Identity Protection プレビューでワークロード ID のセキュリティ保護

[アーティクル]
11/29/2022

Azure AD Identity Protection は、ID ベースのリスクを検出、調査、修復することでユーザーを保護してきました。現在、これらの機能をワークロード ID に拡張して、アプリケーション、サービスプリンシパル、マネージド ID を保護します。

ワークロード ID とは、アプリケーションまたはサービスプリンシパルが (場合によってはユーザーのコンテキストで) リソースにアクセスすることを可能にする ID です。これらのワークロード ID は、従来のユーザーアカウントとは次のように異なります。

多要素認証を実行できません。
通常、正式なライフサイクルプロセスがありません。
資格情報またはシークレットをどこかに保存する必要があります。

これらの違いによって、ワークロード ID の管理が難しくなり、侵害リスクが高くなります。

重要

パブリックプレビューでは、テナントで有効な Identity Protection と Azure Active Directory Premium P2 エディションを使用して、ワークロード ID を保護できます。一般公開が終了したら、追加のライセンスが必要になる場合があります。

前提条件

新しい [リスクの高いワークロード ID (プレビュー)] ブレードや [リスク検出] ブレードの [ワークロード ID 検出] タブなど、ワークロード ID リスクを利用するには、Azure portal で次が必要です。

Azure AD Premium P2 ライセンス
次のいずれかの管理者ロールが割り当てられています。
- グローバル管理者
- セキュリティ管理者
- セキュリティオペレーター
- セキュリティ閲覧者

条件付きアクセス管理者ロールを割り当てられたユーザーは、リスクを条件として使用するポリシーを作成できます。

ワークロード ID のリスク検出

サインイン時の動作やオフラインでの侵害の兆候からのワークロード ID のリスクを検します。

検出名	検出の種類	説明
Azure AD 脅威インテリジェンス	オフライン	このリスク検出は、Microsoft の内部および外部の脅威インテリジェンスソースに基づいて既知の攻撃パターンに一致するアクティビティを示しています。
疑わしいサインイン	オフライン	このリスク検出は、このサービスプリンシパルにとって通常とは異なるサインインプロパティまたはパターンを示します。この検出機能は、2 日から 60 日の間に、テナント内のワークロード ID の基本的なサインイン動作を学習し、その後のサインイン時に1 つ以上の見慣れないプロパティIP アドレス/ASN、ターゲットリソース、ユーザーエージェント、ホスティング/非ホスティング IP の変更、IP カントリー、クレデンシャルタイプ。(IP アドレス/ASN、ターゲットリソース、ユーザーエージェント、ホスティング/非ホスティング IP の変更、IP の国、資格情報の種類) が現れた場合に警告を発します。プログラムの性質上、ワークロードID サインインについては、特定のサインインイベントにフラグを設定するのではなく、疑わしいアクティビティの timestamp を提供します。承認された構成の変更後に開始されるサインインによって、この検出がトリガーされる場合があります。
管理者がアカウントのセキュリティ侵害を確認しました	オフライン	この検出は、管理者が "危険なワークロード ID" UI で、または riskyServicePrincipals API を使用して、[セキュリティ侵害を確認しますか?] を選択したことを示します。このアカウントに対するセキュリティが侵害されたことを確認した管理者を調べるには、アカウントのリスク履歴を (UI または API 経由で) 確認します。
漏えいした資格情報	オフライン	このリスク検出は、アカウントの有効な資格情報が漏洩したことを示します。この漏洩は、他のユーザーが GitHub のパブリックコードアーティファクトで資格情報にチェックインしたとき、またはデータ侵害によって資格情報が漏洩したときに発生する可能性があります。 Microsoft の漏洩した資格情報サービスで、GitHub、闇サイト、貼り付けサイト、またはその他のソースから資格情報が取得された場合は、有効な一致を見つけるために Azure AD の現在の有効な資格情報に対してチェックされます。
悪意のあるアプリケーション	オフライン	この検出は、サービス使用条件に違反したアプリケーションを Microsoft が無効にしたことを示します。アプリケーションの調査を実施することをお勧めします。
疑わしいアプリケーション	オフライン	この検出は、Microsoft のサービス使用条件に違反している可能性のあるアプリケーションを Microsoft が特定したが、無効にしていないことを示します。アプリケーションの調査を実施することをお勧めします。
サービスプリンシパルの異常なアクティビティ	オフライン	このリスク検出では、Azure AD での通常の管理サービスプリンシパルの動作がベースライン化され、ディレクトリに対する疑わしい変更などの異常な動作パターンが検出されます。検出は、変更を行った管理サービスプリンシパルまたは変更されたオブジェクトに対してトリガーされます。

リスクの高いワークロード ID の特定

組織は、次の 2 つの場所で、リスクのフラグが立てられたワークロード ID を見つけられます。

Azure Portal に移動します。
[Azure Active Directory] [>セキュリティ]>[リスクの高いワークロード ID (プレビュー)] を参照してください。
または、[Azure Active Directory]>[セキュリティ]>[リスク検出] を参照してください。
1. [ワークロード ID の検出] タブを選択します。

Graph API

Microsoft Graph API を使用して、リスクの高いワークロード ID に対してクエリを実行することもできます。 Identity 保護 API には 2 つの新しいコレクションがあります

riskyServicePrincipals
servicePrincipalRiskDetections

リスクデータのエクスポート

組織は、Azure ADの診断設定を構成することでデータをエクスポートし、リスクデータを Log Analytics ワークスペースに送信したり、ストレージアカウントにアーカイブしたり、イベントハブにストリーミングしたり、SIEM ソリューションに送信したりすることができます。

リスクベースの条件付きアクセスを使用してアクセス制御を適用する

ワークロード ID に条件付きアクセスを使用すると、Identity Protection で "危険" としてマークするときに選択した特定のアカウントのアクセスをブロックできます。ポリシーは、お使いのテナントに登録されているシングルテナントサービスプリンシパルに適用できます。サードパーティの SaaS、マルチテナントアプリ、マネージド ID はスコープ外です。

リスクの高いワークロード ID の調査

Identity 保護を使用すると、ワークロード IDのリスクを調査するために使用できる 2 種類のレポートが組織に提供されます。これらのレポートは、リスクの高いワークロード ID と、ワークロード ID のリスク検出です。すべてのレポートは、Azure portal の外部で詳細な分析を行うために、イベントを .CSV 形式でダウンロードできます。

調査の際の重要な質問には以下のようなものがあります。

アカウントに疑わしいサインインの動きはありますか？
資格情報に不正な変更が加えられていますか？
アカウントに対して疑わしい構成変更が行われていますか？
アカウントは不正なアプリケーションロールを取得しましたか?

アプリケーション向けの Azure Active Directory セキュリティ運用ガイドでは、上記の調査項目に関する詳細なガイダンスを提供しています。

ワークロード ID が侵害されたかどうかを判断したら、リスクの高いワークロード ID (プレビュー) レポートで、アカウントのリスクを却下するか、アカウントが侵害されたことを確認します。アカウントがサインインされないようにしたい場合は、"サービスプリンシパルを無効にする"を選択します。

リスクの高いワークロード ID の修復

サービスプリンシパルまたはアプリケーションオブジェクトなど、リスクの高いワークロード ID に割り当てられたインベントリの資格情報。
新しい資格情報を作成します。 Microsoft では、x509 証明書の使用をお勧めします。
侵害された資格情報を削除します。アカウントが危険にさらされている可能性がある場合は、既存のすべての資格情報を削除することをお勧めします。
サービスプリンシパルがアクセスしている Azure KeyVault シークレットをローテーションして修復します。

Azure AD Toolkitは、これらのアクションの一部を実行するのに役立つ PowerShell モジュールです。