Privileged Identity Management の Microsoft Entra セキュリティ オペレーション

ビジネスアセットのセキュリティは、IT システムを管理する特権アカウントの整合性に依存します。 サイバー攻撃者は、認証情報の盗用攻撃を使用して、管理者アカウントやその他の特権アクセス アカウントをターゲットにし、機密データへのアクセスを試みます。

クラウド サービスでは、防止と対応はクラウド サービス プロバイダーと顧客の共同責任です。

従来、組織のセキュリティは、セキュリティ境界としてネットワークのエントリとエグジットのポイントに焦点を当てていました。 ただし、SaaS アプリと個人用デバイスでは、この方法があまり効果的ではありません。 Microsoft Entra ID では、組織の ID レイヤーでネットワーク セキュリティ境界を認証に置き換えます。 ユーザーに特権管理者ロールが割り当てられているため、アクセスはオンプレミス、クラウド、ハイブリッドの環境で保護されている必要があります。

ユーザーは、オンプレミスの IT 環境におけるすべてのセキュリティの層にすべての責任を負います。 Azure クラウド サービスを使用するとき、Microsoft とユーザーはそれぞれクラウド サービス プロバイダーと顧客として、防止と対応に対して共同責任を負います。

Privileged Identity Management (PIM) は、組織の重要なリソースへのアクセスを管理、制御、監視できるようにする Microsoft Entra のサービスです。 これらのリソースには、Microsoft Entra ID や Azure に加え、Microsoft 365 や Microsoft Intune などのその他の Microsoft Online Services 内のリソースが含まれます。 PIM を使用して、次のリスクを軽減できます。

  • セキュリティで保護された情報とリソースにアクセスできるユーザーの数を特定し、最小限に抑えます。

  • 機密リソースへの過剰、不要、誤用されるアクセス許可を検出します。

  • 悪意のあるアクターがセキュリティで保護された情報やリソースにアクセスする危険性を低減します。

  • 不正ユーザーが誤って機密性の高いリソースに影響を与える危険性を低減します。

この記事は、ベースラインの設定、ログインの監査、特権アカウントの使用に関するガイダンスを提供します。 ソースの監査ログ元を使用し、特権アカウントの整合性を維持します。

確認先

調査と監視に使用するログ ファイルは次のとおりです。

Azure portal で Microsoft Entra 監査ログを確認し、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードします。 Azure portal には、監視とアラートを自動化するために、Microsoft Entra ログを他のツールと統合するいくつかの方法があります。

  • Microsoft Sentinel – セキュリティ情報イベント管理 (SIEM) 機能を提供することにより、企業レベルでインテリジェント セキュリティ分析を実現します。

  • Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 Sigma リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。

  • Azure Monitor - さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。

  • SIEM と統合した Azure Event Hubs - Microsoft Event Hubs ログは、Azure Event Hubs 統合を介して Splunk、ArcSight、QRadar、Sumo Logic などの他の SIEM と統合できます。

  • Microsoft Defender for Cloud Apps – アプリの検出と管理、アプリとリソース全体のガバナンス、クラウド アプリのコンプライアンスの確認を行うことができます。

  • Microsoft Entra ID 保護 でワークロード ID をセキュリティで保護 - ログイン動作間とオフラインの侵害インジケーターにおけるワークロード ID のリスクを検出するために使用されます。

この記事の残りの部分には、階層モデルを使用して監視とアラートを出すベースラインを設定するための推奨事項が記載されています。 事前構築されたソリューションへのリンクは、テーブルの後に表示されます。 前のツールを使用してアラートを作成できます。 内容は、次の区分で整理されています。

  • ベースライン

  • Microsoft Entra の役割の割り当て

  • Microsoft Entra の役割アラート設定

  • Azure リソース の役割の割り当て

  • Azure リソースのアクセス管理

  • Azure サブスクリプションを管理するために昇格したアクセス権

ベースライン

推奨されるベースライン設定は、次のとおりです。

[What to monitor] (監視対象) リスク レベル 推奨事項 役割 メモ
Microsoft Entra の役割の割り当て 有効化の理由を求めます。 アクティブに承認を求めます。 2 レベルの承認者プロセスを設定します。 アクティブ化のとき、Microsoft Entra 多要素認証を求めます。 昇格の最大期間を 8 時間に設定します。 セキュリティ管理者、特権ロール管理者、グローバル管理者 特権ロール管理者は、適格な役割の割り当てをアクティブ化するユーザーの操作性を変更するなど、Microsoft Entra 組織の PIM をカスタマイズできます。
Azure リソース役割の構成 有効化の理由を求めます。 アクティブに承認を求めます。 2 レベルの承認者プロセスを設定します。 アクティブ化のとき、Microsoft Entra 多要素認証を求めます。 昇格の最大期間を 8 時間に設定します。 所有者、ユーザー アクセス管理者 計画された変更でない場合、すぐに調査します。 この設定により、攻撃者がユーザーの環境の Azure サブスクリプションにアクセスを可能にする場合があります。

Privileged Identity Management アラート

Microsoft Entra の組織で疑わしいアクティビティや危険なアクティビティが行われると、Privileged Identity Management (PIM) はアラートを生成します。 アラートが生成されると、Privileged Identity Management ダッシュボードに表示されます。 メール通知を構成したり、GraphAPI を介して SIEM に送信したりすることもできます。 これらのアラートは特に管理者ロールに焦点を当てていているため、アラートを注意深く監視する必要があります。

[What to monitor] (監視対象) リスク レベル このとき フィルターまたはサブフィルター UX メモ
役割が Privileged Identity Management の外部に割り当てられている Privileged Identity Management、アラート 役割が Privileged Identity Management の外部に割り当てられている セキュリティ アラートの構成方法
Sigma ルール
特権ロールに古い可能性のあるアカウント Privileged Identity Management、アラート 特権ロールに古い可能性のあるアカウント セキュリティ アラートの構成方法
Sigma ルール
管理者が特権ロールを使用していません Privileged Identity Management、アラート 管理者が特権ロールを使用していません セキュリティ アラートの構成方法
Sigma ルール
役割のアクティブ化に多要素認証は必要ありません Privileged Identity Management、アラート 役割のアクティブ化に多要素認証は必要ありません セキュリティ アラートの構成方法
Sigma ルール
組織には Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがありません Privileged Identity Management、アラート 組織には Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがありません セキュリティ アラートの構成方法
Sigma ルール
グローバル管理者が多すぎます Privileged Identity Management、アラート グローバル管理者が多すぎます セキュリティ アラートの構成方法
Sigma ルール
役割がアクティブ化される頻度が高すぎます Privileged Identity Management、アラート 役割がアクティブ化される頻度が高すぎます セキュリティ アラートの構成方法
Sigma ルール

Microsoft Entra の役割の割り当て

特権ロール管理者は、適格な役割の割り当てをアクティブ化するユーザーの操作性を変更するなど、Microsoft Entra 組織の PIM をカスタマイズできます。

  • 不正なアクターが Microsoft Entra の多要素認証要件を削除し、特権アクセスをアクティブ化する行為を防止します。

  • 悪意のあるユーザーが、特権アクセスをアクティブ化する理由と承認をバイパスすることを防止します。

[What to monitor] (監視対象) リスク レベル このとき フィルターまたはサブフィルター メモ
特権アカウントのアクセス許可における変更の追加をアラート Microsoft Entra 監査ログ カテゴリ = ロール管理
- および -
アクティビティの種類 – 適格のメンバーの追加 (永続的)
- および -
アクティビティの種類 – 適格のメンバーの追加 (適格)
- および -
状態 = 成功/失敗
- および -
変更されたプロパティ = Role.DisplayName
特権ロール管理者とグローバル管理者に対する変更を監視し、常にアラートを出します。 攻撃者が役割の割り当て設定を変更するため、特権を取得しようとしていることを示している可能性があります。 しきい値を定義していない場合、ユーザーに 60 分で 4 回アラートを出し、特権アカウントに 60 分で 2 回アラートを出します。

Sigma ルール
特権アカウントのアクセス許可に対する一括削除の変更のアラート Microsoft Entra 監査ログ カテゴリ = ロール管理
- および -
アクティビティの種類 – 適格メンバーの削除 (永続的)
- および -
アクティビティの種類 – 適格メンバーの削除 (適格)
- および -
状態 = 成功/失敗
- および -
変更されたプロパティ = Role.DisplayName
計画された変更でない場合、すぐに調査します。 この設定は、攻撃者がユーザーの環境の Azure サブスクリプションにアクセスできるようにする可能性があります。
Microsoft Sentinel テンプレート

Sigma ルール
PIM 設定の変更 Microsoft Entra の監査ログ サービス = PIM
- および -
カテゴリ = ロール管理
- および -
アクティビティの種類 = PIM のロール設定の更新
- および -
ステータスの理由 = MFA のアクティブ化が無効になっている (例)
特権ロール管理者とグローバル管理者に対する変更を監視し、常にアラートを出します。 攻撃者が役割の割り当て設定を変更するアクセス権を取得したことを示している可能性があります。 これらのアクションの 1 つによって PIM 昇格のセキュリティが低下し、攻撃者が特権アカウントを取得しやすくなります。
Microsoft Sentinel テンプレート

Sigma ルール
昇格の承認と拒否 Microsoft Entra の監査ログ サービス = アクセス レビュー
- および -
カテゴリ = ユーザー管理
- および -
アクティビティの種類 = 要求が承認/拒否されました
- および -
開始したアクター = UPN
すべての昇格を監視する必要があります。 すべての昇格をログに記録し、攻撃のタイムラインを明示します。
Microsoft Sentinel テンプレート

Sigma ルール
アラート設定が無効に変更されます。 Microsoft Entra 監査ログ サービス = PIM
- および -
カテゴリ = ロール管理
- および -
アクティビティの種類 = PIM アラートの無効化
- および -
状態 = 成功/失敗
常にアラート。 不正なアクターが特権アクセスをアクティブ化するため、Microsoft Entra の多要素認証要件に関連付けられているアラートを削除する行為を検出できるようにします。 疑わしいアクティビティまたは安全でないアクティビティを検出できるようにます。
Microsoft Sentinel テンプレート

Sigma ルール

Microsoft Entra の監査ログでロール設定の変更を特定する方法の詳細については、「Privileged Identity Management で Microsoft Entra 役割の監査履歴の表示」を参照してください。

Azure リソース の役割の割り当て

Azure リソース の役割の割り当てを監視すると、リソース役割のアクティビティやアクティブ化を可視化できます。 これらの割り当ては、リソースに対する攻撃面を作成するために悪用されることがあります。 この種類のアクティビティを監視すると、次のアクティビティを検出できます。

  • 特定のリソースでのクエリ 役割の割り当て

  • すべての子リソースに対する役割の割り当て

  • すべてのアクティブと資格のある役割の割り当ての変更

[What to monitor] (監視対象) リスク レベル このとき フィルターまたはサブフィルター メモ
特権アカウント アクティビティのアラート リソース監査ログの監査 PIM の [Azure リソース] にある [リソースの監査] アクション: PIM の役割に資格のあるメンバーの追加が完了しました (期限付き)
- および -
プライマリ ターゲット
- および -
種類のユーザー
- および -
状態 = 成功
常にアラート。 不正なアクターが、Azure のすべてのリソースを管理する資格のあるロールを追加する行為を検出できるようにます。
アラートの無効化に関する監査アラート リソース監査 PIM の [Azure リソース] にある [リソースの監査] アクション: アラートの無効化
- および -
プライマリ ターゲット: 1 つのリソースに割り当てられた所有者が多すぎます
- および -
状態 = 成功
不正なアクターが [アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスする行為を検出できるようにします
アラートの無効化に関する監査アラート リソース監査 PIM の [Azure リソース] にある [リソースの監査] アクション: アラートの無効化
- および -
プライマリ ターゲット: 1 つのリソースに割り当てられた永続的な所有者が多すぎます
- および -
状態 = 成功
不正なアクターが [アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスする行為を防止します
アラートの無効化に関する監査アラート リソース監査 PIM の [Azure リソース] にある [リソースの監査] アクション: アラートの無効化
- および -
プライマリ ターゲットの重複する役割が作成されました
- および -
状態 = 成功
不正なアクターが [アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスする行為を防止します

アラートの構成と Azure リソース 役割の監査の詳細については、次の内容を参照してください。

Azure リソースとサブスクリプションのアクセス管理

所有者またはユーザー アクセス管理者サブスクリプションの役割に割り当てられたユーザーまたはグループ メンバー、ならびに Microsoft Entra ID でサブスクリプション管理を有効にした Microsoft Entra グローバル管理者には、既定ではリソース管理者のアクセス許可を持ちます。 管理者は Azure リソース用 Privileged Identity Management (PIM) を使用し、役割の割り当て、役割設定の構成、アクセスの確認をします。

リソース管理者のアクセス許可を持つユーザーは、リソースの PIM を管理できます。 この発生するリスクの監視と軽減: この機能を使用して、仮想マシン (VM) やストレージ アカウントなどの Azure サブスクリプション リソースに対する特権アクセスが、不正なアクターに許可される可能性があります。

[What to monitor] (監視対象) リスク レベル このとき フィルターまたはサブフィルター メモ
昇格 Microsoft Entra ID、[管理] にある [プロパティ] 定期的に設定を確認します。
Azure リソースのアクセス管理
グローバル管理者は Azure リソースのアクセス管理を有効にすることにより、昇格できます。
Active Directory に関連付けられているすべての Azure サブスクリプションと管理グループに役割を割り当てるアクセス許可が不正なアクターに付与されていないか確認します。

詳細については、「Privileged Identity Management で Azure リソース の役割の割り当て」を参照してください

次のステップ

Microsoft Entra のセキュリティ オペレーションの概要

ユーザー アカウントのセキュリティ オペレーション

コンシューマー アカウントのためのセキュリティ運用

特権アカウントのセキュリティ オペレーション

アプリケーションのセキュリティ オペレーション

デバイスのセキュリティ オペレーション

インフラストラクチャのセキュリティ オペレーション