方法: Azure AD のアクティビティ ログにアクセスする
Azure Active Directory (Azure AD) ログのデータを使用して、Azure AD テナントのさまざまなアスペクトを評価できます。 幅広いシナリオに対応できるよう、Azure AD では、アクティビティ ログ データにアクセスするためのさまざまなオプションが提供されています。 IT 管理者は、シナリオに適したアクセス機構を選択できるように、これらのオプションのユース ケースを理解する必要があります。
この記事では、Azure AD アクティビティ ログにアクセスする方法を示すとともに、適切なアクセス方法に関する推奨事項など、Azure AD ログ データにアクセスするための一般的なユース ケースについて説明します。 また、この記事では、アクティビティ ログに含まれるデータを使用した関連レポートについても説明します。
前提条件
監査ログの表示は、ライセンスがある機能で利用できます。 特定の機能のライセンスがある場合、その機能の監査ログ情報にもアクセスすることができます。 サインイン アクティビティ ログにアクセスするためには、ご利用のテナントに Azure AD Premium ライセンスが関連付けられている必要があります。
次のロールでは、監査ログとサインイン ログの読み取りアクセスが得られます。 Microsoft ゼロ トラスト ガイダンスに従って、必ず最小限の特権ロールを使用してください。
- レポート閲覧者
- セキュリティ閲覧者
- セキュリティ管理者
- グローバル閲覧者 (サインイン ログのみ)
- グローバル管理者
ポータルでアクティビティ ログにアクセスする
- 必要なロールのいずれかを使って Azure portal に移動します。
- [Azure AD] に移動し、[監査ログ]、[サインイン ログ]、または [プロビジョニング ログ] を選択します。
- 必要に応じてフィルターを調整します。
- 監査ログのフィルター オプションの詳細については、「Azure AD 監査ログのカテゴリとアクティビティ」を参照してください。
- サインイン ログの詳細については、「Azure AD サインイン ログの基本情報」を参照してください。
アクティビティ ログ データを使用したログおよびレポート
Azure AD アクティビティ ログにキャプチャされたデータは、多くのレポートやサービスで使用されます。 特定のシナリオのサインイン ログ、監査ログ、プロビジョニング ログを確認したり、レポートを使用してパターンや傾向を確認したりすることが可能です。 たとえば、サインイン ログは、ユーザーのサインイン アクティビティを調査したり、アプリケーションの使用状況を追跡したりするのに役立ちます。 傾向を確認したり、ポリシーがデータに与える影響を確認したりする場合は、Azure AD Identity Protection レポートから始めるか、診断設定を使用して Azure Monitor にデータを送信し、詳細な分析を行うことができます。
監査ログ
監査ログでは、さまざまなデータがキャプチャされます。 ログにキャプチャされるアクティビティの種類の例を次に示します。 定期的に新しい監査情報が追加されるため、この一覧はすべてを網羅しているわけではありません。
- パスワード リセットおよび登録アクティビティ
- セルフ サービス グループ アクティビティ
- Microsoft 365 グループ名の変更
- アカウント プロビジョニングのアクティビティおよびエラー
- Privileged Identity Management アクティビティ
- デバイスの登録とコンプライアンス アクティビティ
異常アクティビティ レポート
異常アクティビティ レポートは、Azure AD で検出および報告されるセキュリティ関連のリスク検出に関する情報を提供します。
次の表は、Azure AD 異常アクティビティ セキュリティ レポートと、各レポートに対応する Azure portal のリスク検出の種類を示しています。 詳細については、「Azure Active Directory リスク検出」を参照してください。
| Azure AD 異常アクティビティ レポート | Identity Protection のリスク検出の種類 |
|---|---|
| 資格情報が漏洩したユーザー | 漏洩した資格情報 |
| 不規則なサインイン アクティビティ | 特殊な場所へのあり得ない移動 |
| 感染している可能性があるデバイスからのサインイン | 感染しているデバイスからのサインイン |
| 不明なソースからのサインイン | 匿名の IP アドレスからのサインイン |
| 不審なアクティビティのある IP アドレスからのサインイン | 不審なアクティビティのある IP アドレスからのサインイン |
| - | 未知の場所からのサインイン |
次の Azure AD 異常アクティビティ セキュリティ レポートは、Azure portal ではリスク検出に含まれません。
- 複数のエラー後のサインイン
- 複数の地域からのサインイン
リスク検出と Azure AD Identity Protection
Azure AD Identity Protection では、リスク検出に関するレポートにアクセスできます。 このサービスを利用して既存のユーザーとサインイン リスク ポリシーを確認することで、ユーザーを保護することができます。 次のレポートを使用して、現在のアクティビティを分析することもできます。
- 危険なユーザー
- 危険なワークロード ID
- リスクの高いサインイン
- リスク検出
詳細については、「Identity Protection とは」をご覧ください。
シングル サインインを調査する
シングル サインインの調査には、次のシナリオが必要です。
限られたスコープで 1 人のユーザーを簡単に調査します。 たとえば、ユーザーが数時間の間にサインインするのに問題が発生したとします。
一連の関連イベントをすばやく確認します。 たとえば、同じユーザーによる一連のサインインからデバイスの詳細を比較します。
推奨
範囲が限定されたこれらの 1 回限りの調査では、多くの場合、必要なデータを見つける最も簡単な方法は Azure portal です。 関連するユーザー インターフェイスには、シナリオを解決するために必要なエントリを見つけ出すフィルター オプションが備わっています。
次の資料を参照してください。
- Azure Active Directory のサインイン ログ (プレビュー)
- Azure Active Directory のサインイン ログ
- Azure AD のサインイン ログを使用してサインインを分析する
コードからのアクセス
アプリやスクリプトからアクティビティ ログに定期的にアクセスする必要がある場合があります。
推奨
コードからアクティビティ ログにアクセスする適切なアクセス機構は、プロジェクトのスコープによって異なります。 Microsoft Graph API からアクティビティ ログにアクセスするか、Azure Event Hubs にログを送信する 2 つのオプションが用意されています。
Microsoft Graph API:
- Azure AD Premium テナントで Azure AD からのサインイン データをクエリするための RESTful の方法を提供します。
- 管理者または開発者が、スクリプトまたはアプリをサポートするために追加のインフラストラクチャを設定する必要はありません。
- 大量のアクティビティ データをプルするようには設計されていません。 API を使用して大量のアクティビティ データをプルすると、改ページ位置の自動修正とパフォーマンスの問題が発生します。
Azure Event Hubs:
- ビッグ データのストリーミング プラットフォームとなるイベント インジェスト サービスです。
- 1 秒間に何百万ものイベントを受信して処理することができます。
- リアルタイム分析プロバイダーやバッチ処理アダプター、ストレージ アダプターを使用して、データを変換して格納することができます。
使用できるもの:
- Microsoft Graph API: スコープ クエリの場合 (制限されたユーザーや時間のセット)。
- Azure Event Hubs: 大量のサインイン データをプルする場合。
凖リアルタイムのセキュリティ イベント検出と脅威ハンティング
脅威が環境に害を及ぼす前に検出して阻止するために、アクティビティ ログ データをリアルタイムで処理できるセキュリティ ソリューションを環境に導入することができます。
脅威の捜索という用語は、環境のセキュリティ態勢を改善するための事前アプローチを指します。 従来の保護とは対照的に、脅威の捜索は、システムに害を及ぼす可能性のある潜在的な脅威を事前に特定しようとします。 アクティビティ ログ データは、脅威の捜索ソリューションの一部である可能性があります。
推奨
リアルタイムのセキュリティ検出を行う場合は、Microsoft Sentinel、または Azure Event Hubs を使用します。
使用できるもの:
Microsoft Sentinel: セキュリティ オペレーション センターにサインインおよび監査データを提供し、凖リアルタイムのセキュリティ検出を実現します。 Azure AD から Azure Sentinel への組み込みコネクタを使用して、データを Azure Sentinel にストリーミングできます。 詳しくは、「Azure Active Directory データを Azure Sentinel に接続する」を参照してください。
Azure Event Hubs: セキュリティ オペレーション センターが別のツールを使用している場合。 Azure Event Hubs を使用して Azure AD イベントをストリーミングできます。 詳しくは、イベント ハブへのログのストリーミングに関する記事をご覧ください。
独立したセキュリティ ベンダーは、Azure Event Hubs からツールにデータを取り込む方法についての指示を提供する必要があります。 一般的に使用される SIEM ツールの手順については、Azure AD のレポート ドキュメントをご覧ください。
長期的な保存用のデータをエクスポートする
Azure AD では、限られた時間だけログ データを格納します。 詳細については、「Azure AD にレポート データが保存される期間」を参照してください。
コンプライアンスやセキュリティ上の理由からログ情報を長期的に保存する必要がある場合は、オプションがいくつかあります。
推奨
長期の保存に適したソリューションは、予算と、データの使用目的によります。
予算が厳しく、アクティビティ ログの長期的なバックアップを作成するために安価な方法が必要な場合は、手動ダウンロードを実行できます。 アクティビティ ログのユーザー インターフェイスには、JSON または CSV としてデータをダウンロードするオプションが表示されます。 詳細については、「Azure Active Directory でログをダウンロードする方法」を参照してください。
手動ダウンロードのトレードオフの 1 つは、多くの手動操作が必要であるということです。 よりプロフェッショナルなソリューションをお探しの場合は、Azure Storage または Azure Monitor を使用してください。
Azure Storage は、クエリを頻繁に実行する予定がない場合に最適なソリューションです。 詳細については、「ディレクトリのログをストレージ アカウントにアーカイブする」をご覧ください。
保存されたログに対してレポートや分析を実行するために、ログを頻繁にクエリすることも計画している場合は、データを Azure Monitor に保存する必要があります。 Azure Monitor には、組み込みのレポート機能とアラート機能が搭載されています。 詳細については、「Azure Active Directory のログを Azure Monitor ログと統合する」を参照してください。 統合の設定が完了したら、Azure Monitor を使用してログのクエリを実行できます。 詳細については、「Azure Monitor ログを使用してアクティビティ ログを分析する」をご覧ください。
ログ分析
一般的な要件の 1 つは、ログ分析を実行するためのアクティビティ データのエクスポートです。
推奨
独立したログ分析ツールの使用を計画していない場合は、Azure Monitor または Azure Event Hubs を使用します。 Azure Monitor には、他の Azure サービスや独立したツールだけでなく、Azure AD のログを分析する非常に簡単な方法が用意されています。 組み込みのコネクタを使用して、Azure Monitor にログを簡単にエクスポートできます。 詳細については、「Azure Active Directory のログを Azure Monitor ログと統合する」を参照してください。 統合の設定が完了したら、Azure Monitor を使用してログのクエリを実行できます。 詳細については、「Azure Monitor ログを使用して Azure AD アクティビティ ログを分析する」を参照してください。
Splunk などの独立したログ分析ツールにログをエクスポートすることもできます。