し、ユーザーまたはサービスのための認証トークンを取得した後、Microsoft Graph API に要求を行うことができます。 詳しくは、「Microsoft Graph の概要」をご覧ください。
Domain Service – Microsoft Entra Domain Services (AD DS) では、ドメイン参加やグループ ポリシーなどのマネージド ドメイン サービスが提供されます。 詳細については、「Microsoft Entra Domain Services とは」を参照してください。
Azure Resource Manager – Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 お使いの Azure アカウント内のリソースを作成、更新、および削除できる管理レイヤーを提供します。 詳細については、「Azure Resource Manager とは」をご覧ください。
マネージド ID – マネージド ID により、開発者は資格情報を管理する必要がなくなります。 マネージド ID は、Microsoft Entra 認証をサポートするリソースに接続するときに使う ID をアプリケーションに提供します。 詳細については、「Azure リソース用マネージド ID とは」を参照してください。
Privileged Identity Management - PIM は Microsoft Entra ID のサービスで、これにより、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視できるようになります。 詳しくは、「Microsoft Entra Privileged Identity Management とは」を参照してください。
アクセス ビュー - Microsoft Entra アクセス レビューを組織で使用することにより、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理できます。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。 詳細については、「Microsoft Entra アクセス レビューとは」を参照してください。
エンタイトルメント管理 - Microsoft Entra エンタイトルメント管理は、ID ガバナンス機能です。 組織は、アクセス要求ワークフロー、アクセス割り当て、レビュー、期限切れ処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できます。 詳細については、「Microsoft Entra エンタイトルメント管理とは」を参照してください。
アクティビティ ログ - アクティビティ ログは Azure プラットフォームのログであり、サブスクリプションレベルのイベントの分析情報が提供されます。 このログには、リソースが変更されたときや仮想マシンが起動されたときなどの情報が含まれます。 詳細については、「Azure アクティビティ ログ」をご覧ください。
セルフサービス パスワード リセット サービス - Microsoft Entra セルフサービス パスワード リセット (SSPR) により、ユーザーは自分のパスワードを変更またはリセットできます。 管理者またはヘルプ デスクは必要ありません。 詳細については、「動作のしくみ: Microsoft Entra のセルフサービス パスワード リセット」を参照してください。
デバイス サービス – デバイス ID 管理は、デバイス ベースの条件付きアクセスの基盤です。 デバイス ベースの条件付きアクセス ポリシーにより、環境内のリソースへのアクセスを確実にマネージド デバイスでのみ可能にすることができます。 詳細については、「デバイス ID とは」をご覧ください。
セルフサービス グループ管理 – Microsoft Entra ID では、ユーザーが独自のセキュリティ グループまたは Microsoft 365 グループを作成して管理できます。 グループの所有者は、メンバーシップ要求を承認または拒否できます。また、グループ メンバーシップの制御を委任できます。 セルフサービスによるグループ管理機能は、メールを有効にしたセキュリティ グループまたは配布リストでは使用できません。 詳細については、「Microsoft Entra ID でのセルフサービス グループ管理の設定」をご覧ください。
リスク検出 - リスクが検出されたときトリガーされるその他のリスクに関する情報や、サインインの場所などの他の関連情報、および Microsoft Defender for Cloud Apps からの詳細情報が含まれます。
次のステップ
これらのセキュリティ運用ガイドの記事を参照してください。