Microsoft Entra ID での特権アカウントのためのセキュリティ運用
ビジネス資産のセキュリティは、IT システムを管理する特権アカウントの整合性に依存します。 サイバー攻撃者は、資格情報窃盗攻撃や他の手法を使用して特権アカウントを標的にし、機密データにアクセスします。
従来、組織のセキュリティは、セキュリティ境界としてネットワークの入口と出口のポイントに重点を置いていました。 しかし、インターネット上のサービスとしてのソフトウェア (SaaS) アプリケーションと個人用デバイスでは、この方法があまり効果的ではありません。
Microsoft Entra ID は、ID およびアクセス管理 (IAM) をコントロール プレーンとして使用します。 組織の ID 層では、特権管理者ロールに割り当てられているユーザーが管理を行います。 アクセスに使用されるアカウントは、環境がオンプレミス、クラウド、またはハイブリッド環境のいずれであっても、保護しなければなりません。
お客様は、オンプレミスの IT 環境におけるすべての層のセキュリティに全責任を負います。 Azure サービスを使用する場合、防止と対応は、Microsoft (クラウド サービス プロバイダー) とお客様 (あなた) の共同責任となります。
- 共有責任モデルの詳細については、「クラウドにおける共有責任」を参照してください。
- 特権を持つユーザーのアクセスをセキュリティで保護する方法の詳細については、「Microsoft Entra ID でのハイブリッドおよびクラウド デプロイのための特権アクセスのセキュリティ保護」を参照してください。
- 特権 ID の主要概念に関するさまざまな動画、ハウツーガイド、およびコンテンツについては、Privileged Identity Management のドキュメントを参照してください。
監視するログ ファイル
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal から、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりできます。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:
Microsoft Sentinel。 セキュリティ情報イベント管理 (SIEM) 機能を備え、エンタープライズ レベルでのインテリジェントなセキュリティ分析を実現します。
Sigma ルール - Sigma は、ログ ファイルを解析するために、自動化された管理ツールで使用できる、ルールとテンプレートを記述するための、進化し続けるオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されています。
Azure Monitor。 さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
Azure Event Hubs と SIEM の統合。 Azure Event Hubs 統合を介して、Splunk、ArcSight、QRadar、Sumo Logic など、他の SIEM に Microsoft Entra ログをプッシュできるようにします。 詳細については、「Azure イベント ハブへのMicrosoft Entra ログのストリーム配信」を参照してください。
Microsoft Defender for Cloud Apps。 アプリの検出と管理、アプリとリソース全体のガバナンス、クラウド アプリのコンプライアンスの確認を行うことができます。
Microsoft Graph。 データをエクスポートし、Microsoft Graph を使用してより詳細な分析を行うことができます。 詳細については、Microsoft Graph PowerShell SDK と Microsoft Entra ID Protection に関するページを参照してください。
Identity Protection。 調査に役立つ 3 つの主要なレポートを生成します。
危険なユーザー。 リスクのあるユーザーに関する情報、検出の詳細、すべての危険なサインインの履歴、およびリスク履歴が含まれます。
危険なサインイン。疑わしい状況を示す可能性のあるサインインの状況に関する情報が含まれています。 このレポートの情報を調査するための追加情報については、「リスクを調査する」をご覧ください。
リスク検出。 リスクが検出されたときトリガーされるその他のリスクに関する情報や、サインインの場所などの他の関連情報、Microsoft Defender for Cloud Apps からの詳細情報が含まれます。
Identity Protection プレビューでワークロード ID のセキュリティ保護。 サインイン時の動作やオフラインでの侵害の兆候からワークロード ID のリスクを検出するために使用します。
この方法はお勧めしませんが、特権アカウントが永続的な管理者権限を持つことができます。 永続的な特権を使用することを選択した場合、そのアカウントが侵害されると、強い悪影響が及ぶ可能性があります。 特権アカウントの監視を優先し、そのアカウントを Privileged Identity Management (PIM) 構成に含めることをお勧めします。 PIM の詳細については、「Privileged Identity Management の使用開始」を参照してください。 さらに、その管理者アカウントについて、以下を検証することをお勧めします。
- 必須であること。
- 必要なアクティビティを実行するための最小限の特権を持っていること。
- 少なくとも多要素認証で保護されていること。
- 特権アクセス ワークステーション (PAW) またはセキュリティ保護された管理ワークステーション (SAW) デバイスから実行されていること。
以降では、監視とアラートが推奨される対象について説明します。 この記事は、脅威の種類ごとの分類を示しています。 特定の事前構築済みソリューションがある場合は、表の後にリンクを示しています。 それ以外の場合は、前述のツールを使用してアラートを作成できます。
この記事では、ベースラインの設定、特権アカウントのサインインと使用の監査について詳しく説明します。 また、特権アカウントの整合性を維持するために使用できるツールとリソースについても説明します。 内容は、次の項目で構成されています。
- 緊急時の "非常用" アカウント
- 特権アカウントのサインイン
- 特権アカウントの変更
- 特権グループ
- 特権の割り当てと昇格
緊急アクセス アカウント
Microsoft Entra テナントから誤ってロック アウトされないようにすることが重要です。 組織内に緊急アクセス アカウントを作成することで、誤ってロックアウトされた場合の影響を軽減することができます。 緊急アクセス アカウントは、火災報知器のような物理的セキュリティ機器に表示される "緊急時の非常用" メッセージのように、"非常用アカウント" としても知られています。
緊急アクセス アカウントは特権性が高いため、特定の個人には割り当てられません。 緊急アクセス アカウントは、通常の特権アカウントを使うことができない緊急時 (非常用) シナリオに限定されます。 たとえば、条件付きアクセス ポリシーが誤って構成され、通常の管理者アカウントがすべてロックアウトされた場合などです。 緊急アカウントの使用は、どうしても必要な場合のみに限定してください。
緊急時の対処法に関するガイダンスについては、Microsoft Entra ID の管理者向けのセキュリティで保護されたアクセス プラクティスに関するページを参照してください。
緊急アクセス アカウントが使用されるたびに、優先度の高いアラートを送信します。
探索
非常用アカウントは緊急時にのみ使用されるため、監視によってアカウント アクティビティが検出されないようにする必要があります。 緊急アクセス アカウントが使用または変更されるたびに、優先度の高いアラートを送信します。 次のいずれかのイベントは、悪意のあるアクターがあなたの環境を侵害しようとしていることを示している可能性があります。
- サインイン。
- アカウント パスワードの変更。
- アカウントのアクセス許可またはロールの変更。
- 資格情報または認証方法の追加または変更。
緊急アクセス アカウントの管理の詳細については、Microsoft Entra ID での緊急アクセス用管理者アカウントの管理に関するページを参照してください。 緊急アカウントのアラートの作成の詳細については、アラート ルールの作成に関するページを参照してください。
特権アカウントのサインイン
Microsoft Entra サインイン ログをデータ ソースとして使用して、特権アカウントのすべてのサインイン アクティビティを監視します。 このログには、サインインの成功と失敗に関する情報に加えて、次の詳細が含まれています。
- 割り込み
- Device
- 場所
- リスク
- Application
- 日付と時刻
- アカウントが無効になっているか
- ロックアウト
- MFA の不正
- 条件付きアクセスの失敗
監視する内容
特権アカウントのサインイン イベントは、Microsoft Entra サインイン ログで監視できます。 特権アカウントの次のイベントについてアラートを出して調査します。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| サインインの失敗、不正なパスワードしきい値 | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 50126 |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整し、誤ったアラートが生成されないようにします。 Microsoft Sentinel テンプレート Sigma ルール |
| 条件付きアクセス要件が原因による失敗 | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 53003 および 失敗の理由 = 条件付きアクセスによってブロック |
このイベントは、攻撃者がアカウントに侵入しようとしていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 名前付けポリシーに従わない特権アカウント | Azure サブスクリプション | Azure portal を使用して Azure でのロールの割り当てを一覧表示する | サブスクリプションのロール割り当てを一覧表示し、サインイン名が組織の形式と一致していない場合にアラートを出します。 たとえば、プレフィックスとしての ADM_ の使用です。 | |
| 割り込み | [高]、[中] | Microsoft Entra サインイン | 状態 = 中断 および エラー コード = 50074 および 失敗の理由 = 強力な認証が必要 状態 = 中断 および エラー コード = 500121 失敗の理由 = 強力な認証の要求時に、認証に失敗しました |
このイベントは、攻撃者がアカウントのパスワードを持っていても、多要素認証チャレンジに合格できないことを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 名前付けポリシーに従わない特権アカウント | 高 | Microsoft Entra ディレクトリ | Microsoft Entra ロールの割り当てを一覧表示する | UPN が組織の形式と一致しない Microsoft Entra ロールとアラートのロール割り当てを一覧表示します。 たとえば、プレフィックスとしての ADM_ の使用です。 |
| 多要素認証に登録されていない特権アカウントを検出します | 高 | Microsoft Graph API | 管理者アカウントの IsMFARegistered eq false のクエリ。 credentialUserRegistrationDetails の一覧表示 - Microsoft Graph ベータ版 | 監査と調査を行って、このイベントが意図的なのか、見落としなのかを判断します。 |
| アカウントのロックアウト | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 50053 |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整し、誤ったアラートが生成されないようにします。 Microsoft Sentinel テンプレート Sigma ルール |
| アカウントがサインインで無効またはブロックされる | 低 | Microsoft Entra サインイン ログ | 状態 = 失敗 および ターゲット = ユーザー UPN および エラー コード = 50057 |
このイベントは、誰かが組織を退職した後にアカウントにアクセスしようとしていることを示している可能性があります。 このアカウントはブロックされていますが、このアクティビティについて記録し、アラートを出すことが重要です。 Microsoft Sentinel テンプレート Sigma ルール |
| MFA 不正アクセスのアラートまたはブロック | 高 | Microsoft Entra サインイン ログ/Azure Log Analytics | サインイン>認証詳細 結果詳細 = MFA 拒否、不正なコードの入力) | 特権ユーザーは、自分が多要素認証プロンプトを引き起こしていないと示しており、これは、攻撃者がアカウントのパスワードを持っていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| MFA 不正アクセスのアラートまたはブロック | 高 | Microsoft Entra 監査ログ/Azure Log Analytics | アクティビティの種類 = 不正報告 - MFA または 不正報告によりユーザーをブロックしています - 対応を行いませんでした (不正報告のテナント レベル設定による) | 特権ユーザーは、自分が多要素認証プロンプトを引き起こしていないと示しており、これは、攻撃者がアカウントのパスワードを持っていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 想定された制御の範囲外の特権アカウント サインイン | Microsoft Entra サインイン ログ | 状態 = 失敗 UserPricipalName = <管理者アカウント> 場所 = <未承認の場所> IP アドレス = <未承認の IP> デバイス情報 = <承認されていないブラウザー、オペレーティング システム> |
未承認として定義したエントリを監視し、アラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
|
| 通常のサインイン時間外 | 高 | Microsoft Entra サインイン ログ | 状態 = 成功 および 場所 = および 時間 = 勤務時間外 |
想定される時間外にサインインが発生した場合について監視し、アラートを出します。 各特権アカウントの通常の勤務パターンを見つけて、通常の勤務時間外に予定外の変更が発生した場合にアラートを出すことが重要です。 通常の勤務時間外のサインインが、侵害や内部関係者の脅威の可能性を示している場合があります。 Microsoft Sentinel テンプレート Sigma ルール |
| ID 保護のリスク | 高 | ID 保護のログ | リスク状態 = リスクあり および リスク レベル = 低、中、高 および アクティビティ = 通常とは異なるサインイン/TOR など |
このイベントは、そのアカウントへのサインインに何らかの異常が検出されたことを示しており、アラートを出す必要があります。 |
| パスワードの変更 | 高 | Microsoft Entra 監査ログ | アクティビティ アクター = 管理者/セルフサービス および ターゲット = ユーザー および 状態 = 成功または失敗 |
管理者アカウントのパスワードの変更についてアラートを出します (特にグローバル管理者、ユーザー管理者、サブスクリプション管理者、緊急アクセス アカウントの場合)。 すべての特権アカウントをターゲットにしたクエリを作成します。 Microsoft Sentinel テンプレート Sigma ルール |
| レガシ認証プロトコルの変更 | 高 | Microsoft Entra サインイン ログ | クライアント アプリ = その他のクライアント、IMAP、POP3、MAPI、SMTP など および ユーザー名 = UPN および アプリケーション = Exchange (例) |
多くの攻撃ではレガシ認証が使用されます。そのため、ユーザーの認証プロトコルに変更があった場合は、攻撃を示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 新しいデバイスまたは場所 | 高 | Microsoft Entra サインイン ログ | デバイス情報 = デバイス ID および Browser および OS および 準拠している/マネージド および ターゲット = ユーザー および 場所 |
ほとんどの管理者アクティビティは、限られた数の場所からの特権アクセス デバイスからのものである必要があります。 このため、新しいデバイスや場所についてアラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
| 監査アラートの設定が変更された | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティ = PIM アラートの無効化 および 状態 = 成功 |
コア アラートに対する変更は、想定外の場合にアラートを出す必要があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 他の Microsoft Entra テナントに対して認証を行う管理者 | 中 | Microsoft Entra サインイン ログ | 状態 = 成功 リソースの tenantID != ホーム テナント ID |
特権ユーザーにスコープを設定したとき、このモニターは管理者が組織のテナント内の ID を使用して別の Microsoft Entra テナントに対して正常に認証されたことを検出します。 リソース TenantID がホーム テナント ID と等しくない場合にアラートを生成します Microsoft Sentinel テンプレート Sigma ルール |
| 管理者ユーザーの状態が [ゲスト] から [メンバー] に変更された | 中 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの更新 カテゴリ: UserManagement UserType が [ゲスト] から [メンバー] に変更された |
ユーザーの種類の [ゲスト] から [メンバー] への変更を監視し、アラートを生成します。 この変更は予期されていたものですか? Microsoft Sentinel テンプレート Sigma ルール |
| 承認されていない招待元によってテナントに招待されたゲスト ユーザー | 中 | Microsoft Entra 監査ログ | アクティビティ: 外部ユーザーを招待する カテゴリ: UserManagement 開始者 (アクター): ユーザー プリンシパル名 |
外部ユーザーを招待する承認されていないアクターを監視し、アラートを生成します。 Microsoft Sentinel テンプレート Sigma ルール |
特権アカウントによる変更
特権アカウントによって完了および試行された変更をすべて監視します。 このデータにより、各特権アカウントの通常のアクティビティが何であるかを確定し、想定から逸脱したアクティビティについてアラートを出すことができます。 Microsoft Entra 監査ログは、この種類のイベントを記録するために使用されます。 Microsoft Entra 監査ログの詳細については、「Microsoft Entra ID の監査ログ」を参照してください。
Microsoft Entra Domain Services
Microsoft Entra Domain Services でアクセス許可が割り当てられている特権アカウントは、Microsoft Entra Domain Services を使用する Azure ホステッド仮想マシンのセキュリティ体制に影響を与える Microsoft Entra Domain Services のタスクを実行できます。 仮想マシンでセキュリティ監査を有効にして、ログを監視します。 Microsoft Entra Domain Services 監査の有効化に関する詳細と、機密性の高い特権アクセスの一覧については、次のリソースを参照してください。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 試行および完了された変更 | 高 | Microsoft Entra 監査ログ | 日付と時刻 および サービス および アクティビティの名前とカテゴリ ("何") および 状態 = 成功または失敗 および 移行先 および イニシエーターまたはアクター (誰か) |
予定外の変更について、直ちにアラートを出す必要があります。 これらのログは、あらゆる調査に役立てるために保持する必要があります。 テナントのセキュリティ体制を低下させるようなすべてのテナント レベルの変更は、直ちに調査する必要があります (インフラストラクチャ ドキュメントにリンク)。 たとえば、アカウントを多要素認証または条件付きアクセスから除外する。 アプリケーションに対する追加または変更があった場合にアラートを出します。 「アプリケーションのための Microsoft Entra セキュリティ運用ガイド」を参照してください。 |
| 例 価値の高いアプリまたはサービスに対する変更の試行または完了 |
高 | 監査ログ | サービス および アクティビティのカテゴリと名前 |
日付と時刻、サービス、アクティビティのカテゴリと名前、状態 = 成功または失敗、ターゲット、イニシエーターまたはアクター (誰か) |
| Microsoft Entra Domain Services での特権的な変更 | 高 | Microsoft Entra Domain Services | イベント 4673 を探す | Microsoft Entra DS でセキュリティ監査を有効にする すべての特権イベントの一覧については、「機密性が高い特権の使用の監査」を参照してください。 |
特権アカウントに対する変更
特権アカウントの認証規則と特権に対する変更を調査します。これが特に該当するのは、この変更によって、Microsoft Entra 環境でより大きな特権またはタスクを実行する能力が付与される場合です。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 特権アカウントの作成 | 中 | Microsoft Entra 監査ログ | サービス = コア ディレクトリ および カテゴリ = ユーザー管理 および アクティビティの種類 = ユーザーの追加 -次と関連- カテゴリの種類 = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加 および 変更されたプロパティ = Role.DisplayName |
特権アカウントの作成を監視します。 アカウントの作成から削除までの時間間隔が短いという相関関係を探します。 Microsoft Sentinel テンプレート Sigma ルール |
| 認証方法に対する変更 | 高 | Microsoft Entra 監査ログ | サービス = 認証方法 および アクティビティの種類 = ユーザーが登録したセキュリティ情報 および カテゴリ = ユーザー管理 |
この変更は、攻撃者が認証方法をアカウントに追加して、継続的にアクセスできるようにしていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 特権アカウントのアクセス許可に対する変更についてアラートを出します | 高 | Microsoft Entra 監査ログ | カテゴリ = ロール管理 および アクティビティの種類 = 対象メンバーの追加 (永続的) または アクティビティの種類 = 対象メンバーの追加 (対象) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
このアラートは特に、アカウントに割り当てられているロールが不明なものであったり、通常の責任の範囲外のものであったりする場合に該当します。 Sigma ルール |
| 使用されていない特権アカウント | 中 | Microsoft Entra アクセス レビュー | 非アクティブな特権ユーザー アカウントに対して毎月のレビューを行います。 Sigma ルール |
|
| 条件付きアクセスの適用が除外されたアカウント | 高 | Azure Monitor ログ または アクセス レビュー |
条件付きアクセス = 分析情報とレポート | 条件付きアクセスの適用が除外されたアカウントは、セキュリティ制御を回避している可能性が高く、侵害に対してより脆弱です。 非常用アカウントは除外されます。 非常用アカウントを監視する方法については、この記事で後述する説明をご覧ください。 |
| 特権アカウントへの一時アクセス パスの追加 | 高 | Microsoft Entra 監査ログ | アクティビティ: 管理者が登録したセキュリティ情報 状態の理由: 管理者がユーザーに対して登録した一時アクセス パス方法 カテゴリ: UserManagement 開始者 (アクター): ユーザー プリンシパル名 ターゲット: ユーザー プリンシパル名 |
特権ユーザーに対して作成されている一時アクセス パスを監視し、アラートを生成します。 Microsoft Sentinel テンプレート Sigma ルール |
条件付きアクセス ポリシーの例外を監視する方法の詳細については、「条件付きアクセスに関する分析情報とレポート」を参照してください。
使用されていない特権アカウントの検出の詳細については、「Privileged Identity Management で Microsoft Entra ロールのアクセス レビューを作成する」を参照してください。
割り当てと昇格
昇格した能力を持つ特権アカウントを永続的にプロビジョニングすると、攻撃対象が増え、セキュリティ境界に対するリスクが高まる可能性があります。 代わりに、昇格手順を使用して Just-In-Time アクセスを採用します。 この種類のシステムでは、特権ロールの資格を割り当てることができます。 管理者は、これらの特権を必要とするタスクを実行する場合にのみ、特権をそれらのロールに昇格させます。 昇格プロセスを使用することで、特権アカウントの昇格と不使用を監視できます。
ベースラインを確立する
例外を監視するには、最初にベースラインを作成する必要があります。 これらの要素について、以下の情報を確認してください
管理者アカウント
- 特権アカウント戦略
- オンプレミスのリソースを管理するためのオンプレミス アカウントの使用
- クラウドベースのリソースを管理するためのクラウドベース アカウントの使用
- オンプレミスおよびクラウドベースのリソースの管理アクセス許可を分離および監視する方法
特権ロール保護
- 管理者特権を持つロールの保護戦略
- 特権アカウントの使用に関する組織ポリシー
- 永続的な特権を維持するための戦略および原則と、時間の制約がある承認されたアクセスを提供するための戦略と原則
ポリシーを決定する際には、次の概念と情報が役立ちます。
- Just-In-Time 管理の原則。 Microsoft Entra ログを使用して、環境内で共通する管理タスクを実行するための情報を取得します。 このタスクを完了するために必要な通常の時間を決定します。
- 必要十分な管理者の原則。 管理タスクに必要な最小限の特権を持つロールを決定します (これはカスタム ロールである場合もあります)。 詳細については、「Microsoft Entra ID のタスク別の最小特権ロール」を参照してください。
- 昇格ポリシーを確立する。 昇格された特権の必要性の種類と、各タスクで必要とされる時間を把握したら、環境に対して昇格された特権使用を反映するポリシーを作成します。 たとえば、グローバル管理者のアクセスを 1 時間に制限するポリシーを定義します。
ベースラインを確立してポリシーを設定したら、ポリシーの範囲を超える使用状況を検出してアラートを出すように監視を構成できます。
探索
特権の割り当てと昇格における変更に特別な注意を払い、調査します。
監視する内容
特権アカウントの変更を、Microsoft Entra 監査ログと Azure Monitor ログを使用して監視できます。 監視プロセスには次の変更を含めてください。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 対象特権ロールへの追加 | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加が完了 (対象) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
ロールの対象となるすべてのアカウントに特権アクセスが与えられるようになりました。 割り当てが予期しないものであるか、アカウント所有者の責任でないロールに割り当てられている場合は、調査してください。 Microsoft Sentinel テンプレート Sigma ルール |
| PIM の範囲外で割り当てられたロール | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加 (永続的) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
これらのロールは注意深く監視し、アラートを出す必要があります。 ユーザーには、可能な限り PIM の範囲外のロールを割り当てないでください。 Microsoft Sentinel テンプレート Sigma ルール |
| 標高 | 中 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加が完了しました (PIM アクティブ化) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
特権アカウントは、昇格後、テナントのセキュリティに影響を与える可能性のある変更を行えるようになります。 すべての昇格がログに記録される必要があります。また、そのユーザーの標準パターンの範囲外で起きている場合はアラートを出し、計画されていない場合は調査する必要があります。 |
| 昇格の承認と拒否 | 低 | Microsoft Entra 監査ログ | サービス = アクセス レビュー および カテゴリ = ユーザー管理 および アクティビティの種類 = 要求が承認または拒否された および 開始したアクター = UPN |
昇格が攻撃のタイムラインを明示している可能性があるので、すべての昇格を監視してください。 Microsoft Sentinel テンプレート Sigma ルール |
| PIM 設定の変更 | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = PIM のロール設定の更新 および ステータスの理由 = アクティブ化の MFA が無効になっている (例) |
これらのアクションの 1 つにより PIM 昇格のセキュリティが低下し、攻撃者が特権アカウントを取得しやすくなります。 Microsoft Sentinel テンプレート Sigma ルール |
| 昇格が SAW/PAW で行われていない | 高 | Microsoft Entra サインイン ログ | Device ID および Browser および OS および 準拠している/マネージド 次と関連: サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加が完了しました (PIM アクティブ化) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
この変更が構成されている場合は、PAW/SAW 以外のデバイスでの昇格の試行は、攻撃者がアカウントを使用しようとしていることを示す可能性があるため、すぐに調査する必要があります。 Sigma ルール |
| すべての Azure サブスクリプションを管理するための昇格 | 高 | Azure Monitor | [アクティビティ ログ] タブ [ディレクトリ アクティビティ] タブ 操作名 = 呼び出し元をユーザー アクセス管理者に割り当てます - および - イベント カテゴリ = 管理 および 状態 = 成功、開始、失敗 および イベントの開始者 (アクター) |
この変更は、計画されたものでない場合は直ちに調査する必要があります。 この設定により、攻撃者がユーザーの環境内の Azure サブスクリプションにアクセスできる可能性があります。 |
昇格の管理の詳細については、「Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる」を参照してください。 Microsoft Entra ログで利用可能な情報を使用した昇格の監視の詳細については、Azure Monitor のドキュメントの一部である「Azure アクティビティ ログ」を参照してください。
Azure ロールに対するアラートの構成の詳細については、「Privileged Identity Management で Azure リソース ロールに対するセキュリティ アラートを構成する」を参照してください。
次のステップ
これらのセキュリティ運用ガイドの記事を参照してください。
Microsoft Entra のセキュリティ オペレーションの概要