インフラストラクチャのセキュリティ オペレーション
インフラストラクチャには、適切に構成されていないと脆弱性が発生するおそれがある多くのコンポーネントがあります。 インフラストラクチャの監視とアラートの戦略の一環として、次の領域においてイベントの監視とアラートを行ないます。
認証と承認
ハイブリッド認証コンポーネント (例: フェデレーション サーバー)
ポリシー
サブスクリプション
認証インフラストラクチャのコンポーネントを監視し、アラートを生成することが重要です。 セキュリティが侵害されると、環境全体が完全に侵害される可能性があります。 Microsoft Entra ID を使用する多くの企業は、ハイブリッド認証環境で運用しています。 これは、クラウドとオンプレミスの両方のコンポーネントを監視とアラートの戦略に含める必要があります。 ハイブリッド認証環境を使用すると、環境に別の攻撃ベクトルももたらされます。
すべてのコンポーネントおよびそれを管理するために用いられるアカウントは、コントロール プレーンあるいは階層 0 の資産と見なすことをお勧めします。 環境の設計と実装についてのガイダンスは、特権資産のセキュリティ保護 (SPA) に関する記事を参照してください。 このガイダンスには、Microsoft Entra テナントで使用される可能性があるハイブリッド認証コンポーネントのそれぞれに関する推奨事項が記載されています。
予期しないイベントや潜在的な攻撃を検出できるようにするための最初の手順は、ベースラインを確立することです。 この記事に記載されているすべてのオンプレミス コンポーネントについては、「特権アクセスの展開」を参照してください。これは、特権資産のセキュリティ保護 (SPA) ガイダンスの一部です。
確認先
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal から、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりできます。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:
Microsoft Sentinel – セキュリティ情報イベント管理 (SIEM) 機能を提供することにより、企業レベルでインテリジェント セキュリティ分析を実現します。
Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 Sigma リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。
Azure Monitor - さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
SIEM と統合した Azure Event Hubs - Azure Event Hub 統合を介した、Splunk、ArcSight、QRadar、Sumo Logic など、Microsoft Entra ログは他の SIEM と統合できます。
Microsoft Defender for Cloud Apps – アプリの検出と管理、アプリとリソース全体のガバナンス、クラウド アプリのコンプライアンスの確認を行うことができます。
Microsoft Entra ID 保護 でワークロード ID をセキュリティで保護 - ログイン動作間とオフラインの侵害インジケーターにおけるワークロード ID のリスクを検出するために使用されます。
この記事の残りの部分では、何を監視とアラートの対象にすべきかについて説明します。 脅威の種類ごとに分類されています。 事前構築済みソリューションがある場合は、表の後にリンクを示しています。 それ以外の場合は、前述のツールを使用してアラートを作成できます。
認証インフラストラクチャ
オンプレミスとクラウドベースの両方のリソースとアカウントを含むハイブリッド環境では、Active Directory インフラストラクチャは認証スタックの重要な部分です。 スタックは攻撃のターゲットでもあるため、セキュリティで保護された環境を維持するように構成し、適切に監視する必要があります。 例に挙げた認証インフラストラクチャに使用される最新の攻撃の種類では、パスワード スプレーと Solorigate 手法が使用されます。 推奨される記事へのリンクを次に示します。
特権アクセスのセキュリティ保護の概要 – この記事では、セキュリティで保護された特権アクセスを作成および維持するために、ゼロ トラスト手法を使用する最新手法の概要を説明します。
Microsoft Defender for Identity が監視するドメイン アクティビティ - この記事では、監視しアラートを設定するアクティビティの包括的な一覧を示します。
Microsoft Defender for Identity のセキュリティ アラート チュートリアル - この記事では、セキュリティ アラート戦略の作成と実装に関するガイダンスを提供します。
認証インフラストラクチャの監視とアラートに焦点を当てた具体的な記事へのリンクを次に示します。
Microsoft Defender for Identity での横移動パスの理解と使用 - 機密性の低いアカウントを使用して機密性の高いネットワーク アカウントにアクセスされたときの識別に役立つ検出方法。
Microsoft Defender for Identity でのセキュリティ アラートの処理 - この記事では、アラートがログに記録された後に、アラートを確認して管理する方法について説明します。
具体的な項目について以下で説明します。
[What to monitor] (監視対象) | リスク レベル | このとき | メモ |
---|---|---|---|
エクストラネットのロックアウトの傾向 | 高 | Microsoft Entra Connect Health | エクストラネットのロックアウトの傾向を検出するためのツールと手法については、「Microsoft Entra Connect Health を使用した AD FS の監視」を参照してください。 |
失敗したサインイン | 高 | Connect Health ポータル | 危険な IP のレポートをエクスポートもしくはダウンロードし、「危険な IP のレポート (パブリック レビュー)」にあるガイダンスに従って次のステップに進んでください。 |
プライバシー準拠 | 低 | Microsoft Entra Connect Health | 「ユーザー プライバシーと Microsoft Entra Connect Health」の記事を使用して Microsoft Entra Connect Health を構成し、データ コレクションと監視を無効化します。 |
LDAP に対するブルート フォース攻撃の可能性 | 中 | Microsoft Defender for Identity | センサーを使用して、LDAP に対する潜在的なブルート フォース攻撃を検出できます。 |
アカウント列挙の偵察 | 中 | Microsoft Defender for Identity | センサーを使用して、アカウントの列挙攻撃による偵察を実行できます。 |
Microsoft Entra ID と Azure AD FS の間の一般的な相関関係 | 中 | Microsoft Defender for Identity | Microsoft Entra ID と Azure AD FS 環境の間でアクティビティを関連付ける機能を使用します。 |
パススルー認証に対する監視
Microsoft Entra パススルー認証では、オンプレミスの Active Directory に対してパスワードを直接検証することで、ユーザーをサインインします。
具体的な項目について以下で説明します。
[What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
---|---|---|---|---|
Microsoft Entra パススルー認証エラー | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 - Unable to connect to Active Directory (Active Directory に接続できません) | エージェント サーバーが、パスワードを検証する必要のあるユーザーと同じ AD フォレストのメンバーであり、Active Directory に接続できることを確認します。 |
Microsoft Entra パススルー認証エラー | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - A timeout occurred connecting to Active Directory (Active Directory への接続中にタイムアウトが発生しました) | Active Directory が使用可能で、エージェントからの要求に応答していることを確認します。 |
Microsoft Entra パススルー認証エラー | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - The username passed to the agent was not valid (エージェントに渡されたユーザー名が無効です) | サインインしようとしているユーザーのユーザー名が正しいことを確認してください。 |
Microsoft Entra パススルー認証エラー | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - Validation encountered unpredictable WebException (検証で予測外の WebException が発生しました) | 一時的なエラーです。 要求をやり直してください。 引き続きエラーが発生する場合は、Microsoft サポートに連絡してください。 |
Microsoft Entra パススルー認証エラー | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - An error occurred communicating with Active Directory (Active Directory との通信中にエラーが発生しました) | Check the agent logs for more information and verify that Active Directory is operating as expected. (エージェント ログで詳細を確認し、Active Directory が期待通りに動作していることを確認してください。) |
Microsoft Entra パススルー認証エラー | 高 | Win32 LogonUserA 関数 API | Logon events 4624(s): アカウントが正常にログオンしました - 次と関連 - 4625(F): アカウントがログオンに失敗しました |
要求を認証しているドメイン コントローラーで、疑わしいユーザー名に使用します。 LogonUserA 関数 (winbase.h) におけるガイダンス |
Microsoft Entra パススルー認証エラー | 中 | ドメイン コントローラーの PowerShell スクリプト | 表の後のクエリを参照してください。 | ガイダンスが必要な場合は、「Microsoft Entra Connect: パススルー認証のトラブルシューティング」にある情報を使用します。 |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
新しい Microsoft Entra テナントの作成の監視
組織では、組織テナントの ID によってアクションが開始されたときに、新しい Microsoft Entra テナントの作成を監視してアラートを生成することが必要になる場合があります。 このシナリオの監視では、エンド ユーザーによって作成され、アクセスできるテナントの数を確認できます。
[What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
---|---|---|---|---|
テナントからの ID を使用して、新しい Microsoft Entra テナントを作成します。 | 中 | Microsoft Entra 監査ログ | カテゴリ: ディレクトリ管理 アクティビティ: 会社の作成 |
ターゲットに、作成された TenantID が表示されます |
プライベート ネットワーク コネクタ
Microsoft Entra ID と Microsoft Entra アプリケーション プロキシを使用すると、リモート ユーザーにシングル サインオン (SSO) エクスペリエンスが提供されます。 仮想プライベート ネットワーク (VPN) またはデュアル ホーム サーバーとファイアウォール規則を使用しなくても、ユーザーはオンプレミス アプリケーションに安全に接続します。 Microsoft Entra プライベート ネットワーク コネクタ サーバーが侵害された場合、攻撃者によって SSO エクスペリエンスが変更されたり、公開されたアプリケーションへのアクセス権が変更されたりするおそれがあります。
アプリケーション プロキシの監視を構成するには、「アプリケーション プロキシの問題とエラー メッセージのトラブルシューティング」を参照してください。 情報をログに記録するデータ ファイルは、Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin にあります。監査アクティビティの完全なリファレンス ガイドについては、「Microsoft Entra 監査アクティビティのリファレンス」を参照してください。 具体的な監視項目は次の通りです。
[What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
---|---|---|---|---|
Kerberos のエラー | 中 | 各種のツール | 中 | 「アプリケーション プロキシの問題とエラー メッセージのトラブルシューティング」の「Kerberos エラー」に Kerberos 認証エラーのガイダンスがあります。 |
DC セキュリティに関する問題 | 高 | DC セキュリティ監査ログ | Event ID 4742(S): コンピューター アカウントが変更されました および フラグ - 委任に対して信頼されている または フラグ – 委任の認証に対して信頼されている |
フラグの変更を調査します。 |
Pass-the-Ticket と同様の攻撃 | 高 | 次のガイダンスに従ってください。 セキュリティ プリンシパルによる偵察 (LDAP) (外部 ID 2038) チュートリアル:資格証明の侵害のアラート Microsoft Defender for Identity で横移動パスを理解して使用する エンティティのプロファイルを理解する |
レガシの認証設定
多要素認証 (MFA) を有効にするには、レガシ認証をブロックする必要もあります。 次に、環境を監視し、レガシ認証の使用に対してアラートを生成する必要があります。 POP、SMTP、IMAP、MAPI などのレガシ認証プロトコルでは MFA を強制できません。 そのため、これらのプロトコルは攻撃者が好むエントリ ポイントとなります。 レガシ認証をブロックするために使用できるツールの詳細については、「組織内のレガシ認証をブロックする新しいツール」を参照してください。
レガシ認証は、イベントの詳細の一部として Microsoft Entra サインイン ログに取り込まれます。 Azure Monitor ブックを使用して、レガシ認証の使用状況を識別できます。 詳細情報については、「Microsoft Entra レポートに Azure Monitor ブックを使用する方法」の「レガシ認証を使用したサインイン」を参照してください。 Microsoft Sentinel の安全でないプロトコル ブックを使用することもできます。 詳細については、Microsoft Sentinel の安全でないプロトコル ブックの実装ガイドを参照してください。 監視する具体的なアクティビティは次の通りです。
[What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
---|---|---|---|---|
レガシ認証 | 高 | Microsoft Entra サインイン ログ | ClientApp: POP ClientApp: IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync go to EXO Other Clients = SharePoint and EWS |
フェデレーション ドメイン環境では、失敗した認証は記録されないため、ログに表示されません。 |
Microsoft Entra Connect
Microsoft Entra Connect は、オンプレミスとクラウドベースの Microsoft Entra 環境の間でアカウントと属性の同期を可能にする一元的な場所を提供します。 Microsoft Entra Connect は、ハイブリッド ID の目標に適合し、それを達成するように設計された Microsoft のツールです。 また、以下のような特徴があります。
パスワード ハッシュ同期 - ユーザーのオンプレミス AD パスワードのハッシュを Microsoft Entra ID と同期させるサインイン方法。
同期 - ユーザー、グループ、およびその他のオブジェクトを作成する役割を果たします。 そして、オンプレミスのユーザーとグループの ID 情報をクラウド側と一致させます。 この同期にはパスワード ハッシュも含まれます。
正常性の監視 - Microsoft Entra Connect Health は、堅牢な監視を提供したり、このアクティビティを表示するための Azure Portal 内の中央の場所を提供したりできます。
オンプレミス環境とクラウド環境の間で ID を同期させることで、オンプレミスとクラウドベースの環境に新しい攻撃面がもたらされます。 以下のことが推奨されます。
Microsoft Entra Connect のプライマリ サーバーとステージング サーバーを、コントロール プレーンの階層 0 システムとして扱います。
環境内で各種のアカウントとその使用状況を管理する標準のポリシー セットに従います。
Microsoft Entra Connect と Connect Health をインストールします。 これらは主に、環境の運用データを提供します。
Microsoft Entra Connect 操作のログ記録は、次のようにさまざまな方法で行われます。
Microsoft Entra Connect ウィザードは、データを
\ProgramData\AADConnect
に記録します。 ウィザードが起動されるたびに、タイムスタンプ付きのトレース ログ ファイルが作成されます。 トレース ログは、解析用に Sentinel または他のサードパーティのセキュリティ情報とイベント管理 (SIEM) ツールにインポートできます。一部の操作では、ログ情報を取り込むために PowerShell スクリプトを開始します。 このデータを収集するには、スクリプト ブロックのログが有効になっていることを確認する必要があります。
構成の変更の監視
Microsoft Entra ID は Microsoft SQL Server データ エンジンまたは SQL を使用して Microsoft Entra Connect 構成情報を格納します。 そのため、構成に関連付けられているログ ファイルの監視と監査は、監視と監査の戦略に含める必要があります。 具体的には、監視とアラートの戦略に次の表を含めます。
[What to monitor] (監視対象) | このとき | メモ |
---|---|---|
mms_management_agent | SQL サービス監査レコード | 「SQL Server 監査レコード」を参照してください |
mms_partition | SQL サービス監査レコード | 「SQL Server 監査レコード」を参照してください |
mms_run_profile | SQL サービス監査レコード | 「SQL Server 監査レコード」を参照してください |
mms_server_configuration | SQL サービス監査レコード | 「SQL Server 監査レコード」を参照してください |
mms_synchronization_rule | SQL サービス監査レコード | 「SQL Server 監査レコード」を参照してください |
監視すべき構成情報とその方法の詳細については、次を参照してください。
SQL Server の場合は、「SQL Server 監査レコード」を参照してください。
Microsoft Sentinel の場合、Windows サーバーに接続してセキュリティ イベントを収集する方法に関するページを参照してください。
Microsoft Entra Connect の構成と使用に関する詳細については、「Microsoft Entra Connect とは」を参照してください。
同期の監視とトラブルシューティング
Microsoft Entra Connect の機能の 1 つに、ユーザーのオンプレミスのパスワードと Microsoft Entra ID の間のハッシュ同期があります。 パスワードが想定どおりに同期されない場合、その同期によって、一部またはすべてのユーザーに影響を及ぼすおそれがあります。 適切な操作を確認したり、問題のトラブルシューティングを行ったりするには、次の情報を使用します。
ハッシュ同期の確認とトラブルシューティングについては、「Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング」を参照してください。
コネクタ スペースへの変更については、「Microsoft Entra Connect オブジェクトと属性のトラブルシューティング」を参照してください。
監視に関する重要なリソース
[What to monitor] (監視対象) | リソース |
---|---|
ハッシュ同期の検証 | 「Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング」を参照してください |
コネクタ スペースの変更 | 「Microsoft Entra Connect オブジェクトと属性のトラブルシューティング」を参照してください |
構成した規則に対する変更 | 変更の監視: フィルター処理、ドメインと OU、属性、グループベースの変更 |
SQL と MSDE の変更 | ログ パラメーターの変更とカスタム関数の追加 |
以下を監視します。
[What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
---|---|---|---|---|
スケジューラの変更 | 高 | PowerShell | Set-ADSyncScheduler | スケジュールへの変更を検索する |
スケジュールされたタスクの変更 | 高 | Microsoft Entra 監査ログ | Activity = 4699(S): スケジュールされたタスクが削除されました または Activity = 4701(s): スケジュールされたタスクが無効化されました または Activity = 4702(s): スケジュールされたタスクが更新されました |
すべてを監視する |
PowerShell スクリプト操作のログの詳細については、PowerShell リファレンス ドキュメントの一部である「スクリプト ブロックのログ記録を有効にする」を参照してください。
Splunk による解析のために PowerShell のログを構成する方法の詳細については、「Get Data into Splunk User Behavior Analytics」を参照してください。
シームレス シングル サインオンの監視
Microsoft Entra シームレス シングル サインオン (シームレス SSO) により、ユーザーは企業ネットワークにつながっている会社のデスクトップを使用するときに自動でサインインできます。 シームレス SSO により、ユーザーは、他のオンプレミス コンポーネントを使用せずに、クラウド ベースのアプリケーションに簡単にアクセスできるようになります。 SSO では、Microsoft Entra Connect によって提供されるパススルー認証とパスワード ハッシュ同期機能を使用します。
シングル サインオンと Kerberos アクティビティの監視は、資格情報の盗用に関する一般的な攻撃パターンを検出するのに役立ちます。 次の情報を使用して監視してください。
[What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
---|---|---|---|---|
SSO および Kerberos 検証の失敗に関連するエラー | 中 | Microsoft Entra サインイン ログ | シングル サインオンに関するエラー コードの一覧は、シングル サインオンに関する記事を参照してください。 | |
エラーのトラブルシューティングに関するクエリ | 中 | PowerShell | 表の下にあるクエリを参照してください。 SSO を有効化してフォレストにチェックインします。 | SSO を有効化してフォレストにチェックインします。 |
Kerberos 関連のイベント | 高 | Microsoft Defender for Identity の監視 | 「Microsoft Defender for Identity の横移動パス (LMP)」で利用可能なガイダンスを確認します |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
パスワード保護ポリシー
Microsoft Entra パスワード保護をデプロイする場合、監視とレポートは重要なタスクです。 以下のリンクでは、各サービスが情報をログに記録する場所や、Microsoft Entra パスワード保護の使用についてレポートを作成する方法など、さまざまな監視手法を理解できるように詳しく説明します。
ドメイン コントローラー (DC) エージェントとプロキシ サービスは両方とも、イベント ログ メッセージを記録します。 以下で説明するすべての PowerShell コマンドレットは、プロキシ サーバーでのみ使用できます (AzureADPasswordProtection PowerShell モジュールを参照)。 DC エージェント ソフトウェアでは、PowerShell モジュールはインストールされません。
オンプレミスのパスワード保護の計画と実装の詳細については、「オンプレミスの Microsoft Entra パスワード保護を計画してデプロイする」を参照してください。 監視の詳細については、オンプレミスの Microsoft Entra パスワード保護の監視に関する記事を参照してください。 各ドメイン コントローラーでは、DC エージェント サービス ソフトウェアによって、各個人のパスワード検証操作の結果 (およびその他の状態) が次のローカルのイベント ログに書き込まれます。
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
DC エージェント管理ログは、ソフトウェアの動作に関する情報の主要なソースです。 既定では、トレース ログはオフであり、データをログに記録する前に有効にする必要があります。 アプリケーション プロキシの問題とエラー メッセージのトラブルシューティングを行う場合、詳しい情報は、Microsoft Entra アプリケーション プロキシのトラブルシューティングに関する記事で確認できます。 これらのイベントの情報は次に記録されます。
Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin
Microsoft Entra 監査ログ、カテゴリ アプリケーション プロキシ
Microsoft Entra 監査アクティビティの完全なリファレンスは、Microsoft Entra 監査アクティビティ リファレンスに関する記事で確認できます。
条件付きアクセス
Microsoft Entra ID では、条件付きアクセス ポリシーを構成することでリソースへのアクセスを保護できます。 IT 管理者は、リソースが保護されているようにするため、条件付きアクセス ポリシーが予期したとおりに機能することを確認する必要があります。 条件付きアクセス サービスに対する変更の監視とアラートにより、データへのアクセスのために組織で定義したポリシーが適用されるようになります。 Microsoft Entra は、条件付きアクセスに変更が加えられたときにログします。また、想定した範囲をポリシーが網羅していることを確認するためのブックも用意されています。
ブックのリンク
次の情報を使用して、条件付きアクセス ポリシーに対する変更を監視します。
[What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
---|---|---|---|---|
承認されていないアクターによって作成された新しい条件付きアクセス ポリシー | 中 | Microsoft Entra 監査ログ | アクティビティ: 条件付きアクセス ポリシーを追加する カテゴリ: Policy 開始者 (アクター): ユーザー プリンシパル名 |
条件付きアクセスの変更を監視し、アラートを生成します。 開始者 (アクター): は条件付きアクセスに変更を加えるために承認されていますか? Microsoft Sentinel テンプレート Sigma ルール |
承認されていないアクターによって削除された条件付きアクセス ポリシー | 中 | Microsoft Entra 監査ログ | アクティビティ: 条件付きアクセス ポリシーを削除する カテゴリ: Policy 開始者 (アクター): ユーザー プリンシパル名 |
条件付きアクセスの変更を監視し、アラートを生成します。 開始者 (アクター): は条件付きアクセスに変更を加えるために承認されていますか? Microsoft Sentinel テンプレート Sigma ルール |
承認されていないアクターによって更新された条件付きアクセス ポリシー | 中 | Microsoft Entra 監査ログ | アクティビティ: 条件付きアクセス ポリシーを更新する カテゴリ: Policy 開始者 (アクター): ユーザー プリンシパル名 |
条件付きアクセスの変更を監視し、アラートを生成します。 開始者 (アクター): は条件付きアクセスに変更を加えるために承認されていますか? 変更されたプロパティを確認し、"古い" 値と "新しい" ものを比較します Microsoft Sentinel テンプレート Sigma ルール |
重要な条件付きアクセス ポリシーのスコープを設定するために使用するグループからのユーザーの削除 | 中 | Microsoft Entra 監査ログ | アクティビティ: グループからメンバーを削除する カテゴリ: GroupManagement ターゲット: ユーザー プリンシパル名 |
重要な条件付きアクセス ポリシーのスコープを設定するために使用するグループを管理し、アラートを生成します。 "ターゲット" は削除されたユーザーです。 Sigma ルール |
重要な条件付きアクセス ポリシーのスコープを設定するために使用するグループへのユーザーの追加 | 低 | Microsoft Entra 監査ログ | アクティビティ: グループにメンバーを追加する カテゴリ: GroupManagement ターゲット: ユーザー プリンシパル名 |
重要な条件付きアクセス ポリシーのスコープを設定するために使用するグループを管理し、アラートを生成します。 "ターゲット" は追加されたユーザーです。 Sigma ルール |
次のステップ
Microsoft Entra のセキュリティ オペレーションの概要