次の方法で共有

Microsoft Entra で Microsoft Security Copilot を使用してアプリケーションのリスクを評価する

Microsoft Security Copilot は、Entra ID Protection による ID リスクの調査や Microsoft Entra 監査ログの詳細の調査など、さまざまなスキルを通じて Microsoft Entra データから分析情報を取得します。 アプリ リスク スキルを使用すると、Microsoft Entra でアプリケーションまたはワークロード ID を管理する ID 管理者やセキュリティ アナリストは、自然言語プロンプトを使用してリスクを特定して理解できます。 "テナントのリスクの高いアプリの詳細を一覧表示する" などのプロンプトを使用すると、アナリストはアプリケーション ID からのリスクをよりよく把握し、付与されたアクセス許可 (特に高い特権と見なされる可能性があるアクセス許可)、テナント内の未使用のアプリ、テナント外のアプリなど、Microsoft Entra の他のアプリケーションの詳細を検出できます。 その後、Security Copilot は、アプリやアクセス許可の一覧など、プロンプト コンテキストを使用して応答し、Microsoft Entra 管理センターへのリンクを表示して、管理者が完全な一覧を表示し、危険なアプリに対して適切な修復アクションを実行できるようにします。 IT 管理者とセキュリティ オペレーション センター (SOC) アナリストは、これらのスキルや他のユーザーを使用して、自然言語プロンプトを使用して ID ベースのインシデントを調査および修復するのに役立つ適切なコンテキストを得ることができます。

この記事では、SOC アナリストまたは IT 管理者が Microsoft Entra スキルを使用して潜在的なセキュリティ インシデントを調査する方法について説明します。

手記

これらのアプリ リスク スキルは、Microsoft Entra のアプリケーションまたはサービス プリンシパルであるシングル テナント、サード パーティの SaaS、マルチテナント アプリに関するデータを提供します。 マネージド ID は現在スコープ内にありません。

シナリオ

Woodgrove Bank の IT 管理者である Jason は、テナント内のリスクの高いアプリを積極的に特定して理解しようとしています。

調べる

Jason は評価を開始し、 Microsoft Security Copilot または Microsoft Entra 管理センターにサインインします。 アプリケーションとサービス プリンシパルの詳細を表示するには、少なくとも セキュリティ閲覧者 としてサインインし、Microsoft Entra でアプリケーション/ワークロード ID を管理するアクセス許可を持つアプリケーション管理者、クラウド アプリケーション管理者、または同様の Microsoft Entra 管理者ロールの Microsoft Entra ロールの割り当てが 必要です。

Microsoft Entra 管理センター の一部である Security Copilot を使用する ID 管理者は、セキュリティ コピロット ウィンドウの上部に表示されるアプリ リスク スターター プロンプトのセットから選択できます。 応答の後に表示される可能性がある、推奨されるプロンプトから選択します。 アプリ リスク スタータープロンプトは、アプリケーション関連の管理センター ブレード ( エンタープライズ アプリアプリ登録Identity Protection の危険なワークロード ID) に表示されます。

Security Copilot のスターター プロンプトを示すスクリーンショット。

Microsoft Entra のリスクの高いサービス プリンシパルを調べる

Jason は、リスク "ホット スポット" のより良い画像を得るために自然言語の質問をすることから始めます。 これにより、Microsoft の検出に基づいて、テナント内のアプリのスケールに関する初期フィルターとして ID Protection の危険なワークロード ID データが使用されます。 これらのサービス プリンシパルは、侵害されるリスクが高いです。 

次のいずれかのプロンプトを使用して、必要な情報を取得します。

  • 危険なアプリを表示する
  • 悪意のあるアプリや侵害を受けているアプリはありますか?
  • リスクレベルが高いアプリを 5 つ一覧表示します。 テーブルの書式を次のように設定します。表示名 |ID |リスクの状態
  • リスク状態が "侵害の確認済み" のアプリを一覧表示します。
  • ID {ServicePrincipalObjectId} (またはアプリ ID {ApplicationId}) を持つ危険なアプリの詳細を表示する

重要

リスク情報を返すには、このスキルの ID 保護を管理する権限を持つアカウントを使用する必要があります。 テナントには Workload Identities Premium のライセンスも必要です。

Microsoft Entra サービス プリンシパルを調べる

危険であると識別されたこれらのサービス プリンシパルに関する詳細情報を取得するために、Jason は、所有者などの情報を含む Microsoft Entra から詳細情報を求めます。

次のプロンプトを使用して、必要な情報を取得します。

  • これらのサービス プリンシパルの詳細を教えてください (前の応答から)
  • {DisplayName} (または {ServicePrincipalId}) を使用したサービス プリンシパルの詳細を教えてください
  • これらのアプリの所有者の一覧を教えてください。

Microsoft Entra アプリケーションを調べる

また、Jason は、発行元と発行元の検証状態の詳細など、アプリケーションの詳細をグローバルに理解したいと考えています。

Jason は、次のプロンプトを使用して、選択したアプリケーションのプロパティを取得します。

  • アプリケーション {DisplayName} または {AppId} の詳細を教えてください
  • これらのアプリの詳細を教えてください (前の応答から)

Microsoft Entra サービス プリンシパルに付与されたアクセス許可を表示する

Jason は引き続き評価を行い、侵害された場合に潜在的な影響を見つけるために、すべてのアプリまたは 1 つのアプリに付与されているアクセス許可を知りたいと考えています。 これは通常、さまざまな種類のアクセス許可 (User.Read.All + アプリケーション管理者などの Microsoft Entra 管理者ロールのような API アクセス許可) で評価することは困難ですが、Copilot は調査のコンテキストでリスト内でそれを簡略化します。 このスキルは、特定の Microsoft Entra サービス プリンシパルに対する委任されたアクセス許可、アプリケーションのアクセス許可、および Microsoft Entra 管理者ロールを取得します。

Jason は、Microsoft のリスク評価に基づいて、サービス プリンシパルに付与された高い特権のアクセス許可を識別することもできます。 これらの範囲は現在、ユーザー コンテキストや高い県特権を持つ Explore Microsoft Entra 管理者ロールなしでテナント全体のアクセスを全般的に可能にするアプリケーション アクセス許可に設定されています。

重要

このスキルは現在、 API のアクセス許可Entra 管理者ロールのみを対象としています。 現時点では、Azure RBAC やその他の承認システムなどの場所で付与されたディレクトリ以外のアクセス許可は確認されていません。 高い特権のアクセス許可は、時間の経過と同時に進化する可能性がある Microsoft によって管理される静的なリストに限定され、現在、顧客が表示またはカスタマイズすることはできません。

次のプロンプトを使用して、必要なアクセス許可情報を取得します。

  • ID {ServicePrincipalId} またはアプリ ID {AppId} のアプリに付与されるアクセス許可はどれですか?
  • 上記の危険なアプリには、(以前の応答から) どのアクセス許可がありますか?
  • このアプリに付与されるアクセス許可のうち、高い特権を持っているのはどれですか?

使用されていない Microsoft Entra アプリケーションを調べる

Jason は、未使用のアプリを削除することでリスクを軽減できるという、簡単に実行できる機会があることに気づきました。 これらは、次の理由で簡単に勝ちます。

  1. 未使用のアプリを削除すると、1 つの修復アクションで他の多くのリスクに対処できます。

  2. 多くの場合、ユーザーがアプリを実際に使用していないため、停止やビジネスの中断のリスクを低く保ちながら、一元的なアクションを通じて、未使用のアプリに積極的に対処できます。

未使用のアプリに関する既存の Microsoft Entra の推奨事項と統合された Copilot スキルを使用して、Jason は関連するデータを取得してさらに調査し、チームと協力してテナントのセキュリティ体制を強化します。 応答には、修復を容易にする特定のアプリへのリンクが含まれています。 アナリストは、Security Copilot で特定のアプリの詳細について直接質問することもできます。

手記

Copilot 応答は、過去 90 日間に使用されていないアプリの登録またはアプリケーションの一覧を返します。この期間にトークンが発行されていません。

次のプロンプトを使用して、必要な情報を取得します。

  • 未使用のアプリを表示する
  • 未使用のアプリの数はいくつですか?

テナントの外部で Microsoft Entra アプリケーションを探索する

Jason は、別の組織のテナントに登録されている、彼のテナント内に存在する外部アプリまたはマルチテナントアプリのリスク要因についても調べたいと考えています。 これらのアプリのセキュリティ体制は所有テナントの体制の影響を受けるので、特にこれらを確認して、領域の削減のリスクと機会を特定することが重要です。 Copilot は、現在のテナント内のサービス プリンシパルの一覧を返し、ユーザーのテナントの外部にマルチテナント アプリを登録するか、特定のサービス プリンシパルがテナントの外部に登録されているかどうかの詳細を返すことができます。 

次のプロンプトを使用して、必要な情報を取得します。

  • 自分のテナントの外のアプリを見せて
  • テナントの外部からのアプリの数はいくつですか?

改善する

Jason は、Security Copilot を使用して、Microsoft Entra テナント内のアプリケーションとサービス プリンシパルに関する包括的なリスクと基本情報を収集できます。 評価を完了すると、Jason は危険なアプリケーションを修復するためのアクションを実行します。 Security Copilot では、管理者が適切な修復アクションを実行するための応答として、Microsoft Entra 管理センターへのリンクが表示されます。

アプリケーションのアクセスとセキュリティの管理セキュリティ ワークロード ID同意フィッシングからの保護、次に実行できるアクションの決定に関するプレイブックについて説明します。

次の手順

詳細については、以下をご覧ください。