Microsoft Entra Permissions Management アラート ガイド

アクセス許可の問題を解決するには、アラートが不可欠です。 アラートを使用すると、組織は、ID とそのリソースへのアクセスを管理するプロアクティブなアプローチを取ることができます。

Microsoft Entra Permissions Management を使用して、特権が過剰なアカウントや非アクティブな ID などのシナリオで環境を継続的に監視するようにアラートを構成します。 また、潜在的な脅威、サービスの中断、および異常なアクセス許可の使用を通知することもできます。

Permissions Management アラートは、登録しているユーザーにメールで送信され、概要ビュー (トリガーされたアラート、対象の認可システム、アラートに関連する ID、タスク、リソースの数) を表示します。 トリガーの詳細については、Permissions Management アラートを参照してください。

Note

Permissions Management アラートはリアルタイムではなく、製品のアクティビティ ログの更新に基づいているため、アクティビティとアラートの間に遅延が発生する可能性があります。

Microsoft Entra Permissions Management で構成できるアラートの種類には、次の 4 種類があります。

• 統計異常
• ルールベースの異常
• アクセス許可の分析
• アクティビティ

統計異常アラート

統計異常アラートでは、Microsoft Entra Permissions Management の人工知能 (AI) と機械学習 (ML) の機能が使用されます。 Permissions Management は、以前のアクティビティ ログ情報に基づいて、各 ID の一般的な動作を分類し、決定します。 環境内の非定型または疑わしいアクティビティに対して、事前に構成されたアラートから選択します。 たとえば、ID が多数のタスクを実行したときや、通常とは異なる時間帯に ID がタスクを実行したときに通知を受け取ることができます。

環境内の異常なアクティビティが侵害されたアカウントの兆候である可能性があるため、統計異常アラートは、脅威の検出に役立ちます。 これらのアラートを使用して、潜在的なサービスの中断を検出します。 事前に構成された 6 つの統計異常アラートは次のとおりです。

• 多数のタスクを実行した ID: 脅威の検出にはこのアラートを使用します。 通常とは異なる数のタスクを実行している ID は、侵害の兆候である可能性があります。
• 実行タスクの数が少ない ID: このアラートは、特にマシン アカウントからの潜在的なサービス中断を検出するのに役立ちます。 実行しているタスクの数が異常に少ない ID は、突発的な停止やアクセス許可の問題を示している可能性があります。
• 複数の異常なパターンのタスクを実行した ID: 脅威の検出にこのアラートを使用します。 いくつかの異常なタスク パターンを持つ ID は、侵害されたアカウントを示している可能性があります。
• 異常な結果を含むタスクを実行した ID: このアラートは、潜在的なサービスの中断を検出するのに役立ちます。 タスクが失敗するなど、異常な結果でタスクを実行している ID は、突然の停止やアクセス許可の問題を示している可能性があります。
• 異常なタイミングでタスクを実行した ID: このアラートは脅威の検出用です。 通常の時間外にタスクを実行する ID は、侵害されたアカウント、または通常とは異なる場所からリソースにアクセスしているユーザーを示している可能性があります。
• 異常な種類のタスクを実行した ID: このアラートは脅威の検出用です。 通常実行されないタスクを突然実行する ID は、侵害されたアカウントを示している可能性があります。

これらの事前構成済みアラートの詳細については、「統計異常アラートとアラート トリガーの作成と表示」を参照してください。

統計異常アラートに対応する

統計異常アラートは、潜在的なセキュリティ インシデントまたはサービスの中断を示している可能性があります。 必ずしもインシデントが発生したというわけではありません。 これらのアラートをトリガーする有効なユース ケースがあります。 たとえば、国外出張中の従業員が新しいタイム ゾーンで、異常なタイミングでタスクを実行した ID をトリガーできます。

一般的には、ID を調査して、アクションが必要かどうかを判断することをお勧めします。 Permissions Management の [監査] タブを使用するか、最近のログ情報を分析します。

ルール ベースの異常アラート

ルールベースの異常アラートは事前に構成されています。 環境内の初期アクティビティの通知に使用します。 たとえば、初期リソース アクセスや、ユーザーが初めてタスクを実行したときにアラートを作成します。

厳密に監視する機密性の高い運用認可システムまたは ID には、ルールベースの異常アラートを使用します。

事前構成済みのルール ベースの異常アラートは 3 つあります。

• 初めてアクセスされたリソース: このトリガーを使用して、認可システム内の新しいアクティブなリソースを通知します。 たとえば、ユーザーが知らないうちにサブスクリプションに新しい Microsoft Azure Blob Storage インスタンスを作成したとします。 トリガーは、新しい Blob Storage に初めてアクセスされたときにアラートを生成します。
• 特定のタスクを初めて実行した ID: このトリガーを使用して、スコープ クリープ、またはユーザーからのアクセス許可の増加を検出します。 たとえば、ユーザーが初めて異なるタスクを実行した場合、そのアカウントは侵害されているか、あるいはそのユーザーが最近、新しいタスクを実行できるようにアクセス許可が変更された可能性があります。
• 初めてタスクを実行した ID: サブスクリプション内の新しいアクティブなユーザーに対してこのアラート トリガーを使用するか、侵害された非アクティブなアカウントを検出します。 たとえば、新しいユーザーが Azure サブスクリプションにプロビジョニングされているとします。 このトリガーは、新しいユーザーが最初のタスクを実行したときにアラートを生成します。

Note

特定のタスクを初めて実行した ID は、ユーザーが初めて一意のタスクを実行したときに通知を送信します。 初めてタスクを実行した ID は、ID が指定された期間内に最初のタスクを実行したときに通知を送信します。

詳細については、「ルールベースの異常アラートとアラート トリガーの作成と表示」を参照してください。

ルールベースの異常アラートに対応する

ルールベースの異常アラートは、多くのアラートを生成できます。 そのため、機密性の高い認可システムに使用することをお勧めします。

ルールベースの異常アラートを受け取ったら、ID またはリソースを調査して、アクションが必要かどうかを判断します。 Permissions Management の [監査] タブを使用するか、最近のログ情報を分析します。

アクセス許可分析アラート

アクセス許可分析アラートは事前に構成されており、環境内の主な検出結果に対して使用します。 各アラートは、Permissions Analytics Report のカテゴリに関連付けられます。 たとえば、ユーザーが非アクティブになった場合、またはユーザーが過剰なアクセス許可になった場合に通知を受け取ることができます。

アクセス許可分析アラートを使用して、主な検出結果をプロアクティブに確認します。 たとえば、環境内の新しい過剰なアクセス許可のユーザーに対するアラートを作成したとします。

アクセス許可分析アラートは、推奨される検出/修復/監視フローで重要な役割を果たします。 次の例では、このフローを使用して、環境内の非アクティブなユーザーをクリーンアップします。

1. 検出: アクセス許可分析レポートを使用して、環境内の非アクティブなユーザーを検出します。
2. 修復: 手動、または Microsoft Entra Permissions Management の修復ツールを使用して非アクティブなユーザーをクリーンアップします。
3. 監視: 環境内で検出された新しい非アクティブなユーザーに対するアクセス許可分析アラートを作成し、古いアカウントをクリーンアップするプロアクティブなアプローチを可能にします。

詳細は、 「アクセス許可分析トリガーの作成と表示」に関する記事をご覧ください。

次の推奨されるアクセス許可分析アラートの一覧は、サポートされているクラウド環境向けです。 必要に応じて、アクセス許可分析アラートをさらに追加します。 Microsoft Azure、Amazone Web Services (AWS)、Google Cloud Platform (GCP) に対する推奨事項は、特定の環境を反映したものではありません。

Azure: アクセス許可分析アラートの推奨事項

• オーバープロビジョニングされたアクティブ ユーザー
• オーバープロビジョニングされたアクティブ なシステム ID
• オーバープロビジョニングされたアクティブでサーバーレスな Functions
• スーパー ユーザー
• スーパー システム ID
• スーパー サーバーレスな Functions
• 非アクティブ ユーザー
• [Inactive Groups] (非アクティブなグループ)
• 非アクティブでサーバーレスな Functions
• 非アクティブなシステム ID

AWS: アクセス許可分析アラートの推奨事項

• オーバープロビジョニングされたアクティブ ユーザー
• オーバープロビジョニングされたアクティブ ロール
• オーバープロビジョニングされたアクティブ リソース
• オーバープロビジョニングされたアクティブでサーバーレスな Functions
• 特権エスカレーション付きユーザー
• 特権エスカレーション付きロール
• 特権エスカレーション付きアカウント
• スーパー ユーザー
• スーパー ロール
• スーパー リソース
• スーパー サーバーレスな Functions
• 非アクティブ ユーザー
• 非アクティブなロール
• [Inactive Groups] (非アクティブなグループ)
• 非アクティブなリソース
• 非アクティブでサーバーレスな Functions
• MFA がないユーザー (MFA の IDP の使用に応じて省略可能)

GCP: アクセス許可分析アラートの推奨事項

• オーバープロビジョニングされたアクティブ ユーザー
• オーバープロビジョニングされたアクティブなサービス アカウント
• オーバープロビジョニングされたアクティブでサーバーレスな Functions
• 特権エスカレーション付きユーザー
• 特権エスカレーション付きサービス アカウント
• スーパー ユーザー
• スーパー サービス アカウント
• スーパー サーバーレスな Functions
• 非アクティブ ユーザー
• [Inactive Groups] (非アクティブなグループ)
• 非アクティブでサーバーレスな Functions
• 非アクティブでサーバーレスなアカウント

アクセス許可分析アラートに応答する

修復はアラートごとに異なります。 アクセス許可分析アラートをトリガーする有効なユース ケースがあります。 たとえば、管理者アカウントや緊急アクセス アカウントは、オーバープロビジョニングされたアクティブ ユーザーに対するアラートをトリガーする場合があります。 修復が必要ない場合は、ck_exclude_from_pci タグと ck_exclude_from_reports タグを ID に適用できます。

• ck_exclude_from_pci は、認可システムの PCI スコアから ID を削除します
• ck_exclude_from_reports は、Permissions Analytics Report の結果から ID を削除します

アクティビティ アラート

アクティビティ アラートは、重要な ID とリソースを継続的に監視し、環境内のリスクの高いアクティビティを把握するのに役立ちます。 たとえば、これらのアラートは、環境内のアクセスされたリソースや実行されたタスクを通知できます。 アクティビティ アラートはカスタマイズ可能です。 使いやすいノーコード インターフェイスで、アラート条件を作成できます。 アクティビティ アラートとアラート トリガーを作成および表示する方法について説明します。

次のセクションでは、作成できるアクティビティ アラートの例を示します。 これらは、一般的なアイデア、次に Azure、AWS、GCP のシナリオによって編成されています。

一般的なアクティビティ アラートのアイデア

サポートされているクラウド環境 (Azure、AWS、GCP) に対して、次のアクティビティ アラートを適用します。

緊急アクセス用アカウントのアクティビティを監視するアラート トリガー

緊急アクセス用アカウントは、通常の管理者アカウントを使用できないシナリオ用です。 これらのアカウントのアクティビティを監視するアラートを作成し、侵害や悪用の可能性を検出します。

重要なリソースに対して実行されたアクティビティを監視するアラート トリガー

監視する環境内の重要なリソースについては、特に脅威の検出のために特定のリソースに関するアクティビティを通知するアラートを作成します。

Azure アクティビティ アラートのアイデア

直接ロールの割り当てを監視するアラート トリガー

組織で Just-In-Time (JIT) アクセス モデルを使用している場合は、Azure サブスクリプションでの直接ロールの割り当てを通知するアラート トリガーを作成します。

仮想マシンの電源オフと再起動を監視するアラート トリガー

アクティビティ アラートを使用して、リソースの種類を監視し、潜在的なサービスの中断を検出します。 次の例は、Azure サブスクリプションにおける仮想マシン (VM) の電源オフと再起動に関するアクティビティ アラートです。

マネージド ID を監視するアラート トリガー

特定の ID またはリソースの種類を監視するには、特定の ID またはリソースの種類によって実行されるアクティビティに対するアラートを作成します。 次の例は、Azure サブスクリプション内のマネージド ID のアクティビティを監視するアラートです。

AWS アクティビティ アラートのアイデア

ルート ユーザーによるアクティビティを監視するアラート トリガー

監視する高い特権アカウントがある場合は、それらのアカウントが実行するアクティビティに対してアラートを作成します。 次の例は、ルート ユーザー アクティビティを監視するアクティビティ アラートです。

ITAdmins ロールではないユーザーによって作成されたユーザーを監視するアラート トリガー

環境内で特定のユーザーまたはロールが実行するタスクについて、他のユーザーによって実行されたタスクに対するアラートを作成し、悪意のある実行者を通知する可能性があります。 次の例は、ITAdmins ロールではないユーザーによって作成されたユーザーに対するアクティビティ アラートです。

S3 バケットからの未認可オブジェクトのダウンロードの試行を監視するアラート トリガー

失敗したアクティビティ、脅威の検出、サービスの中断を検出するアラートを作成すると便利です。 次のアクティビティ アラートの例は、Amazon Simple Storage Service (S3) バケットオブジェクトのダウンロード失敗に対するもので、不正なリソースにアクセスしようとする侵害されたアカウントを示している可能性があります。

アクセス キーの認証失敗アクティビティを監視するアラート トリガー

特定のアクセス キーを監視するには、認証エラーに対するアクティビティ アラートを作成します。

GCP アクティビティ アラートのアイデア

クラウド SQL データベースの作成を監視するアラート トリガー

環境内で作成された新しいリソースを監視するには、特定のリソースの種類の作成に対するアラートを確立します。 次の例は、クラウド SQL データベースの作成に対するアラートです。

サービス アカウント キーの承認エラーを監視するアラート トリガー

潜在的な中断に対するサービス キーを監視するには、GCP プロジェクトで、サービス アカウント キーの認証失敗に対するアクティビティ アラートを作成します。

アクティビティ アラートに応答する

一般的に、アクティビティ アラートを受け取ったら、そのアクティビティを調査して、アクションが必要かどうかを判断することをお勧めします。 Permissions Management の [監査] タブを使用するか、最近のログ情報を分析します。

Note

アクティビティ アラートはカスタマイズ可能であるため、応答は実装されているアクティビティ アラートの種類によって異なります。

次のステップ

アラートの構成は、Microsoft Entra Permissions Management の重要な運用コンポーネントです。 これらのアラートを使用すると、過剰な特権を持つアカウントや非アクティブな ID などのシナリオについて環境を継続的に監視し、潜在的な脅威、サービスの中断、異常なアクセス許可の使用状況を通知することができます。 Microsoft Entra Permissions Management 運用に関するその他のガイダンスについては、次のリソースを参照してください。

• フェーズ 1: 大規模に管理するフレームワークを実装する
• フェーズ 2: 適切なサイズのアクセス許可と最小権限の原則の自動化
• フェーズ 3: Microsoft Entra Permissions Management の監視とアラートの構成