Microsoft Entra セキュリティ運用ガイド
Microsoft は、コントロール プレーンとして ID を使用する多層防御原則を駆使し、ゼロ トラスト セキュリティには成功して実績のあるアプローチがあります。 組織は規模、コスト削減、セキュリティに対し、ハイブリッド ワークロード環境を受け入れ続けています。 Microsoft Entra ID は、ID 管理の戦略において非常に重要な役割を果たします。 最近では、ID とセキュリティの侵害に関するニュースにより、企業の IT 部門は ID セキュリティ態勢を防御的セキュリティの成功を指標として捉える傾向が高まっています。
組織はオンプレミスとクラウドのアプリケーションの組み合わせを受け入れる必要性が高まり、ユーザーはオンプレミスとクラウド専用のアカウントの両方でアクセスします。 オンプレミスとクラウドの両方でユーザー、アプリケーション、デバイスを管理することは困難なシナリオです。
ハイブリッド ID
場所を問わず、Microsoft Entra ID はすべてのリソースに対して認証と承認のため、共通のユーザー ID を作成します。 これをハイブリッド ID と呼んでいます。
Microsoft Entra ID でハイブリッド ID を実現するには、ご自身のシナリオに応じて 3 つの認証方法のいずれかを使用できます。 3 つの方法の次のとおりです。
現在のセキュリティ オペレーションを監査したり、Azure 環境のセキュリティ オペレーションを確立したりするとき、次のことをお勧めします。
- Microsoft セキュリティ ガイダンスの特定の部分をお読みになり、クラウドベースまたはハイブリッド Azure 環境のセキュリティ保護に関する知識のベースラインを確立します。
- アカウントとパスワードの戦略に加え、認証方法を監査し、最も一般的な攻撃ベクトルを抑止します。
- セキュリティの脅威を示す可能性があるアクティビティについて、継続的な監視とアラートを行うための戦略を作成します。
対象者
Microsoft Entra SecOps ガイドは、より高度な ID セキュリティ構成と監視プロファイルを介して脅威に対抗する必要がある企業 IT の ID とセキュリティ オペレーション チームに加え、管理サービス プロバイダーを対象としています。 このガイドは、セキュリティ オペレーション センター (SOC) の防御と侵入テストのチームに対し、ID のセキュリティ態勢を改善して維持するように提案する IT 管理者や ID アーキテクトを特に対象としています。
範囲
この概要では、事前にお読みになることを提案している資料やパスワードの監査と戦略の推奨事項について説明します。 この記事では、ハイブリッド Azure 環境と完全なクラウドベースの Azure 環境で利用できるツールの概要についても説明します。 最後に、セキュリティ情報イベント管理 (SIEM) の戦略と環境の監視、アラート、構成するために使用できるデータ ソースのリストを提供します。 このガイドの残りの部分では、次の領域における監視とアラートの戦略について説明します。
ユーザー アカウント。 異常なアカウントの作成と使用、異常なログインを含め、管理者特権を持たない非特権ユーザー アカウントに特化したガイダンス。
特権アカウント。 管理タスクを実行するため、昇格されたアクセス許可を持つ特権ユーザー アカウントに特化したガイダンス。 タスクには、Microsoft Entra の役割の割り当て、Azure リソースの役割の割り当て、Azure リソースとサブスクリプションのアクセス管理が含まれます。
Privileged Identity Management (PIM)。 PIM を使用してリソースへのアクセスを管理、制御、監視する方法に特化したガイダンス。
アプリケーション。 アプリケーションの認証を提供するために使用されるアカウントに特化したガイダンス。
デバイス。 ポリシーの外部で登録または参加したデバイスの監視とアラート、非準拠の使用、デバイス管理役割の管理、仮想マシンへのログインに特化したガイダンス。
[インフラストラクチャ。 ハイブリッド環境と純粋なクラウドベース環境への脅威の監視とアラートに特化したガイダンス。
重要なリファレンス コンテンツ
Microsoft は、ニーズに合わせて IT 環境をカスタマイズできる製品とサービスを多数用意しています。 操作環境用に次のガイダンスを確認することをお勧めします。
Windows オペレーティング システム
オンプレミス環境
クラウドベースの Azure 環境
Active Directory Domain Services (AD DS)
Active Directory フェデレーション サービス (AD FS)
データ ソース
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal で Microsoft Entra の監査ログを確認できます。 コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてログをダウンロードします。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:
Microsoft Sentinel – セキュリティ情報イベント管理 (SIEM) 機能を提供することにより、企業レベルでインテリジェント セキュリティ分析を実現します。
Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合について、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 Sigma リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。
Azure Monitor - さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
SIEM と統合されているAzure Event Hubs。 Microsoft Entra ログは他の SIEM と統合できます (Azure Event Hubs 統合を介した Splunk、ArcSight、QRadar、Sumo Logic など)。 詳細については、「Azure イベント ハブへのMicrosoft Entra ログのストリーム配信」を参照してください。
Microsoft Defender for Cloud Apps - アプリを検出して管理、すべてのアプリとリソースを制御、クラウド アプリのコンプライアンス状況を確認できるようにします。
Microsoft Entra ID 保護 でワークロード ID をセキュリティで保護 - ログイン動作間とオフラインの侵害インジケーターにおけるワークロード ID のリスクを検出するために使用されます。
監視とアラートの対象の多くは、条件付きアクセス ポリシーの影響を受けます。 条件付きアクセスの分析情報とレポート ブックを使用し、1 つ以上の条件付きアクセス ポリシーがログインに与えている影響、ならびにデバイスの状態を含むポリシーの結果を確認できます。 このブックは影響の概要を確認し、特定期間にわたる影響を特定できるようにします。 ブックを使用して特定のユーザーのログインを調査することもできます。 詳細については、「条件付きアクセスの分析情報と報告」を参照してください。
この記事の残りの部分では、何を監視とアラートの対象にすべきかについて説明します。 特定の事前構築されたソリューションがある場合、テーブルの後にリンクを示すか、サンプルを提供します。 それ以外の場合は、前述のツールを使用してアラートを作成できます。
ID 保護は、調査に役立つ 3 つの主要なレポートが生成されます。
危険なユーザーには、リスクのあるユーザーに関する情報、検出の詳細、すべての危険なログインの履歴、リスク履歴が含まれています。
危険なログインには、疑わしい状況を示す可能性のあるログインの状況に関する情報が含まれています。 このレポートの情報を調査するための詳細情報については、「リスクを調査する方法」を参照してください。
リスク検出には、ログインとユーザーのリスクを通知する Microsoft Entra ID 保護によって検出されたリスク信号に関する情報が含まれています。 詳細については、「ユーザー アカウントの Microsoft Entra セキュリティ オペレーション ガイド」を参照してください。
詳細については、[Microsoft Entra ID 保護の概要]を参照してください。
ドメイン コントローラー監視のデータ ソース
最良の結果を得るには、Microsoft Defender for Identity を使用してドメイン コントローラーを監視することをお勧めします。 このアプローチは、最適な検出と自動化機能を実現します。 これらのリソースのガイダンスに従います。
- Microsoft Defender for Identity のアーキテクチャ
- Microsoft Defender for Identity を Active Directory に接続するためのクイックスタート
Microsoft Defender for Identity を使用しない場合、次のいずれかの方法でドメイン コントローラーを監視します。
- イベント ログ メッセージ。 「Active Directory で侵害の兆候の監視」を参照してください。
- PowerShell コマンドレット。 「ドメイン コントローラーの展開のトラブルシューティング」を参照してください。
ハイブリッド認証のコンポーネント
Azure ハイブリッド環境の一部として、次の項目をベースラインとして使用し、監視とアラートの戦略に含める必要があります。
PTA エージェント – パススルー認証エージェントはパススルー認証を有効にするために使用され、オンプレミスにインストールされます。 エージェントのバージョンと次の手順の確認に関する詳細については、「Microsoft Entra パススルー認証エージェント: バージョン リリース履歴」を参照してください。
AD FS/WAP - Active Directory フェデレーション サービス (AD FS) と Web アプリケーション プロキシ (WAP) は、セキュリティと企業の境界の全体でデジタル ID と権利を安全に共有できるようにします。 セキュリティのベストプラクティスの詳細については、「Active Directory フェデレーション サービス (AD FS) をセキュリティで保護するためのベストプラクティス」を参照してください。
Microsoft Entra Connect Health エージェント – Microsoft Entra Connect Health の通信リンクを提供するために使用されるエージェントです。 エージェントのインストールの詳細については、「Microsoft Entra Connect Health エージェントのインストール」を参照してください。
Microsoft Entra Connect Sync Engine - オンプレミスのコンポーネントであり、同期エンジンとも呼ばれます。 この機能の詳細については、「Microsoft Entra Connect 同期サービスの機能」を参照してください。
パスワード保護 DC エージェント – Azure パスワード保護 DC エージェントは、イベント ログ メッセージの監視と報告の支援に使用されます。 詳細については、「Active Directory Domain Services にオンプレミスの Microsoft Entra パスワード保護の実施」を参照してください。
パスワード フィルター DLL – DC エージェントのパスワード フィルター DLL は、オペレーティング システムからユーザーのパスワード検証要求を受け取ります。 このフィルターは、DC でローカルに実行されている DC エージェント サービスに転送します。 DLL の使用の詳細については、「Active Directory Domain Services にオンプレミスの Microsoft Entra パスワード保護の実施」を参照してください。
パスワード ライトバック エージェント - パスワード ライトバックは、Microsoft Entra Connect で有効になっている機能で、クラウドでパスワード変更を既存のオンプレミスのディレクトリにリアルタイムで書き戻せるようにします。 この機能の詳細については、「Microsoft Entra ID でセルフサービス パスワード リセットによる書き戻しの仕組み」を参照してください。
Microsoft Entra プライベート ネットワーク コネクタ - オンプレミスに配置され、アプリケーション プロキシ サービスへの送信接続を容易にする軽量のエージェントです。 詳細については、「Microsoft Entra プライベート ネットワーク コネクタについて理解する」を参照してください。
クラウドベース認証のコンポーネント
Azure クラウドベース環境の一部として、次の項目をベースラインとして使用し、監視とアラートの戦略に含める必要があります。
Microsoft Entra アプリケーション プロキシ – このクラウド サービスは、オンプレミスの Web アプリケーションへのセキュリティで保護されたリモート アクセスを提供します。 詳細については、「Microsoft Entra アプリケーション プロキシを介してオンプレミス アプリケーションへのリモート アクセス」を参照してください。
Microsoft Entra Connect - Microsoft Entra Connect ソリューションに使用されるサービスです。 詳細については、「Microsoft Entra Connect とは」を参照してください。
Microsoft Entra Connect Health – Service Health は、お使いのリージョンの Azure サービスの正常性を管理するカスタマイズ可能なダッシュボードを提供します。 詳細については、「Microsoft Entra Connect Health」を参照してください。
Microsoft Entra 多要素認証 – 多要素認証は、ユーザーが認証のために複数の形式で証明を提示するように求めるます。 このアプローチは、環境をセキュリティで保護するためのプロアクティブな最初のステップをもたらします。 詳細については、「Microsoft Entra MFA 多要素認証」を参照してください。
ダイナミック グループ - Microsoft Entra 管理者向けセキュリティ グループ メンバーシップの動的構成は、ユーザー属性に基づいて Microsoft Entra ID で作成されるグループを設定する規則を設定できます。 詳細については、「ダイナミック グループと Microsoft Entra B2B コラボレーション」を参照してください。
条件付きアクセス - 条件付きアクセスは、Microsoft Entra ID が使用されるツールであり、信号をまとめ、意思決定を行い、組織方針を実施します。 条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中核を成しています。 詳細については、「条件付きアクセスとは」を参照してください。
Microsoft Entra ID 保護 – 組織が ID ベースのリスクの検出と修復の自動化、ポータルでデータを使用するリスクの調査、SIEM にリスク検出データのエクスポートを実行できるようにするツールです。 詳細については、[Microsoft Entra ID 保護の概要]を参照してください。
グループベースのライセンス – ライセンスは、ユーザーに直接割り当てるのではなく、グループに割り当てることができます。 Microsoft Entra ID は、ユーザーのライセンスの割り当て状態に関する情報を格納します。
プロビジョニング サービス - プロビジョニングとは、ユーザーがアクセスする必要のあるクラウド アプリケーションでユーザー ID とロールを作成することを指します。 ユーザー ID の作成に加え、自動プロビジョニングはに、状態または役割が変化したときのユーザー ID のメンテナンスと削除が含まれます。 詳細については、「Microsoft Entra ID でアプリケーションのプロビジョニングのしくみ」を参照してください。
Graph API – Microsoft Graph API は、Microsoft クラウド サービスのリソースにアクセスできるようにする RESTful Web API です。 アプリを登録してユーザーまたはサービスの認証トークンを取得したら、Microsoft Graph API に要求を行うことができます。 詳しくは、「Microsoft Graph の概要」を参照してください。
Domain Service – Microsoft Entra Domain Services (AD DS) は、ドメイン参加やグループ ポリシーなどのマネージド ドメイン サービスを提供します。 詳細については、「Microsoft Entra Domain Services とは」を参照してください。
Azure Resource Manager – Azure Resource Manager は、Azure の展開と管理サービスです。 Azure アカウントのリソースを作成、更新、削除できるようにする管理レイヤーを提供します。 詳細については、「Azure Resource Manager とは」を参照してください。
マネージド ID – マネージド ID は、開発者が認証情報を管理する必要性を排除します。 マネージド ID は、Microsoft Entra 認証をサポートするリソースに接続するときにアプリケーションが使用する ID を提供します。 詳細については、「Azure リソース用マネージド ID とは」を参照してください。
Privileged Identity Management - PIM は Microsoft Entra ID のサービスであり、組織の重要なリソースへのアクセスを管理、制御、監視できるようにします。 詳細については、「Microsoft Entra Privileged Identity Management とは」を参照してください。
アクセス レビュー - Microsoft Entra アクセス レビューは、組織がグループ メンバーシップを効率的に管理、企業アプリケーションへのアクセス、役割の割り当てをできるようにします。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持てるようにすることができます。 詳細については、「Microsoft Entra アクセス レビューとは」を参照してください。
エンタイトルメント管理 - Microsoft Entra エンタイトルメント管理は、ID ガバナンスの機能です。 組織は、アクセス要求ワークフロー、アクセス割り当て、レビュー、期限切れ処理を自動化することにより、ID とアクセスのライフサイクルを大量に管理できます。 詳細については、「Microsoft Entra エンタイトルメント管理とは」を参照してください。
アクティビティ ログ - アクティビティ ログは、サブスクリプションレベルのイベントの分析情報を提供する Azure プラットフォームのログです。 このログには、リソースが変更されたときや仮想マシンが起動されたときなどの情報が含まれます。 詳細については、「Azure アクティビティ ログ」を参照してください。
セルフサービス パスワード リセット サービス - Microsoft Entra セルフサービス パスワード リセット (SSPR) は、ユーザーが自身のパスワードを変更またはリセットできる機能を提供します。 管理者やヘルプ デスクは必要ありません。 詳細については、「動作の仕組み: Microsoft Entra のセルフサービス パスワード リセット」を参照してください。
デバイス サービス – デバイス ID 管理は、デバイス ベースの条件付きアクセスの基盤です。 デバイス ベースの条件付きアクセス ポリシーを使用すると、環境のリソースへのアクセスをマネージド デバイスでのみ可能にすることができます。 詳細については、「デバイス ID とは」を参照してください。
セルフサービス グループ管理 – ユーザーが Microsoft Entra ID で自身のセキュリティ グループまたは Microsoft 365 グループを作成して管理できるようにします。 グループの所有者はメンバーシップ要求を承認または拒否し、グループ メンバーシップの制御を委任できます。 セルフサービス グループ管理の機能は、メールを有効にしたセキュリティ グループまたは配布リストでは利用できません。 詳細については、「Microsoft Entra ID でセルフサービス グループ管理の設定」を参照してください。
リスク検出 - リスクが検出されたときトリガーされるその他のリスクに関する情報、ならびにログインの場所などの他の関連情報や Microsoft Defender for Cloud Apps からの詳細情報が含まれます。
次のステップ
これらのセキュリティ オペレーション ガイドの記事を参照してください。