認可システムに関する重要な統計とデータを表示する

  • [アーティクル]

Permissions Management では、認可システムに関する重要な統計とデータの概要を定期的に提供します。 この情報は、アマゾン ウェブ サービス (AWS)、Microsoft Azure、Google Cloud Platform (GCP) で使用できます。

An example of the Permissions Management dashboard, highlighting key statistics to investigate.

Permissions Management によって提供されるデータには、回避可能なリスクに関連するメトリックが含まれています。 これらのメトリックを使用すると、Permissions Management 管理者は、最低限のアクセス許可の原則に関連するリスクを軽減できる領域を特定できます。

Microsoft Entra では次の情報を表示できます:

  • Permissions Management ダッシュボード[Permission Creep Index (PCI)] (アクセス許可のクリープ 指数 (PCI)) ヒート マップでは、以下が特定されます。

    • 高リスクのアクセス許可が付与されているが、それらを使用していないユーザーの数。
    • アクセス許可のクリープ指数 (PCI) に寄与したユーザーの数と、スケール上の彼らの位置。

  • [分析] ダッシュボードには、過去 90 日以内のアクセス許可メトリックのスナップショットが表示されます。

Permissions Management ダッシュボードのコンポーネント

Permissions Management ダッシュボードには、次の情報が表示されます。

  • 認可システムの種類: アクセスできる認可システムの種類 (AWS、Azure、GCP) のドロップダウン リスト。

  • 認可*システム*: アクセスできる、選択した認可*システム*のアカウント*とフォルダー*リスト*が表示されます。

    • アカウントとフォルダーを追加または削除するには、[名前] の一覧からアカウントとフォルダーを選択または選択解除し、[適用] を選択します。

  • アクセス許可*のクリープ インデックス* (PCI): この グラフ*には、PCI に寄与している ID* の数が表示されます。

    PCI グラフには、1 つ以上のバブルが表示される場合があります。 各バブルには、高リスクと見なされる ID の数が表示されます。 "高リスク" は、通常のまたは必要な使用を超えるアクセス許可を持つユーザーの数を表します。

    • 低 PCI中 PCI、および 高 PCI に寄与している ID の数の一覧を表示するには、グラフの右上にある [一覧] アイコンを選択します。
    • PCI グラフを再度表示するには、リスト ボックスの右上にある [グラフ] アイコンを選択します。

  • Highest PCI change (最も高い PCI 変更): アカウントの一覧と、過去 7 日間のインデックス内の [PCI][変更] に関する情報が表示されます。

    • 一覧をダウンロードするには、リスト ボックスの右上にある下矢印を選択します。

      メッセージ [We'll email you a link to download the file] (ファイルをダウンロードするためのリンクがメールで送信されます) が表示されます。

      • Permissions Management カスタマー サクセス チームからのメッセージがないかメールを確認します。 このメールには、Microsoft Excel 形式の [PCI history] (PCI 履歴) レポートへのリンクが含まれています。
      • メールには、[レポート] ダッシュボードへのリンクも含まれています。ここで、レポートを自動的に受信する方法とタイミングを構成できます。

    • すべての PCI 変更を表示するには、[すべて表示] を選択します。

  • ID: 以下を含む検出結果の概要。

    • 90 日間アクセスされていない非アクティブな ID の数。
    • 定期的にデータにアクセスするスーパー ID の数。
    • シークレット情報にアクセスできる ID の数: 機密またはシークレット情報にアクセスできるロールの一覧。
    • 現在アクセスしている内容よりも多くのアクセス許可を持つ過剰にプロビジョニングされたアクティブな ID。
    • アクセス許可のエスカレーションを含む ID の数: アクセス許可を増やせるロールの一覧。

    すべての ID の一覧を表示するには、[All findings] (すべての検出結果) を選択します。

  • リソース: 次に該当するリソースの数を含む検出結果の概要。

    • オープンなセキュリティ グループ
    • Microsoft のマネージド キー
    • S3 バケットにアクセスできるインスタンス
    • 暗号化されていない S3 バケット
    • SSE-S3 で暗号化されたバケット
    • 外部からアクセスできる S3 バケット

PCI ヒート マップ

An example of the PCI heatmap showing hundreds of identities which require investigation.

アクセス許可*のクリープ インデックス* ヒート マップ*は、高リスク*のアクセス許可*を利用できるユーザー*の負っているリスク*を示し、次の情報を提供します:

  • 高リスクのアクセス許可へのアクセス権を付与されたが、積極的に使用していないユーザー。 "高リスクのアクセス許可" には、認可システムの情報を変更または削除する機能が含まれます。

  • ユーザーがアクセスできるリソースの数 (リソース リーチとも呼ばれる)。

  • 高リスクのアクセス許可は、グラフに表示されるスコアを生成するためにユーザーがアクセスできるリソースの数と対になっています。

    アクセス許可は、"高"、"中"、"低" に分類されます。

    • (赤色で表示) - スコアは 68 から 100 の間です。 ユーザーは多数の高リスクのアクセス許可を利用できるが、使用しておらず、リソース リーチが高くなっています。
    • (黄色で表示) - スコアは 34 から 67 の間です。 ユーザーはいくつかの高リスクのアクセス許可を利用でき、使用しているか、またはリソース リーチが中程度です。
    • (緑色で表示) - スコアは 0 から 33 の間です。 ユーザーは、少数の高リスクのアクセス許可を利用できます。 彼らはすべてのアクセス許可を使用し、リソース リーチが低くなっています。

  • グラフに表示される数値は、特定のスコアに寄与しているユーザーの数を示しています。 ユーザーに関する詳細なデータを表示するには、数値にマウス カーソルを合わせます。

    分布グラフには、アクセス許可のクリープに寄与しているすべてのユーザーが表示されます。 ここに、特定のスコアに寄与しているユーザーの数が表示されます。 たとえば、PCI グラフのスコアが 14 の場合、グラフには 14 のスコアを持つユーザーの数が表示されます。

  • [PCI Trend] (PCI 傾向) グラフには、過去 90 日間にわたる PCI スコアの過去の傾向が表示されます。

    • [PCI history report] (PCI 履歴レポート) をダウンロードするには、[ダウンロード] を選択します。

ヒート マップに関する情報を表示する

  1. 表示するヒート マップ バブルの数を選択します。

    • ID の総数と、高、中、低の各カテゴリでの数。
    • 過去数週間の PCI 傾向

  2. ページの左側にあるヒート マップの下にある [ID] セクションには、ID に関するすべての関連する検出結果が表示されます。これには、シークレット情報にアクセスできるロール、非アクティブであるロール、過剰にプロビジョニングされたアクティブなロールなどが含まれます。

    • ID の完全な一覧を展開するには、[All findings] (すべての検出結果) を選択します。

  3. ページの右側にあるヒート マップの下にある [リソース] セクションには、リソースに関するすべての関連する検出結果が表示されます。 これには、暗号化されていない S3 バケット、オープンなセキュリティ グループなどが含まれます。

分析の概要

[分析] ダッシュボードに、ユーザーおよびアクティビティの概要セクションを表示することもできます。 このダッシュボードには、ユーザーがアクセスした次の高リスクのタスクまたはアクションのスナップショットが表示され、高リスクのアクセス権を持つユーザーの総数、非アクティブであるかまたは未実行のタスクを持つユーザーの数、アクティブであるかまたはタスクを実行したユーザーの数が表示されます。

  • Users with access to high-risk tasks (高リスクのタスクにアクセスできるユーザー): 高リスクのタスクにアクセスできるユーザーの総数 ([合計])、そのタスクにアクセスできるが使用していないユーザーの数 ([非アクティブ])、およびそのタスクを積極的に使用しているユーザーの数 ([アクティブ]) が表示されます。

  • Users with access to delete tasks (タスクを削除する権限を持つユーザー): タスクを削除する権限を持つユーザーの数 ([合計])、削除の権限を持っているが使用していないユーザーの数 ([非アクティブ])、および削除機能を積極的に実行しているユーザーの数 ([アクティブ]) を表示する、高リスクのタスクのサブセットです。

  • High-risk tasks accessible by users (ユーザーがアクセスできる高リスクのタスク): 認可システムで使用可能なすべての高リスクのタスク ([許可])、使用されていない高リスクのタスクの数 ([Unexecuted] (未実行))、および使用されている高リスクのタスクの数 ([実行済み]) が表示されます。

  • Delete tasks accessible by users (ユーザーがアクセスできる削除タスク): 認可システムで使用可能なすべての削除タスク ([許可])、使用されていない削除タスクの数 ([Unexecuted] (未実行))、および使用されている削除タスクの数 ([実行済み]) が表示されます。

  • Resources that permit high-risk tasks (高リスクのタスクが許可されるリソース): ユーザーがアクセスできるリソースの総数 ([合計])、使用可能だが使用されていないリソースの数 ([非アクティブ])、および使用されているリソースの数 ([アクティブ]) が表示されます。

  • Resources that permit delete tasks (削除タスクが許可されるリソース): 削除タスクが許可されているリソースの総数 ([合計])、使用されていない削除タスク実行可能リソースの数 ([非アクティブ])、および使用されている削除タスク実行可能リソースの数 ([アクティブ]) が表示されます。

次の手順