デバイスに対する Microsoft Entra セキュリティ オペレーション
デバイスが ID ベースの攻撃の対象にされることはあまりありません。しかし、セキュリティ制御への適合を偽装したり、ユーザーを偽装したりするために、デバイスが利用される "可能性はあります"。 デバイスは、Microsoft Entra ID と次の 4 つのいずれかの関係を持つことができます。
登録済みデバイスおよび参加済みデバイスには、プライマリ更新トークン (PRT) が発行されます。PRT はプライマリ認証アーティファクトとして使用できるほか、多要素認証アーティファクトとして使用されることもあります。 攻撃者は、自身のデバイスを登録したり、正当なデバイスの PRT を使用してビジネス データにアクセスしたり、正当なユーザー デバイスから PRT ベースのトークンを盗もうとしたり、Microsoft Entra ID のデバイスベースの制御に含まれる構成ミスを見つけたりすることがあります。 Microsoft Entra のハイブリッド参加済みのデバイスでは、参加プロセスの開始と制御は管理者が行うため、発生し得る攻撃方法の数が減ります。
デバイスの統合方法の詳細については、Microsoft Entra デバイスのデプロイの計画の統合方法の選択に関する説明を参照してください。
悪意のあるアクターからデバイス経由でインフラストラクチャに攻撃を受けるリスクを減らすには、次のものを監視してください
デバイスの登録と Microsoft Entra への参加
アプリケーションにアクセスする非準拠デバイス
BitLocker キーの取得
デバイス管理者ロール
仮想マシンへのサインイン
確認すべき対象
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal から、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりできます。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:
Microsoft Sentinel – セキュリティ情報イベント管理 (SIEM) 機能を備え、エンタープライズ レベルでインテリジェントにセキュリティを分析します。
Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 その代わり、リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。
Azure Monitor - さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
Azure Event Hubs (SIEM と統合)- Microsoft Event Hubs ログは、Azure Event Hubs 統合を介して Splunk、ArcSight、QRadar、Sumo Logic などの他の SIEM と統合できます。
Microsoft Defender for Cloud Apps – アプリを検出し、アプリを管理し、すべてのアプリとリソースを制御し、クラウド アプリのコンプライアンス状況を確認できます。
Identity Protection プレビューを使用してワークロード ID をセキュリティで保護する - サインイン動作とオフラインでの侵害の兆候からワークロード ID のリスクを検出するために使用されます。
監視およびアラートの対象となるのは、条件付きアクセス ポリシーの影響がほとんどです。 条件付きアクセスに関する分析情報とレポート ブックを使用して、1 つまたは複数の条件付きアクセス ポリシーがサインインに及ぼしている影響と、デバイスの状態などのポリシーの結果を確認できます。 このブックでは、概要を確認し、指定期間における影響を特定できます。 また、このブックを使用して、特定のユーザーのサインインを調査することもできます。
以降では、監視とアラートが推奨される対象について説明し、脅威の種類ごとの分類も示します。 特定の事前構築済みソリューションがある場合は、リンクを示すか、表の後にサンプルを提供しています。 それ以外の場合は、前述のツールを使用してアラートを作成できます。
ポリシー対象外のデバイスの登録と参加
Microsoft Entra 登録済みおよび Microsoft Entra 参加済みデバイスは、単一の認証要素に相当するプライマリ更新トークン (PRT) を保有しています。 これらのデバイスには、強力な認証要求が含まれることもあります。 PRT に強力な認証要求が含まれる状況の詳細については、「PRT が MFA 要求を受けるのはいつですか?」を参照してください。 悪意のあるアクターがデバイスの登録および参加を行えないようにするために、デバイスの登録または参加には多要素認証 (MFA) を必須としてください。 さらに、MFA なしで登録または参加したデバイスがないか監視してください。 また、MFA の設定とポリシーや、デバイス コンプライアンス ポリシーが変更されていないかどうかを監視する必要もあります。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| MFA なしで行われたデバイスの登録または参加 | Medium | サインイン ログ | アクティビティ: デバイス登録サービスへの認証成功。 および MFA が必須とされていない |
アラートのタイミング: MFA なしでのデバイスの登録または参加 Microsoft Sentinel テンプレート Sigma ルール |
| Microsoft Entra ID におけるデバイス登録の MFA のトグルに対する変更 | 高 | 監査ログ | アクティビティ: デバイス登録ポリシーの設定 | 調査項目: トグルがオフに設定されていないかどうか。 監査ログのエントリがない。 定期的なチェックをスケジュールしてください。 Sigma ルール |
| ドメイン参加済みデバイスまたは準拠デバイスを必須とする条件付きアクセス ポリシーに対する変更。 | 高 | 監査ログ | 条件付きアクセス ポリシーの変更 |
アラートのタイミング: ドメインに参加または準拠している必要があるすべてのポリシーの変更、信頼できる場所の変更、または MFA ポリシー例外へのアカウントまたはデバイスの追加。 |
Microsoft Sentinel を使用し、MFA なしでデバイスを登録したとき、デバイスに参加したときに適切な管理者に通知するアラートを作成できます。
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
また、Microsoft Intune を使用してデバイス コンプライアンス ポリシーの設定および監視を行うこともできます。
非準拠デバイスのサインイン
条件付きアクセス ポリシーで準拠デバイスを必須とするだけでは、クラウド アプリケーションおよびソフトウェアとしてのサービス アプリケーションへのアクセスをブロックしきれないことがあります。
Windows 10 デバイスのポリシー準拠を維持するには、モバイル デバイス管理 (MDM) が役立ちます。 Windows バージョン 1809 より、ポリシーのセキュリティ ベースラインがリリースされています。 Microsoft Entra ID を MDM と統合することで、企業ポリシーへの準拠をデバイスに適用し、デバイスの準拠状況をレポートできます。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 非準拠デバイスによるサインイン | 高 | サインイン ログ | DeviceDetail.isCompliant == false | 準拠しているデバイスからのサインインが必要な場合のアラートのタイミング: 非準拠デバイスによるすべてのサインイン、または MFA や信頼できる場所を持たないすべてのアクセス。 デバイスの必須化に取り組む場合、不審なサインインがないか監視してください。 |
| 不明なデバイスによるサインイン | 低 | サインイン ログ | DeviceDetail が空、単一要素認証、または信頼されていない場所からの場合 | 調査項目: 非準拠デバイスからのすべてのアクセス、MFA または信頼できる場所を持たないすべてのアクセス Microsoft Sentinel テンプレート Sigma ルール |
LogAnalytics を使用してクエリを実行する
非準拠デバイスによるサインイン
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
不明なデバイスによるサインイン
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
古くなったデバイス
古くなったデバイスには、一定期間にわたりサインインしなかったデバイスが含まれます。 ユーザーが新しいデバイスを入手するかデバイスを紛失した場合や、Microsoft Entra 参加済みデバイスがワイプまたは再プロビジョニングされた場合、デバイスは古くなったと見なされます。 また、ユーザーがテナントと関連付けられなくなった場合でも、デバイスは登録済みまたは参加済みの状態のままになる可能性があります。 古くなったデバイスは、そのプライマリ更新トークン (PRT) を使用できないように削除する必要があります。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 前回のサインイン日時 | 低 | Graph API | approximateLastSignInDateTime | Graph API または PowerShell を使用して、古くなったデバイスを特定し削除してください。 |
BitLocker キーの取得
ユーザーのデバイスを侵害した攻撃者は、Microsoft Entra ID の BitLocker キーを取得する可能性があります。 ユーザーがキーを取得することはめったにないため、このような事態について監視および調査する必要があります。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| キーの取得 | Medium | 監査ログ | OperationName == "Read BitLocker key" | 調査項目: キーを取得したユーザーによる他の異常な行動。 Microsoft Sentinel テンプレート Sigma ルール |
LogAnalytics で次のようなクエリを作成します。
AuditLogs
| where OperationName == "Read BitLocker key"
デバイス管理者ロール
グローバル管理者およびクラウド デバイス管理者には、すべての Microsoft Entra 参加済みデバイスのローカル管理者権限が自動で付与されます。 環境の安全を保つには、これらの権限を持つユーザーを監視することが重要です。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| グローバル管理者ロールまたはデバイス管理者ロールに追加されたユーザー | 高 | 監査ログ | アクティビティの種類 = ロールへのメンバーの追加。 | 調査項目: これらの Microsoft Entra ロールに追加された新しいユーザー、マシンまたはユーザーによる以降の異常な動作。 Microsoft Sentinel テンプレート Sigma ルール |
Azure AD 以外からの仮想マシンへのサインイン
Windows または Linux 仮想マシン (VM) へのサインインで、Microsoft Entra アカウント以外のアカウントでのサインインがないか監視してください。
LINUX への Microsoft Entra サインイン
組織は Linux への Microsoft Entra サインインを使用することで、Microsoft Entra アカウントを使用し Secure Shell プロトコル (SSH) 経由で Azure Linux VM にサインインできます。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| Azure AD アカウント以外からのサインイン (特に SSH 経由) | 高 | ローカル認証ログ | Ubuntu: /var/log/auth.log で SSH の使用状況を監視する Red Hat: /var/log/sssd/ で SSH の使用状況を監視する |
調査項目: Azure AD 以外のアカウントが VM への接続に成功したことを示すエントリ。 次の例を参照してください。 |
Ubuntu の例:
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01 (5 月 9 日 23:49:39 ubuntu1804 aad_certhandler[3915]: バージョン: 1.0.015570001; ユーザー: localusertest01)
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: ユーザー 'localusertest01' は Microsoft Entra ユーザーではありません; 空の結果が返されました。
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01 (5 月 9 日 23:49:43 ubuntu1804 aad_certhandler[3916]: バージョン: 1.0.015570001; ユーザー: localusertest01)
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: ユーザー 'localusertest01' は Microsoft Entra ユーザーではありません; 空の結果が返されました。
May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ (5 月 9 日 23:49:43 ubuntu1804 sshd[3909]: 192.168.0.15 ポート 53582 ssh2 からの localusertest01 について公的に受け入れられました: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ)
May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0). (5 月 9 日 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): ユーザー localusertest01 に対してセッションが (uid=0) で開かれました。)
Linux VM へのサインインに対するポリシーを設定し、未承認のローカル アカウントが追加された Linux VM を検出してフラグを設定できます。 詳細については、「Azure Policy を使用して、標準および評価コンプライアンスを確保する」を参照してください。
Windows Server への Microsoft Entra サインイン
組織は、Windows への Microsoft Entra サインインを使用することで、Microsoft Entra アカウントを使用しリモート デスクトップ プロトコル (RDP) 経由で Windows 2019 以降の Azure VM にサインインできます。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| Azure AD アカウント以外からのサインイン (特に RDP 経由) | 高 | Windows Server イベント ログ | Windows VM への対話型ログイン | イベント 528、ログオンの種類 10 (RemoteInteractive)。 ターミナル サービスまたはリモート デスクトップ経由でユーザーがサインインしたときに表示されます。 |
次のステップ
Microsoft Entra のセキュリティ オペレーションの概要