Microsoft Entra ID での特権アカウントに対するセキュリティ オペレーション
ビジネスアセットのセキュリティは、IT システムを管理する特権アカウントの整合性に依存します。 サイバー攻撃者は、認証情報窃盗攻撃や他の手法を使用して特権アカウントを標的にし、機密データにアクセスします。
従来、組織のセキュリティは、セキュリティ境界としてネットワークのエントリとエグジットのポイントに焦点を当てていました。 しかし、インターネット上のサービスとしてのソフトウェア (SaaS) アプリケーションと個人用デバイスに対しては、この方法があまり効果的ではありません。
Microsoft Entra ID は、ID およびアクセス管理 (IAM) をコントロール プレーンとして使用します。 組織の ID 層では、特権管理者ロールに割り当てられているユーザーが管理を行います。 アクセスに使用されるアカウントは、環境がオンプレミス、クラウド、またはハイブリッド環境のいずれであっても、保護しなければなりません。
ユーザーは、オンプレミスの IT 環境におけるすべてのセキュリティの層にすべての責任を負います。 Azure サービスを使用する場合、サイバー脅威に対する防御と対応は、クラウド サービス プロバイダーである Microsoft とその利用者であるお客様との共有責任となります。
- 共有責任モデルの詳細については、「クラウドにおける共有責任」を参照してください。
- 特権を持つユーザーのアクセスをセキュリティで保護する方法の詳細については、「Microsoft Entra ID でのハイブリッドおよびクラウド デプロイのための特権アクセスのセキュリティ保護」を参照してください。
- 特権 ID の主要概念に関するさまざまな動画、使い方ガイド、およびコンテンツについては、「特権 ID 管理についてのドキュメント」を参照してください。
監視するログ ファイル
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal から、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりできます。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:
Microsoft Sentinel。 セキュリティ情報とイベント管理 (SIEM) 機能を備え、エンタープライズ レベルでのインテリジェントなセキュリティ分析を実現します。
Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合について、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 Sigma リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。
Azure Monitor。 さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
SIEM と統合されているAzure Event Hubs。 Azure イベント ハブとの統合を介して、Splunk、ArcSight、QRadar、Sumo Logic など、他の SIEM に Microsoft Entra ログをプッシュできるようにします。 詳細については、「Azure イベント ハブへのMicrosoft Entra ログのストリーム配信」を参照してください。
Microsoft Defender for Cloud Apps。 アプリの検出と管理、アプリとリソース全体のガバナンス、クラウド アプリのコンプライアンスチェックを行うことができます。
Microsoft Graph。 データをエクスポートし、Microsoft Graph を使用してより詳細な分析を行うことができます。 詳細については、「Microsoft Graph PowerShell SDK と Microsoft Entra ID 保護について」を参照してください。
Microsoft Entra ID 保護。 調査に役立つ 3 つの主要なレポートを生成します。
リスクのあるユーザー。 リスクのあるユーザーに関する情報、検出の詳細、すべてのリスクありサインインの履歴、およびリスク履歴が含まれます。
リスクのあるサインイン。疑わしい状況を示す可能性のあるサインインに関する情報が含まれます。 このレポートの情報を調査するための詳細については、「リスクを調査する」を参照してください。
リスク検出。 リスクが検出されたときトリガーされるその他のリスクに関する情報や、サインインの場所などの他の関連情報、Microsoft Defender for Cloud Apps からの詳細情報が含まれます。
Microsoft Entra ID 保護によるワークロード ID のセキュリティ保護。 サインイン時の動作やオフラインでの侵害の兆候からワークロード ID のリスクを検出するために使用します。
お勧めはしませんが、特権アカウントに永続的な管理者権限を持たせることは可能です。 永続的な特権を使用することを選択した場合、そのアカウントが侵害されると、強い悪影響が及ぶ可能性があります。 特権アカウントの監視を優先し、アカウントを特権 ID 管理 (PIM) 構成に含めることをお勧めします。 PIM の詳細については、「特権 ID 管理の使用開始」を参照してください。 さらに、管理者アカウントについて、以下を検証することをお勧めします。
- 必要なアカウントであること。
- 必要なアクティビティを実行するための最小限の特権を持っていること。
- 少なくとも多要素認証で保護されていること。
- 特権アクセス ワークステーション (PAW) またはセキュリティ保護された管理ワークステーション (SAW) デバイスから実行されていること。
以降では、監視とアラートが推奨される対象について説明します。 この記事の内容は、脅威の種類ごとに構成されています。 特定の事前構築済みソリューションが存在する場合は、表の後にリンクを示しています。 それ以外の場合は、前述のツールを使用してアラートを作成できます。
この記事では、ベースラインの設定、特権アカウントのサインインと使用の監査について詳しく説明します。 また、特権アカウントの整合性を維持するために使用できるツールとリソースについても説明します。 記事の内容は、次の項目で構成されています。
- 緊急時の非常用 (break glass) アカウント
- 特権アカウントのサインイン
- 特権アカウントの変更
- 特権グループ
- 特権の割り当てと昇格
緊急アクセス アカウント
Microsoft Entra テナントから誤ってロック アウトされないようにすることが重要です。
Microsoft は、組織が全体管理者ロールが永続的に割り当てられる 2 つのクラウド専用緊急アクセス アカウントを作成することを推奨しています。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 これらのアカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされたという緊急または "break glass" のシナリオに限定されます。これらのアカウントは、緊急アクセス アカウントに関する推奨事項に従って作成する必要があります。
緊急アクセス アカウントが使用されるたびに、優先度の高いアラートを送信します。
検出
非常用アカウントは緊急時にのみ使用されるため、監視によってアカウント アクティビティは検出されません。 緊急アクセス アカウントが使用または変更されるたびに、優先度の高いアラートを送信します。 次のいずれかのイベントは、悪意のあるアクターがあなたの環境を侵害しようとしていることを示している可能性があります。
- サインイン。
- アカウント パスワードの変更。
- アカウントのアクセス許可またはロールの変更。
- 認証情報または認証方法の追加または変更。
緊急アクセス アカウントの管理の詳細については、「Microsoft Entra ID での緊急アクセス用管理者アカウントの管理」を参照してください。 緊急アカウント向けアラートの作成の詳細については、「アラート ルールの作成」を参照してください。
特権アカウントのサインイン
Microsoft Entra サインイン ログをデータ ソースとして使用して、特権アカウントのすべてのサインイン アクティビティを監視します。 このログには、サインインの成功と失敗に関する情報に加えて、次の詳細が含まれます。
- 割り込み
- デバイス
- 場所
- リスク
- アプリケーション
- 日付と時刻
- アカウントが無効になっているか
- ロックアウト
- MFA の不正
- 条件付きアクセスの失敗
監視する内容
特権アカウントのサインイン イベントは、Microsoft Entra サインイン ログで監視できます。 特権アカウントの次のイベントについてアラートを出して調査します。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| サインインの失敗、不正なパスワードしきい値 | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 50126 |
ベースラインしきい値を定義してから、組織の行動に合わせて監視および調整し、誤ったアラートが生成されないようにします。 Microsoft Sentinel テンプレート Sigma ルール |
| 条件付きアクセス要件が原因による失敗 | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 53003 および 失敗の理由 = 条件付きアクセスによってブロック |
このイベントは、攻撃者がアカウントに侵入しようとしていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 命名ポリシーに違反している特権アカウント | Azure サブスクリプション | Azure portal を使用して Azure ロール割り当てを一覧表示する | サブスクリプションのロール割り当てを一覧表示し、サインイン名が組織の形式と一致していない場合にアラートを出します。 たとえば、プレフィックスとしての ADM_ の使用です。 | |
| 割り込み | [高]、[中] | Microsoft Entra サインイン | 状態 = 中断 および エラー コード = 50074 および 失敗の理由 = 強力な認証が必要 状態 = 中断 および エラー コード = 500121 失敗の理由 = 強力な認証の要求時に、認証に失敗しました |
このイベントは、攻撃者がアカウントのパスワードを持っているが、多要素認証チャレンジに合格できなかったことを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 命名ポリシーに違反している特権アカウント | 高 | Microsoft Entra ディレクトリ | Microsoft Entra 役割の割り当てのリスト | UPN が組織の形式と一致しない Microsoft Entra ロールとアラートのロール割り当てを一覧表示します。 たとえば、プレフィックスとしての ADM_ の使用です。 |
| 多要素認証に登録されていない特権アカウントを検出します | 高 | Microsoft Graph API | 管理者アカウントの IsMFARegistered eq false のクエリ。 credentialUserRegistrationDetails のリスト - Microsoft Graph ベータ版 | 監査と調査を行って、このイベントが意図的なのか、見落としによるものかを判断します。 |
| アカウントのロックアウト | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 および エラー コード = 50053 |
ベースラインしきい値を定義したら、組織の行動に合わせて監視と調整し、誤ったアラートが生成されないように制限します。 Microsoft Sentinel テンプレート Sigma ルール |
| アカウントがサインインで無効化またはブロックされる | 低 | Microsoft Entra サインイン ログ | 状態 = 失敗 および ターゲット = ユーザー UPN および エラー コード = 50057 |
このイベントは、誰かが組織を退職した後にアカウントにアクセスしようとしていることを示している可能性があります。 アカウントはブロックされましたが、こうしたアクティビティについて記録し、アラートを出すことが重要です。 Microsoft Sentinel テンプレート Sigma ルール |
| MFA 不正アクセスのアラートまたはブロック | 高 | Microsoft Entra サインイン ログ/Azure Log Analytics | サインイン>認証詳細 結果詳細 = MFA 拒否、不正なコードの入力) | 特権ユーザーは、自分が多要素認証プロンプトを引き起こしていないと示しており、これは、攻撃者がそのアカウントのパスワードを持っていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| MFA 不正アクセスのアラートまたはブロック | 高 | Microsoft Entra 監査ログ/Azure ログ分析 | アクティビティの種類 = 不正を報告しました - MFA または不正報告によりユーザーをブロックしました - 対応を行いませんでした (不正報告のテナント レベル設定による) | 特権ユーザーは、自分が多要素認証プロンプトを引き起こしていないと示しており、これは、攻撃者がそのアカウントのパスワードを持っていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 想定された制御の範囲外の特権アカウント サインイン | Microsoft Entra サインイン ログ | 状態 = 失敗 UserPricipalName = <管理者アカウント> 場所 = <未承認の場所> IP アドレス = <未承認の IP> デバイス情報 = <承認されていないブラウザー、オペレーティング システム> |
未承認として定義されるエントリを監視し、アラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
|
| 通常のサインイン時間外 | 高 | Microsoft Entra サインイン ログ | 状態 = 成功 および 場所 = および 時間 = 勤務時間外 |
想定される時間外にサインインが発生した場合について監視し、アラートを出します。 各特権アカウントの通常の勤務パターンを見つけて、通常の勤務時間外に予定外の変更が発生した場合にアラートを出すことが重要です。 通常の勤務時間外のサインインが、侵害や内部関係者の脅威の可能性を示している場合があります。 Microsoft Sentinel テンプレート Sigma ルール |
| Microsoft Entra ID 保護リスク | 高 | ID 保護ログ | リスク状態 = リスクあり および リスク レベル = 低、中、高 および アクティビティ = 通常とは異なるサインイン/TOR など |
このイベントは、そのアカウントへのサインインに何らかの異常が検出されたことを示しており、アラートを出す必要があります。 |
| パスワードの変更 | 高 | Microsoft Entra 監査ログ | アクティビティ アクター = 管理者/セルフサービス および ターゲット = ユーザー および 状態 = 成功または失敗 |
管理者アカウントのパスワードが変更されたときのアラート。 特権アカウントのクエリを記述します。 Microsoft Sentinel テンプレート Sigma ルール |
| レガシ認証プロトコルの変更 | 高 | Microsoft Entra サインイン ログ | クライアント アプリ = その他のクライアント、IMAP、POP3、MAPI、SMTP など および ユーザー名 = UPN および アプリケーション = Exchange (例) |
多くの攻撃ではレガシ認証が使用されます。そのため、ユーザーの認証プロトコルに変更があった場合は、攻撃を示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 新しいデバイスまたは場所 | 高 | Microsoft Entra サインイン ログ | デバイス情報 = デバイス ID および ブラウザー および OS および 準拠デバイス/マネージドデバイス および ターゲット = ユーザー および 場所 |
ほとんどの管理者アクティビティは、限られた場所にある特権アクセス デバイスから発生するはずです。 このため、新しいデバイスや場所が検出されるとアラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
| 監査アラートの設定が変更されました | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティ = PIM アラートの無効化 および 状態 = 成功 |
コア アラートに対する変更は、想定外であった場合にはアラートを出す必要があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 他の Microsoft Entra テナントに対して認証を行う管理者 | 中 | Microsoft Entra サインイン ログ | 状態 = 成功 リソースの tenantID != ホーム テナント ID |
特権ユーザーを対象とするとき、このモニターは、管理者が組織のテナント内の ID を使用して別の Microsoft Entra テナントに対して正常に認証されたことを検出します。 リソース TenantID がホーム テナント ID と等しくない場合、アラートを出します Microsoft Sentinel テンプレート Sigma ルール |
| 管理者ユーザーの状態が [ゲスト] から [メンバー] に変更された | 中 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの更新 カテゴリ: UserManagement UserType が [ゲスト] から [メンバー] に変更された |
ユーザータイプの [ゲスト] から [メンバー] への変更を監視し、アラートを生成します。 この変更は想定されていたものか? Microsoft Sentinel テンプレート Sigma ルール |
| 承認されていない招待者によってテナントに招待されたゲスト ユーザー | 中 | Microsoft Entra 監査ログ | アクティビティ: 外部ユーザーの招待 カテゴリ: UserManagement 開始者 (アクター): ユーザー プリンシパル名 |
外部ユーザーを招待する承認されていないアクターを監視し、アラートを生成します。 Microsoft Sentinel テンプレート Sigma ルール |
特権アカウントによる変更
特権アカウントによって完了および試行された変更をすべて監視します。 このデータにより、各特権アカウントの通常のアクティビティの内容を確認し、想定から逸脱したアクティビティについてアラートを出すことができます。 Microsoft Entra 監査ログは、この種類のイベントを記録するために使用されます。 Microsoft Entra 監査ログの詳細については、「Microsoft Entra ID の監査ログ」を参照してください。
Microsoft Entra ドメイン サービス
Microsoft Entra ドメイン サービスでアクセス許可が割り当てられている特権アカウントは、Microsoft Entra ドメイン サービスを使用する Azure ホステッド仮想マシンのセキュリティ体制に影響を与える Microsoft Entra ドメイン サービスのタスクを実行できます。 仮想マシンでセキュリティ監査を有効にして、ログを監視します。 Microsoft Entra ドメイン サービス監査の有効化に関する詳細と、機密性の高い特権アクセスの一覧については、次のリソースを参照してください。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 試行および完了された変更 | 高 | Microsoft Entra 監査ログ | 日付と時刻 および サービス および アクティビティの名前とカテゴリ ("何を") および 状態 = 成功または失敗 および ターゲット および 開始者またはアクター (”誰が”) |
予定外の変更すべてについて、直ちにアラートを出す必要があります。 これらのログは、あらゆる調査に役立てるよう保持する必要があります。 テナントのセキュリティ体制を低下させるようなすべてのテナント レベルの変更は、直ちに調査 (インフラストラクチャ ドキュメントにリンク) する必要があります。 たとえば、アカウントを多要素認証または条件付きアクセスから除外するなどの対応が考えられます。 アプリケーションに対する追加または変更があった場合にアラートを出します。 詳しくは、「アプリケーション向け Microsoft Entra セキュリティ オペレーション ガイド」を参照してください。 |
| 例 価値の高いアプリまたはサービスに対する変更の試行または完了 |
高 | 監査ログ | サービス および アクティビティのカテゴリと名前 |
日付と時刻、サービス、アクティビティのカテゴリと名前、状態 = 成功または失敗、ターゲット、開始者またはアクター (”誰が”) |
| Microsoft Entra ドメイン サービスでの特権に基づく変更 | 高 | Microsoft Entra ドメイン サービス | イベント 4673 を探す | Microsoft Entra ドメイン サービス向けセキュリティ監査を有効にする すべての特権イベントの一覧については、「機密性が高い特権の使用の監査」を参照してください。 |
特権アカウントに対する変更
特権アカウントの認証規則と特権に対する変更を調査します。これが特に該当するのは、この変更によって、Microsoft Entra 環境でより大きな特権またはタスクを実行する能力が付与される場合です。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 特権アカウントの作成 | 中 | Microsoft Entra 監査ログ | サービス = コア ディレクトリ および カテゴリ = ユーザー管理 および アクティビティの種類 = ユーザーの追加 -次と関連- カテゴリの種類 = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加 および 変更されたプロパティ = Role.DisplayName |
特権アカウントの作成を監視します。 アカウントの作成から削除までの時間間隔が短いという相関関係がないかを探します。 Microsoft Sentinel テンプレート Sigma ルール |
| 認証方法に対する変更 | 高 | Microsoft Entra 監査ログ | サービス = 認証方法 および アクティビティの種類 = ユーザーが登録したセキュリティ情報 および カテゴリ = ユーザー管理 |
この変更は、攻撃者が認証方法をアカウントに追加して、継続的にアクセスできるようにしていることを示している可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| 特権アカウントのアクセス許可に対する変更についてアラートを出します | 高 | Microsoft Entra 監査ログ | カテゴリ = ロール管理 および アクティビティの種類 = 対象メンバーの追加 (永続的) または アクティビティの種類 = 対象メンバーの追加 (有資格) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
このアラートは特に、アカウントに割り当てられているロールが不明なものであったり、通常の責任の範囲外のものであったりする場合に該当します。 Sigma ルール |
| 使用されていない特権アカウント | 中 | Microsoft Entra アクセス レビュー | 非アクティブな特権ユーザー アカウントに対して月次レビューを行います。 Sigma ルール |
|
| 条件付きアクセスの適用が除外されたアカウント | 高 | Azure Monitor ログ または アクセス レビュー |
条件付きアクセス = 分析情報とレポート | 条件付きアクセスの適用が除外されたアカウントは、セキュリティ制御を回避している可能性が高く、侵害に対してより脆弱です。 非常用 (break glass) アカウントは除外されます。 非常用アカウントを監視する方法については、この記事で後述する内容を参照してください。 |
| 特権アカウントへの一時アクセス パスの追加 | 高 | Microsoft Entra 監査ログ | アクティビティ: 管理者が登録したセキュリティ情報 状態の理由: 管理者がユーザーに対して一時アクセス パス方法を登録した カテゴリ: UserManagement 開始者 (アクター): ユーザー プリンシパル名 ターゲット: ユーザー プリンシパル名 |
特権ユーザーに対して作成される一時アクセス パスを監視し、アラートを生成します。 Microsoft Sentinel テンプレート Sigma ルール |
条件付きアクセス ポリシーの例外を監視する方法の詳細については、「条件付きアクセスに関する分析情報とレポート」を参照してください。
使用されていない特権アカウントの検出の詳細については、「特権 ID 管理で Microsoft Entra ロールのアクセス レビューを作成する」を参照してください。
割り当てと昇格
昇格した能力を持つ特権アカウントを永続的にプロビジョニングすると、攻撃対象が増え、セキュリティ境界に対するリスクが高まる可能性があります。 代わりに、昇格手順を使用して Just-In-Time アクセスを採用します。 この種類のシステムにより、特権ロール資格を割り当てることができます。 管理者は、その特権を必要とするタスクを実行する場合にのみ、アカウントの特権をそれらのロールに昇格させます。 昇格プロセスを使用することで、特権アカウントの昇格と不使用を監視できます。
ベースラインを確立する
例外を監視するには、最初にベースラインを作成する必要があります。 これらの要素について、以下の情報を確認してください
管理者アカウント
- 特権アカウント戦略
- オンプレミスのリソースを管理するためのオンプレミス アカウントの使用
- クラウドベースのリソースを管理するためのクラウドベース アカウントの使用
- オンプレミスとクラウドベースのリソースの管理アクセス許可を分離および監視する方法
特権ロール保護
- 管理者特権を持つロールの保護戦略
- 特権アカウントの使用に関する組織ポリシー
- 永続的な特権を維持する戦略および原則と、時間制限付きで承認されたアクセスを提供する戦略と原則
ポリシーを決定する際には、次の概念と情報が役立ちます。
- Just-In-Time 管理の原則。 Microsoft Entra ログを使用して、環境内で共通する管理タスクを実行するための情報を取得します。 このタスクを完了するために必要な通常の時間を決定します。
- 必要十分な管理者の原則。 管理タスクに必要な最小限の特権を持つロールを決定します (これはカスタム ロールである場合もあります)。 詳細については、「Microsoft Entra ID のタスク別の最小特権ロール」を参照してください。
- 昇格ポリシーを確立する。 昇格された特権の必要性の種類と、各タスクで必要とされる時間を把握したら、環境に対して昇格された特権使用を反映するポリシーを作成します。 たとえば、ロールの昇格を 1 時間に制限するポリシーを定義できます。
ベースラインを確立してポリシーを設定したら、ポリシーの範囲を超える使用状況を検出してアラートを出すように監視を構成できます。
検出
特権割り当てと昇格への変更に特に注意して、調査を行います。
監視する内容
Microsoft Entra 監査ログと Azure 監視ログを使用して、特権アカウントの変更を監視できます。 監視対象には次の変更を含めてください。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 有資格特権ロールへの追加 | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加が完了 (有資格) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
ロールの対象となるすべてのアカウントに特権アクセスが与えられています。 割り当てが予期しないものであるか、アカウント所有者の責任でないロールに割り当てられている場合は、調査してください。 Microsoft Sentinel テンプレート Sigma ルール |
| PIM の範囲外で割り当てられたロール | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加 (永続的) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
これらのロールは注意深く監視し、アラートを出す必要があります。 ユーザーには、可能な限り PIM の範囲外のロールを割り当てないでください。 Microsoft Sentinel テンプレート Sigma ルール |
| 昇格 | 中 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加が完了しました (PIM 有効化) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
特権アカウントは、昇格後、テナントのセキュリティに影響を与える可能性のある変更を行えるようになります。 すべての昇格がログに記録される必要があります。また、そのユーザーの標準パターンの範囲外で起きている場合はアラートを出し、計画外である場合は調査する必要があります。 |
| 昇格の承認と拒否 | 低 | Microsoft Entra 監査ログ | サービス = アクセス レビュー および カテゴリ = ユーザー管理 および アクティビティの種類 = 要求が承認または拒否された および 開始したアクター = UPN |
昇格が攻撃のタイムラインを明示している可能性があるので、すべての昇格を監視してください。 Microsoft Sentinel テンプレート Sigma ルール |
| PIM 設定の変更 | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = PIM のロール設定の更新 および ステータスの理由 = MFA のアクティブ化が無効になっている (例) |
これらのアクションの 1 つによって PIM 昇格のセキュリティが低下し、攻撃者が特権アカウントを取得しやすくなります。 Microsoft Sentinel テンプレート Sigma ルール |
| 昇格が SAW/PAW で行われていない | 高 | Microsoft Entra サインイン ログ | デバイス ID および ブラウザー および OS および 準拠デバイス/マネージドデバイス 次と関連: サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = ロールへのメンバーの追加が完了しました (PIM 有効化) および 状態 = 成功または失敗 および 変更されたプロパティ = Role.DisplayName |
この変更が構成されている場合は、PAW/SAW 以外のデバイスでの昇格の試行が、攻撃者がアカウントを使用しようとしている兆候である可能性があるため、すぐに調査する必要があります。 Sigma ルール |
| すべての Azure サブスクリプションを管理するための昇格 | 高 | Azure Monitor | [アクティビティ ログ] タブ [ディレクトリ アクティビティ] タブ オペレーション名 = 呼び出し元をユーザー アクセス管理者に割り当てます - および - イベント カテゴリ = 管理 および 状態 = 成功、開始、失敗 および イベントの開始者 |
こうした変更は、計画外である場合は直ちに調査する必要があります。 このような設定により、攻撃者がユーザーの環境内の Azure サブスクリプションにアクセスできる可能性があります。 |
昇格の管理の詳細については、「Azure のすべてのサブスクリプションと管理グループの管理を目的としたアクセス権限の昇格」を参照してください。 Microsoft Entra ログで利用可能な情報を使用した昇格監視の詳細については、Azure Monitor のドキュメントの一部である「Azure アクティビティ ログについて」を参照してください。
Azure ロールに対するアラートの構成の詳細については、「特権 ID 管理で Azure リソース ロールに対するセキュリティ アラートを構成する」を参照してください。
次のステップ
これらのセキュリティ オペレーション ガイドの記事を参照してください。
Microsoft Entra のセキュリティ オペレーションの概要