Microsoft Entra ID でアクティビティ ログにアクセスする方法

  • [アーティクル]

Microsoft Entra ログに収集されたデータを使用すると、Microsoft Entra テナントのさまざまな側面を評価できます。 さまざまなシナリオに対応するために、Microsoft Entra ID では、アクティビティ ログ データにアクセスするためのいくつかのオプションが提供されています。 IT 管理者は、シナリオに適したアクセス機構を選択できるように、これらのオプションのユース ケースを理解する必要があります。

Microsoft Entra アクティビティ ログとレポートには、以下の方法でアクセスできます。

これらの方法は、それぞれ特定のシナリオに適した機能を実現するためのものです。 この記事では、これらのシナリオについて、アクティビティ ログのデータを使用する関連レポートの推奨事項や詳細を含め説明します。 この記事で各種の選択肢を詳しく検討し、これらのシナリオをよく理解して、適切な方法を選択してください。

前提条件

必要なロールとライセンスは、レポートによって異なる場合があります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿って、最小限の特権アクセス権を持つロールを使用することをお勧めします。

ログ/レポート ロール ライセンス
Audit レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
グローバル閲覧者
 Microsoft Entra ID のすべてのエディション
サインイン レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
グローバル閲覧者
 Microsoft Entra ID のすべてのエディション
プロビジョニング レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
グローバル閲覧者
セキュリティ オペレーター
アプリケーション管理者
クラウド アプリ管理者
 Microsoft Entra ID P1 または P2
カスタム セキュリティ属性の監査ログ* 属性ログ管理者
属性ログ閲覧者		 Microsoft Entra ID のすべてのエディション
使用状況と分析情報 レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者		 Microsoft Entra ID P1 または P2
Identity Protection** セキュリティ管理者
セキュリティ オペレーター
Security Reader
グローバル閲覧者
 Microsoft Entra ID Free
Microsoft 365 アプリ
Microsoft Entra ID P1 または P2
Microsoft Graph アクティビティ ログ セキュリティ管理者
対応するログ保存先のデータにアクセスするためのアクセス許可		 Microsoft Entra ID P1 または P2

*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログのロールが必要です。 また、標準の監査ログを表示するための適切なロールも必要です。

**Identity Protection のアクセス レベルと機能は、ロールとライセンスによって異なります。 詳細については、「Identity Protection ライセンス要件」を参照してください。

監査ログは、ライセンスを取得している機能に関して使用できます。 Microsoft Graph API を使用してサインイン ログにアクセスするには、テナントに Microsoft Entra ID P1 または P2 ライセンスが関連付けられている必要があります。

イベント ハブにログをストリーム配信し、SIEM ツールと統合する

アクティビティ ログを Splunk や SumoLogic などのセキュリティ情報イベント管理 (SIEM) ツールと統合するには、アクティビティ ログをイベント ハブにストリーム配信する必要があります。 ログをイベント ハブにストリーム配信する前に、Azure サブスクリプションに Event Hubs 名前空間とイベント ハブをセットアップする必要があります。

イベント ハブとの統合が可能な SIEM ツールには、分析と監視の機能があります。 それらのツールを他のソースからのデータ取り込みに既に使用している場合は、ID データをストリーム配信することで、より包括的な分析と監視を実現できます。 以下の種類のシナリオでは、アクティビティ ログをイベント ハブにストリーミングすることをお勧めします。

  • ビッグ データ ストリーミング プラットフォームとイベント取り込みサービスを利用し、毎秒数百万件ものイベントを受信して処理することが必要な場合。
  • リアルタイム分析プロバイダーまたはバッチ処理/ストレージ アダプターを使用してデータの変換と格納を行う場合。

簡単な手順

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
  2. Event Hubs 名前空間とイベント ハブを作成する
  3. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。
  4. ストリーム配信するログを選択して、[イベント ハブへのストリーム] オプションを選択し、フィールドに設定を入力します。

独立したセキュリティ ベンダーは、Azure Event Hubs からツールにデータを取り込む方法についての指示を提供する必要があります。

Microsoft Graph API を介してログにアクセスする

Microsoft Graph API には、Microsoft Entra ID P1 または P2 テナントのデータへのアクセスに使用できる統合プログラミング モデルが用意されています。 管理者や開発者が、スクリプトやアプリをサポートするために追加のインフラストラクチャをセットアップする必要はありません。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

Microsoft Graph エクスプローラーでは、以下の種類のシナリオに役立つクエリを実行できます。

  • テナント アクティビティ (たとえば、グループに加えられた変更の実行者と日時など) を参照する。
  • Microsoft Entraサインイン イベントに、安全またはセキュリティ侵害の確認済みマークを付ける。
  • 過去 30 日間に行われたアプリケーション サインインの一覧を取得する。

Note

Microsoft Graph を使うと、独自の調整制限を課す複数のサービスからデータにアクセスできます。 アクティビティ ログの調整の詳細については、「Microsoft Graph サービス固有の調整制限」を参照してください。

簡単な手順

  1. 前提条件を構成します
  2. グラフ エクスプローラーにサインインします
  3. HTTP メソッドと API バージョンを設定します。
  4. クエリを追加し、[クエリの実行] ボタンを選択します。

ログを Azure Monitor ログに統合する

Azure Monitor ログへの統合では、接続されたデータに関する豊富な視覚化、監視、アラートを実現できます。 Log Analytics では、Microsoft Entra アクティビティ ログの拡張クエリと分析機能が提供されます。 Microsoft Entra アクティビティ ログを Azure Monitor ログと統合するには、Log Analytics ワークスペースが必要です。 Log Analytics のクエリはワークスペースから実行できます。

Microsoft Entra ログを Azure Monitor ログと統合すると、一元化された場所でログのクエリを実行できます。 以下の種類のシナリオでは、ログを Azure Monitor に統合することをおすすめします。

  • Microsoft Entra サインイン ログを、他の Azure サービスによって公開されたログと比較する。
  • サインイン ログを Azure Application Insights と関連付ける場合。
  • 特定の検索パラメーターを使用してログのクエリを実行する場合。

簡単な手順

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
  2. Log Analytics ワークスペースを作成します
  3. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。
  4. ストリーム配信するログを選択して、[Log Analytics ワークスペースへの送信] オプションを選択し、フィールドに設定を入力します。
  5. [ID]>[監視と正常性]>[Log Analytics] に移動し、データのクエリを開始します。

Microsoft Sentinel を使用してイベントを監視する

サインイン ログと監査ログを Microsoft Sentinel に送信すると、利用環境のセキュリティ オペレーション センターで、ほぼリアルタイムのセキュリティ検出と脅威ハンティングを実施できるようになります。 脅威の捜索という用語は、環境のセキュリティ態勢を改善するための事前アプローチを指します。 従来の保護策とは異なり、脅威ハンティングとは、システムに害を及ぼす可能性がある潜在的な脅威について事前特定を試みる活動です。 アクティビティ ログ データは、脅威の捜索ソリューションの一部である可能性があります。

セキュリティ分析と脅威インテリジェンスを必要とする組織には、Microsoft Sentinel のリアルタイム セキュリティ検出機能を利用することをお勧めします。 以下のニーズがある場合は、Microsoft Sentinel を使用することをお勧めします。

  • エンタープライズ企業全体のセキュリティ データを収集する。
  • 膨大な規模の脅威インテリジェンスを活用して脅威を検出する。
  • 重大インシデントの調査に AI のガイドを活用する。
  • 迅速な対応行動と、保護の自動化を実現する。

簡単な手順

  1. 前提条件ロールとアクセス権についての詳細情報をご覧ください。
  2. 潜在的なコストを見積もります
  3. Microsoft Sentinel にオンボードします
  4. Microsoft Entra データを収集します
  5. 脅威ハンティングを開始します

Microsoft Entra 管理センターを使用してログを表示する

範囲が限定されたこれらの 1 回限りの調査では、多くの場合、Microsoft Entra 管理センターが必要なデータを見つける最も簡単な方法です。 個々のレポートのユーザー インターフェイスに、シナリオの解決に必要なエントリを見つけるためのフィルター オプションが用意されています。

Microsoft Entra アクティビティ ログに取り込まれたデータは、多くのレポートやサービスで使用されます。 サインイン、監査、プロビジョニングのログを確認して 1 回限りのシナリオについて調べることや、レポートを使用してパターンや傾向を確認することができます。 アクティビティ ログのデータは、Identity Protection レポートを取り込むのに役立ちます。これにより、Microsoft Entra ID で検出して報告できる情報セキュリティ関連のリスク検出が提供されます。 Microsoft Entra アクティビティ ログには、テナントのアプリケーションの使用状況の詳細を提供する [使用状況と分析情報] のレポートも取り込まれます。

Azure portal で提供されるレポートには、テナント内のアクティビティと使用状況を監視するためのさまざまな機能があります。 以下の一覧は、用途やシナリオの一部を挙げたものにすぎません。ニーズに合ったレポートの詳細情報を確認してください。

  • 特定のユーザーのサインイン アクティビティ調査や、特定のアプリケーションの使用状況追跡を実施する。
  • 監査ログで、グループ名の変更、デバイスの登録、パスワードの再設定に関する詳細情報を確認する。
  • Identity Protection レポートで、危険にさらされているユーザー、危険なワークロード ID、危険なサインインを監視する。
  • テナントで使用中のアプリケーションにユーザーがアクセスできることを確認するため、[使用状況と分析情報] から Microsoft Entra アプリケーション アクティビティ (プレビュー) レポートのサインイン成功率を確認できます。
  • [使用状況と分析情報] の認証方法レポートでは、ユーザーが好んで使用するさまざまな認証方法を比較検討することができます。

簡単な手順

Microsoft Entra 管理センターのレポートにアクセスするには、次の基本的な手順を使用します。

Microsoft Entra アクティビティ ログ

  1. [ID]>[監視と正常性]>[監査ログ]/[サインイン ログ]/[プロビジョニング ログ] に移動します。
  2. 必要に応じてフィルターを調整します。

監査ログには、作業している Microsoft Entra 管理センターの領域から直接アクセスできます。 たとえば、Microsoft Entra ID の [グループ] または [ライセンス] セクションにいる場合 は、その領域から、それら特定のアクティビティの監査ログに直接アクセスできます。 この方法で監査ログにアクセスする場合、フィルター カテゴリは自動的に設定されます。 グループ内にいるのであれば、監査ログ フィルターのカテゴリは GroupManagement に設定されます。

Microsoft Entra ID Protection レポート

  1. [保護]>[Identity Protection] に移動します。
  2. 提供されているレポートを調べます。

使用状況と分析情報のレポート

  1. [ID]>[監視と正常性]>[使用状況と分析情報] に移動します。
  2. 提供されているレポートを調べます。

保管やクエリ用にログをエクスポートする

貴社に最適な長期保管ソリューションは、予算規模と、保管したデータの利用計画によって異なります。 以下の 3 つの選択肢があります。

  • ログを Azure Storage にアーカイブする
  • ログをダウンロードして手作業で保管する
  • ログを Azure Monitor ログに統合する

Azure Storage は、データのクエリを頻繁に実行する予定がない場合に適したソリューションです。 詳細については、「ディレクトリのログをストレージ アカウントにアーカイブする」を参照してください。

レポート作成や分析のために、保管したログに対してクエリを頻繁に実行する場合は、Azure Monitor ログにデータを統合することをお勧めします。

予算の制約が厳しく、安価な方法でアクティビティ ログの長期的なバックアップを作成する必要がある場合は、手作業でログをダウンロードすることができます。 ポータルにあるアクティビティ ログのユーザー インターフェイスには、データを JSON または CSV としてダウンロードするオプションが用意されています。 手作業によるダウンロードには、手動での操作が多数必要になるという短所があります。 本格的な業務に適したソリューションには、Azure Storage または Azure Monitor をお使いください。

ガバナンスやコンプライアンスのシナリオで長期保管が必要とされる場合は、アクティビティ ログのアーカイブに使用するストレージ用アカウントをセットアップすることをお勧めします。

データの長期保管とクエリの両方が必要な場合は、Azure Monitor ログへのアクティビティ ログの統合に関するセクションを参照してください。

予算上の制約がある場合は、アクティビティ ログを手動でダウンロードして保管することをお勧めします。

簡単な手順

アクティビティ ログをアーカイブまたはダウンロードするための基本的な手順は以下のとおりです。

アクティビティ ログをストレージ アカウントにアーカイブする

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
  2. ストレージ アカウントを作成します。
  3. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。
  4. ストリーム配信するログを選択して、[ストレージ アカウントへのアーカイブ] オプションを選択し、フィールドに設定を入力します。

アクティビティ ログを手動でダウンロードする

  1. Microsoft Entra 管理センターレポート閲覧者以上でサインインしてください。
  2. [ID]>[監視と正常性]>[監査ログ]/[サインイン ログ]/[プロビジョニング ログ][監視] メニューから、移動します。
  3. [Download] を選択します。

次のステップ