Identity Protection とは
Identity Protection を使用することで、組織は次の 3 つの主要なタスクを実行することができます。
- ID ベースのリスクの検出と修復を自動化します。
- ポータルのデータを使用してリスクを調査します。
- リスク検出データを他のツールにエクスポートします。
Identity Protection は、Azure Active Directory により組織について、Microsoft アカウントによりコンシューマー領域について、そして Xbox によりゲームについて得られた学習内容を使用して、ユーザーを保護します。 Microsoft は、脅威を特定し顧客を保護するために、1 日あたり何兆もの信号を分析します。
Identity Protection によって生成された信号、受信した信号は、条件付きアクセスなどのツールにさらに送信してアクセスに関する決定を行うことができます。また、セキュリティ情報とイベント管理 (SIEM) ツールに送り戻して、詳細な調査を行うこともできます。
自動化が重要な理由
2022 年 2 月 3 日付けの「Cyber Signals: 最新の調査、インサイト、トレンドでサイバー脅威から身を守る」というブログ投稿では、次の統計情報を含むスレッド インテリジェンスの概要を共有しました。
- 分析した内容: 「...24 兆ものセキュリティ シグナルを、40 を超える民族国家グループと 140 を超える脅威グループを監視して追跡しているインテリジェンスと併せて...」
- 「...2021 年 1 月から 2021 年 12 月まで、256 億を超える Azure AD ブルート フォース認証攻撃をブロックしました...」
シグナルと攻撃の規模が大きい場合、対応し続けるには、ある程度の自動化が必要です。
リスクを検出する
Identity Protection によって次のようなさまざまな種類のリスクが検出されます。
- 匿名 IP アドレスの使用
- 特殊な移動
- マルウェアにリンクした IP アドレス
- 通常とは異なるサインイン プロパティ
- 漏洩した資格情報
- パスワード スプレー
- その他...
リスク シグナルは、多要素認証の実行、セルフサービス パスワード リセットを使用したパスワードのリセット、管理者がアクションを実行するまでのアクセスのブロックなど、修復作業をトリガーすることができます。
上記とその他のリスクに関する詳細 (計算方法や計算するタイミングなど) は「リスクとは」という記事に記載されています。
リスクの調査
管理者は検出内容を確認し、必要に応じて手動で操作を行うことができます。 Identity Protection では、管理者が調査に使用する 3 つの主要なレポートがあります。
- 危険なユーザー
- リスクの高いサインイン
- リスク検出
詳細については以下に関する記事を参照してください。リスクを調査する方法。
リスク レベル
Identity Protection では、リスクを低、中、高の複数のレベルに分類します。
Microsoft では、リスクの計算方法に関する具体的な詳細は提供していません。 リスクのレベルごとに、ユーザーまたはサインインがセキュリティ侵害されているという信頼度が高くなります。 たとえば、見慣れないサインイン プロパティのインスタンスが 1 つあるといったことは、資格情報の漏洩ほど脅威的ではない可能性があります。
リスク情報をさらに活用する
Identity Protection からのデータを他のツールにエクスポートしてアーカイブしたり、さらに調査したり、関連付けしたりすることができます。 Microsoft Graph ベースの API を使用すると、組織はこのデータを収集して、SIEM などのツールでさらに処理することができます。 Identity Protection API へのアクセス方法の詳細については、「Azure Active Directory Identity Protection と Microsoft Graph の基本」を参照してください
Identity Protection の情報と Microsoft Azure Sentinel の統合に関する情報については、「Azure AD Identity Protection からデータを接続する」を参照してください。
組織では、Azure AD 内の診断設定を次のように変更することで、より長い期間にわたりデータを保存できます。 Log Analytics ワークスペースへのデータの送信、ストレージ アカウントへのデータのアーカイブ、Event Hubs へのデータのストリーミング、またはパートナー ソリューションへのデータの送信を選択できます。 その方法の詳細については、記事「方法: リスク データをエクスポートする」を参照してください。
必要なロール
Identity Protection にユーザーがにアクセスするためには、セキュリティ閲覧者、セキュリティ オペレーター、セキュリティ管理者、グローバル閲覧者、またはグローバル管理者である必要があります。
| ロール | できること | できないこと |
|---|---|---|
| グローバル管理者 | Identity Protection へのフル アクセス | |
| セキュリティ管理者 | Identity Protection へのフル アクセス | ユーザーのパスワードをリセットする |
| セキュリティ オペレーター | すべての Identity Protection レポートと [概要] を表示する ユーザー リスクを無視し、安全なサインインを確認して、セキュリティ侵害を確認する |
ポリシーを構成または変更する ユーザーのパスワードをリセットする アラートを構成する |
| セキュリティ閲覧者 | すべての Identity Protection レポートと [概要] を表示する | ポリシーを構成または変更する ユーザーのパスワードをリセットする アラートを構成する 検出に関するフィードバックを送信する |
| グローバル閲覧者 | Identity Protection への読み取り専用アクセス |
現在のところ、セキュリティ オペレーター ロールでは危険なサインイン レポートにアクセスできません。
条件付きアクセス管理者は、条件としてユーザーまたはサインイン リスクを考慮に入れるポリシーを作成することができます。 詳細については、「条件付きアクセス:条件」を参照してください。
ライセンスの要件
この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般提供されている Azure AD の機能の比較に関するページをご覧ください。
| 機能 | 詳細 | Azure AD Free / Microsoft 365 Apps | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| リスク ポリシー | サインインおよびユーザー リスク ポリシー (Identity Protection または条件付きアクセス経由) | No | いいえ | はい |
| セキュリティ レポート | 概要 | いいえ | いいえ | はい |
| セキュリティ レポート | 危険なユーザー | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | フル アクセス |
| セキュリティ レポート | リスクの高いサインイン | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | フル アクセス |
| セキュリティ レポート | リスク検出 | いいえ | 限定的な情報。 詳細ドロアーは提供されません。 | フル アクセス |
| 通知 | 危険な状態のユーザーが検出されたアラート | いいえ | いいえ | はい |
| 通知 | 週間ダイジェスト | いいえ | いいえ | はい |
| MFA 登録ポリシー | いいえ | いいえ | はい |
これらの高度なレポートの詳細については次の記事を参照してください。リスクを調査する方法。