機密性の高い操作のレポート ブックは、環境内の侵害を示す可能性のある、疑わしいアプリケーションやサービス プリンシパルのアクティビティを識別するのに役立ちます。
この記事では、 機密性の高い操作レポート ブックの概要について説明します。
前提条件
Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。
- Premium P1 ライセンスを持つ Microsoft Entra テナント
- Log Analytics ワークスペース とその ワークスペースへのアクセス
- Azure Monitor と Microsoft Entra ID のロールの適切な選択
Log Analytics ワークスペース
Microsoft Entra ブックを使用する前に Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースへのアクセスはいくつかの要因によって決まります。 ワークスペース と データを送信するリソースに適したロールが必要です。
詳細については、「 Log Analytics ワークスペースへのアクセスの管理」を参照してください。
Azure Monitor ロール
Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロール が用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセスを付与する 2 つの Log Analytics 組み込みロールも用意されています。
表示:
- 監視リーダー
- Log Analytics 閲覧者
設定の表示と変更:
- モニタリング貢献者
- Log Analytics 共同作成者
Microsoft Entra ロール
読み取り専用アクセスでは、ブック内の Microsoft Entra ID ログ データを表示したり、Log Analytics からデータのクエリを実行したり、Microsoft Entra 管理センターでログを読み取ったりすることができます。 更新アクセスにより、Microsoft Entra データを Log Analytics ワークスペースに送信するための診断設定を作成および編集する機能が追加されます。
読み取り:
- レポート閲覧者
- セキュリティ閲覧者
- グローバル閲覧者
更新:
- セキュリティ管理者
Microsoft Entra 組み込みロールの詳細については、「 Microsoft Entra 組み込みロール」を参照してください。
Log Analytics RBAC ロールの詳細については、 Azure の組み込みロールに関するページを参照してください。
説明
このブックは、テナント内で実行された最近の機密性の高い操作を識別します。
組織で Azure Monitor ブックを使用したことがない場合は、ブックにアクセスする前に、Microsoft Entra のサインインと監査のログを Azure Monitor と統合する必要があります。 この統合により、最長で 2 年間、ブックを使用してログの格納、クエリの実行、視覚化を実行することができます。 Azure Monitor との統合後に作成されたサインインと監査のイベントのみが格納されるため、ブックには、その日付より前の分析情報は含まれません。 詳細については、「 Microsoft Entra ログと Azure Monitor の統合」を参照してください。
ブックにアクセスする方法
適切なロールの組み合わせを使用して 、Microsoft Entra 管理センター にサインインします。
[Entra ID]>[監視とヘルス]>[ブック] を参照します。
トラブルシューティング セクションから 機密性の高い操作レポート ブックを選択します。
セクション
このブックは、4 つのセクションに分割されています。
変更されたアプリケーションとサービス プリンシパルの資格情報/認証方法 - このレポートは、最近多くのサービス プリンシパル資格情報を変更したアクターと、変更された各種類のサービス プリンシパル資格情報の数にフラグを設定します。
サービス プリンシパルに付与された新しいアクセス許可 - このブックには、サービス プリンシパルに対して最近付与された OAuth 2.0 アクセス許可も強調表示されています。
サービス プリンシパルのディレクトリ ロールとグループ メンバーシップの更新
変更されたフェデレーション設定 - ユーザーまたはアプリケーションがドメインのフェデレーション設定を変更すると、このレポートが強調表示されます。 たとえば、署名証明書など、Active Directory フェデレーション サービス (ADFS) の新しい TrustedRealm オブジェクトがドメインに追加された場合が報告されます。 ドメインのフェデレーション設定に対する変更は、めったにないはずです。
変更されたアプリケーションとサービス プリンシパルの資格情報および認証方法
攻撃者が環境内でアクセスを獲得する最も一般的な方法の 1 つは、既存のアプリケーションやサービス プリンシパルに新しい資格情報を追加する方法です。 資格情報があれば、攻撃者は標的のアプリケーションまたはサービス プリンシパルとして認証して、それらに、アクセス許可を持つすべてのリソースへのアクセスを付与できます。
このセクションには、検出に役立つ以下のデータが含まれています。
資格情報の種類を含め、アプリやサービス プリンシパルに追加された新しい資格情報すべて
上位のアクターと、それらが実行した資格情報の変更の数
すべての資格情報変更のタイムライン
サービス プリンシパルに付与された新しいアクセス許可
攻撃者は、侵入するための高特権の一連のアクセス許可を持つサービス プリンシパルやアプリケーションを見つけられない場合、別のサービス プリンシパルまたはアプリケーションへのアクセス許可を追加しようと試みます。
このセクションには、既存のサービス プリンシパルに AppOnly アクセス許可が付与された内訳が含まれています。 管理者は、Exchange Online、Microsoft Graph を含む、過剰に高いアクセス許可が付与されているすべてのインスタンスを調査する必要があります。
サービス プリンシパルのディレクトリ ロールとグループ メンバーシップの更新
攻撃者が既存のサービス プリンシパルやアプリケーションに新しいアクセス許可を追加する論理に従えば、もう 1 つのアプローチとなるのは、それらを既存のディレクトリ ロールまたはグループに追加することです。
このセクションには、サービス プリンシパルのメンバーシップに加えられたすべての変更の概要が含まれていて、高い特権を持つロールとグループへの追加はすべて確認する必要があります。
変更されたフェデレーション設定
環境内に長期的な足がかりを得るための別の一般的なアプローチは、次のとおりです。
- テナントのフェデレーション ドメインでの信頼を変更する。
- 攻撃者が制御する別の SAML IDP を、信頼できる認証ソースとして追加する。
このセクションには以下のデータが含まれています。
ドメイン フェデレーションによる既存の信頼に対して実行された変更
新しいドメインや信頼の追加
フィルター
この段落では、各セクションでサポートされているフィルターの一覧を示します。
変更されたアプリケーションとサービス プリンシパルの資格情報および認証方法
- 時間の範囲
- 操作名
- 資格情報
- 俳優
- アクターの除外
サービス プリンシパルに付与された新しいアクセス許可
- 時間の範囲
- クライアント アプリ
- リソース
サービス プリンシパルに対するディレクトリ ロールとグループ メンバーシップの更新
- 時間の範囲
- 操作
- 開始しているユーザーまたはアプリ
変更されたフェデレーション設定
- 時間の範囲
- 操作
- 開始しているユーザーまたはアプリ
ベスト プラクティス
変更されたアプリケーションとサービス プリンシパルの資格情報を使用して 、組織で頻繁に使用されないサービス プリンシパルに追加される資格情報を確認します。 このセクションに記載されたフィルターを利用して、変更された疑いのあるアクターやサービス プリンシパルがないかさらに調査します。
サービス プリンシパルに付与された新しいアクセス許可を使用して 、侵害される可能性のあるアクターによってサービス プリンシパルに追加される広範なアクセス許可または過剰なアクセス許可を確認します。
変更されたフェデレーション設定セクションを使用して 、追加または変更されたターゲット ドメイン/URL が正当な管理者の動作であることを確認します。 ドメイン フェデレーションの信頼を変更または追加するアクションはまれであり、確かに適正であることをできるだけ早く調査するアクションとして扱う必要があります。