ユーザー アカウントの Microsoft Entra セキュリティ オペレーション
ユーザー ID は、組織とデータを保護するうえで最も重要な観点の 1 つです。 この記事では、アカウントの作成、削除、アカウントの使用状況を監視するためのガイダンスを提供します。 最初の部分は、異常なアカウントの作成と削除を監視する方法について説明します。 2 番目の部分は、異常なアカウントの使用を監視する方法について説明します。
「Microsoft Entra のセキュリティ オペレーションの概要」をまだお読みになっていない場合、お読みになってから先に進むことをお勧めします。
この記事では、一般的なユーザー アカウントについて説明します。 特権アカウントについては、「セキュリティ オペレーション - 特権アカウント」を参照してください。
ベースラインを定義する
異常な動作を発見するには、まず通常で想定内の動作を定義する必要があります。 組織にとって想定内の動作を定義することにより、想定外の動作が発生したときに判断できるようになります。 定義することにより、監視とアラート通知の際に偽陽性のノイズ レベルを低減することもできます。
想定内ものを定義したら、ベースライン監視を実行して想定内容を検証します。 その情報を使用し、ログを監視しながら定義した許容範囲から逸脱した動作を調べます。
通常のプロセス以外で作成されたアカウントのデータ ソースとして、Microsoft Entra 監査ログ、Microsoft Entra のサインイン ログ、ディレクトリ属性を使用します。 次の内容は、組織にとって何が正常で、正常性を定義するために参考になる提案事項です。
ユーザー アカウントの作成 - 次の事項を評価します。
ユーザー アカウントの作成と管理に使用するツールとプロセスの戦略と原則。 たとえば、標準の属性や、ユーザー アカウントの属性に適用される形式はあるでしょうか。
アカウントの作成に承認されているソース。 たとえば、Active Directory (AD)、Microsoft Entra ID、Workday のような人事システムから由来するもの。
承認されたソース以外で作成されたアカウントに対するアラート戦略。 ご自身の組織が共同作業している組織の管理されたリストはありますか?
ゲスト アカウントのプロビジョニング、ならびにエンタイトルメント管理やその他の正常なプロセス以外で作成されたアカウントに対するアラート パラメーター。
承認されたユーザー管理者ではないアカウントで作成、変更、無効化されたアカウントに対する戦略とアラートのパラメーター。
従業員 ID などの標準の属性がないか、組織の名前付け規則に従っていないアカウントに対する監視とアラート戦略。
アカウントの削除と保持の戦略、原則、プロセス。
オンプレミスのユーザー アカウント - Microsoft Entra Connect と同期されているアカウントに対し、次の事項を評価します。
同期の範囲にあるフォレスト、ドメイン、組織単位 (OU)。 これらの設定を変更できる承認された管理者は誰ですか?また、スコープはどのくらいの頻度で確認されますか?
同期されるアカウントの種類。 たとえば、ユーザー アカウントやサービス アカウントなど。
オンプレミスの特権アカウントを作成するプロセス、ならびにこの種類のアカウントの同期を制御する方法。
オンプレミスのユーザー アカウントを作成するプロセス、ならびにこの種類のアカウントの同期を管理する方法。
オンプレミスのアカウントのセキュリティ保護と監視の詳細については、「オンプレミスの攻撃から Microsoft 365 の保護」を参照してください。
クラウド ユーザー アカウント - 次の内容を評価します。
Microsoft Entra ID でクラウド アカウントを直接プロビジョニングと管理するプロセス。
Microsoft Entra のクラウド アカウントとしてプロビジョニングされるユーザーの種類を決定するプロセス。 たとえば、特権アカウントのみを許可するのか、それともユーザー アカウントも許可するのか。
クラウド ユーザー アカウントの作成と管理を想定し、信頼できる個人とプロセスのリストを作成と保守するプロセス。
承認されていないクラウドベースのアカウントに対するアラート戦略を作成と保守するプロセス。
確認先
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal から、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりできます。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:
Microsoft Sentinel – セキュリティ情報イベント管理 (SIEM) 機能を提供することにより、企業レベルでインテリジェント セキュリティ分析を実現します。
Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 Sigma リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。
Azure Monitor - さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
SIEM と統合した Azure Event Hubs - Azure Event Hub 統合を介した、Splunk、ArcSight、QRadar、Sumo Logic など、Microsoft Entra ログは他の SIEM と統合できます。
Microsoft Defender for Cloud Apps – アプリの検出と管理、すべてのアプリとリソースの制御、クラウド アプリのコンプライアンスの確認を行得るようにします。
Microsoft Entra ID 保護 でワークロード ID をセキュリティで保護 - ログイン動作間とオフラインの侵害インジケーターにおけるワークロード ID のリスクを検出するために使用されます。
監視とアラートの対象の多くは、条件付きアクセス ポリシーの影響を受けます。 条件付きアクセスに関する分析情報とレポート ブックを使用して、1 つまたは複数の条件付きアクセス ポリシーがサインインに及ぼしている影響と、デバイスの状態などのポリシーの結果を確認できます。 このブックは概要を確認し、指定期間にわたる影響を特定できるようにます。 ブックを使用して特定のユーザーのログインを調査することもできます。
この記事の残りの部分では、監視とアラートの対象としてお勧めするものについて説明し、脅威の種類別にまとめています。 特定の事前構築されたソリューションがある場合、テーブルの後にリンクを示すか、サンプルを提供します。 それ以外の場合は、前述のツールを使用してアラートを作成できます。
アカウントの作成
異常なアカウント作成は、セキュリティ上の問題を示している可能性があります。 短命なアカウント、名前付け基準に従っていないアカウント、通常のプロセス以外で作成されたアカウントを調査する必要があります。
短命なアカウント
通常の ID 管理プロセス以外で行われるアカウントの作成と削除は、Microsoft Entra ID で監視する必要があります。 短命なアカウントとは、短期間に作成されて削除されたアカウントを指します。 このようなアカウントの作成と迅速な削除は、不正なアクターがアカウントを作成し、使用してアカウントを削除することにより、検出を回避しようとしている可能性があります。
短命なアカウントのパターンには、承認されていないユーザーやプロセスが、確立されたプロセスとポリシーから外れたアカウントの作成や削除の権限を持っていることを示す可能性があります。 このような動作は、目に見えるマーカーをディレクトリから削除します。
アカウントの作成と削除のデータ軌跡を迅速に発見できなければ、インシデントの調査に必要な情報が存在しなくなる可能性があります。 たとえば、アカウントが削除されたら、ごみ箱から消去される場合があります。 監査ログは 30 日間保持されます。 ただし、ログを Azure Monitor またはセキュリティ情報イベント管理 (SIEM) ソリューションにエクスポートすることにより、より長期的に保持することができます。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 短い期間内でアカウントの作成と削除のイベント。 | 高 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 - および - アクティビティ: ユーザーの削除 状態 = 成功 |
ユーザー プリンシパル名 (UPN) イベントを検索します。 24 時間以内に作成されて削除されたアカウントを探します。 Microsoft Sentinel テンプレート |
| 承認されていないユーザーまたはプロセスで作成と削除されたアカウント。 | 中 | Microsoft Entra 監査ログ | 開始者 (アクター) - ユーザー プリンシパル名 - および - アクティビティ: ユーザーの追加 状態 = 成功 と - または アクティビティ: ユーザーの削除 状態 = 成功 |
アクターが承認されていないユーザーの場合、アラートを送信するために構成します。 Microsoft Sentinel テンプレート |
| 承認されていないソースのアカウント。 | 中 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 ターゲット = ユーザー プリンシパル名 |
承認されたドメインのエントリではないか、既知のブロックされたドメインのものである場合、アラートを送信するために構成します。 Microsoft Sentinel テンプレート |
| 特権ロールに割り当てられたアカウント。 | 高 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 - および - アクティビティ: ユーザーの削除 状態 = 成功 - および - アクティビティ: ロールへのメンバーの追加 状態 = 成功 |
アカウントが Azure AD ロール、Microsoft Entra ロール、または特権グループ メンバーシップに割り当てられている場合、調査についてアラートを生成し、優先します。 Microsoft Sentinel テンプレート Sigma ルール |
特権アカウントと非特権アカウントの両方を監視し、アラートを出す必要があります。 ただし、特権アカウントは管理者アクセス許可を持っているため、監視、アラート、対応のプロセスで優先順位を高くする必要があります。
名前付けポリシーに従っていないアカウント
名前付けポリシーに従っていないユーザー アカウントは、組織のポリシーから逸脱して作成された可能性があります。
ベスト プラクティスは、ユーザー オブジェクトに名前付けポリシーを設定することです。 名前付けポリシーを設定すると、管理が容易になって一貫性を保つことができます。 このポリシーは、承認されたプロセス以外でユーザーが作成されたときに検出できるようにします。 不正なアクターは名前付け基準を認識していない可能性があり、組織のプロセス以外でプロビジョニングされたアカウントを検出しやすくする可能性があります。
組織には、ユーザー アカウントや特権アカウントの作成に使用される特定の形式や属性を持つ傾向があります。 次に例を示します。
管理者アカウントの UPN = ADM_firstname.lastname@tenant.onmicrosoft.com
ユーザー アカウントの UPN = Firstname.Lastname@contoso.com
ユーザー アカウントには、実際のユーザーを識別する属性を持つ場合がよくあります。 たとえば、EMPID = XXXNNN。 組織にとって正常なものを定義するとき、ならびにアカウントが名前付け規則に従わないときにログ エントリのベースラインを定義するときは、次の提案事項を使用します。
名前付け規則に従っていないアカウント。 たとえば、
nnnnnnn@contoso.comとfirstname.lastname@contoso.com。標準の属性が設定されていない、あるいは正しい形式ではないアカウント。 たとえば、有効な従業員 ID がない場合。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 想定される属性が定義されていないユーザー アカウント。 | 低 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 |
標準の属性が null 値または誤った形式のアカウントを探します。 たとえば、EmployeeID Microsoft Sentinel テンプレート |
| 誤った名前付け形式で作成されたユーザー アカウント。 | 低 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 |
名前付けポリシーに従わない UPN を持ったアカウントを探します。 Microsoft Sentinel テンプレート |
| 名前付けポリシーに従わない特権アカウント。 | 高 | Azure サブスクリプション | Azure portal を使用して Azure 役割の割り当てのリスト - Azure RBAC | サインイン名が組織の形式と一致しないサブスクリプションとアラートの役割の割り当てをリストします。 たとえば、プレフィックスとしての「ADM_」。 |
| 名前付けポリシーに従わない特権アカウント。 | 高 | Microsoft Entra ディレクトリ | Microsoft Entra 役割の割り当てのリスト | UPN が組織の形式と一致しない Microsoft Entra 役割アラートの役割の割り当てをリストします。 たとえば、プレフィックスとしての「ADM_」。 |
解析の詳細については、次の内容を参照してください。
Microsoft Entra 監査ログ - Azure Monitor ログのテキスト データの解析
Azure サブスクリプション - Azure PowerShell を使用した Azure 役割の割り当てのリスト
Microsoft Entra ID - Microsoft Entra 役割の割り当てのリスト
正常のプロセス以外で作成されたアカウント
ユーザーと特権アカウントを作成する標準のプロセスを持つことは、ID のライフサイクルを安全に制御するうえで重要です。 確立されたプロセス以外でユーザーのプロビジョニングとプロビジョニング解除が行われた場合、セキュリティ リスクが発生する可能性があります。 また、確立されたプロセス以外での運用すると、ID 管理上の問題が発生する可能性もあります。 潜在的なリスクには次のものが考えられます。
ユーザー アカウントと特権アカウントは、組織方針に従うように管理されない場合があります。 正しく管理されていないアカウントに対する攻撃対象領域が広がる可能性があります。
不正なアクターが悪意のある目的としてアカウントを作成すると、検出することが難しくなります。 確立されたプロセス以外で有効なアカウントが作成されると、悪意のある目的でアカウントが作成されたり、アクセス許可が変更されたりしても、検出することが難しくなります。
ユーザー アカウントと特権アカウントは、必ず組織方針に従って作成することをお勧めします。 たとえば、正しい名前付け標準、組織の情報、適切な ID ガバナンスの範囲内でアカウントを作成する必要があります。 ID を作成、管理、削除する権限を持つユーザーについて、組織は厳格に管理する必要があります。 このようなアカウントを作成する役割は厳重に管理し、これらのアクセス許可を承認と取得する確立されたワークフローに従った後にのみ、その権限を使用できるようにする必要があります。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 承認されていないユーザーまたはプロセスによって作成または削除されたユーザー アカウント。 | 中 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 と - または アクティビティ: ユーザーの削除 状態 = 成功 - および - 開始者 (アクター) = ユーザー プリンシパル名 |
承認されていないユーザーまたはプロセスによって作成されたアカウントに対するアラート。 高い特権を使用して作成されたアカウントを優先します。 Microsoft Sentinel テンプレート |
| 承認されていないソースから作成または削除されたユーザー アカウント。 | 中 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの追加 状態 = 成功 - または - アクティビティ: ユーザーの削除 状態 = 成功 - および - ターゲット = ユーザー プリンシパル名 |
承認されていないドメインまたは既知のブロックされたドメインに対するアラート。 |
異常なログイン
ユーザー認証に失敗することは正常です。 ただし、失敗のパターンやブロックが見られる場合、ユーザーの ID に何かが起こっている兆候である可能性があります。 たとえば、パスワード スプレーやブルート フォース攻撃のとき、あるいはユーザー アカウントが侵害された場合。 パターンが出現したときに監視してアラートを出すことが重要です。 ユーザーと組織のデータを確実に保護できるようになります。
成功すると、すべてがうまくいっているように捉える傾向があります。 ただし、不正なアクターがサービスへのアクセスに成功したことを意味する可能性があります。 成功したログインを監視すると、アクセスして良いユーザーアカウントではないにも関わらず、アクセスされているユーザー アカウントを検知できるようになります。 成功したユーザー認証は、Microsoft Entra ログイン ログの正常なエントリです。 パターンが出現したときに検出するため、監視とアラートを出すことをお勧めします。 ユーザー アカウントと組織のデータを確実に保護することができます。
ログの監視とアラートの戦略を策定して運用するとき、Azure Portal で利用できるツールを検討してください。 Microsoft Entra ID 保護は、ID ベースのリスクの検出、保護、修復を自動化できるようにします。 ID 保護は、リスクの検出とユーザーとログインにリスク スコアを割り当てるため、インテリジェンス主導型機械学習とヒューリスティック システムを使用しています。お客様は、アクセスを許可または拒否するタイミングや、ユーザーがリスクから安全に自己修復できるようにするため、リスク レベルに基づいてポリシーを構成することができます。 次の ID 保護のリスク検出は、現在のリスク レベルを通知します。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 漏洩した資格情報のユーザー リスク検出 | 高 | Microsoft Entra のリスク検出ログ | UX: 漏洩した資格情報 API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| Microsoft Entra 脅威インテリジェンスのユーザー リスク検出 | 高 | Microsoft Entra のリスク検出ログ | UX: Microsoft Entra の脅威インテリジェンス API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 匿名 IP アドレスのログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 匿名 IP アドレス API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 通常とは異なる移動のログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 通常とは異なる移動 API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 異常なトークン | 異なる | Microsoft Entra のリスク検出ログ | UX: 異常なトークン API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| マルウェアにリンクした IP アドレスのログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: マルウェアにリンクした IP アドレス API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 疑わしいブラウザー サインインのリスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 疑わしいブラウザー API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 見慣れないサインイン プロパティのログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 見慣れないサインイン プロパティ API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 悪意のある IP アドレスのログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 悪意のある IP アドレス API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 受信トレイに対する疑わしい操作ルールのログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 受信トレイに対する疑わしい操作ルール API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| パスワード スプレーのログイン リスク検出 | 高 | Microsoft Entra のリスク検出ログ | UX: パスワード スプレー API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| あり得ない移動のログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: あり得ない移動 API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 新しい国/リージョンのログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 新しい国/リージョン API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 匿名 IP アドレスからのアクティビティのログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 匿名 IP アドレスからのアクティビティ API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| 受信トレイからの疑わしい転送のログイン リスク検出 | 異なる | Microsoft Entra のリスク検出ログ | UX: 受信トレイからの疑わしい転送 API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
| Microsoft Entra 脅威インテリジェンスのログイン リスク検出 | 高 | Microsoft Entra のリスク検出ログ | UX: Microsoft Entra の脅威インテリジェンス API: 「riskDetection リソースの種類 - Microsoft Graph」を参照してください |
「リスクとは? Microsoft Entra ID 保護」を参照してください。 Sigma ルール |
詳細については、「ID 保護とは」を参照してください。
注意点
Microsoft Entra ログイン ログ内のデータの監視を構成し、アラートが生成されて組織のセキュリティ ポリシーに準拠していることを確認します。 これに該当するいくつかの例は次のとおりです。
認証の失敗: 誰でもパスワードを間違えるときもあります。 ただし、認証に何度も失敗すると、不正なアクターがアクセスを取得しようとしていることを示す可能性があります。 攻撃の強さはさまざまですが、1 時間に数回の試行から、はるかに高い頻度のものまでの範囲に及びます。 たとえば、パスワード スプレーは通常に多数のアカウントに対して簡単なパスワードを狙う一方、ブルート フォースは対象アカウントに対して多数のパスワードが試行されます。
認証の割り込み: Microsoft Entra ID の割り込みは、認証を満たすプロセスが挿入されることを表します (条件付きアクセス ポリシーの制御を実施するときなど)。 これは正常なイベントであり、アプリケーションが正しく構成されていないときに発生する可能性があります。 ただし、あるユーザー アカウントに対して多数の割り込みが発生した場合、そのアカウントに何かが発生していることを示している可能性があります。
- たとえば、ログイン ログでユーザーをフィルター処理し、「ログイン状態 = 割り込み」と「条件付きアクセス = 失敗」が大量に確認されたとします。 さらに掘り下げると、認証の詳細でパスワードは正しいが、強力な認証が必要であることが示される場合があります。 ユーザーが多要素認証 (MFA) を完了していないことを意味しており、ユーザーのパスワードが漏洩し、不正なアクターが MFA を完了できないことを示している可能性があります。
スマート ロックアウト: Microsoft Entra ID は、認証プロセスになじみのある場所となじみのない場所の概念を導入するスマート ロックアウト サービスを提供しています。 なじみのある場所にアクセスするユーザー アカウントは認証に成功しますが、同じ場所になじみのない不正なアクターは数回の試行後にブロックされます。 ロックアウトされたアカウントを探し、さらに調査します。
IP の変更: 異なる IP アドレスからユーザーが確認されることは正常です。 ただし、ゼロ トラストは、決して信用せずに常に検証することを提唱しています。 大量の IP アドレスとログインの失敗が確認された場合、侵入の兆候である可能性があります。 複数の IP アドレスから発生する多数の認証失敗のパターンを探します。 仮想プライベート ネットワーク (VPN) 接続は偽陽性を引き起こす可能性があることに注意してください。 課題とは関係なく、IP アドレスの変更を監視することをお勧めします。可能であれば Microsoft Entra ID 保護を使用して、これらのリスクを自動的に検出して軽減することもお勧めします。
場所: 一般的に、ユーザー アカウントは地理的に同じ場所にあることを想定します。 従業員や取引関係を持つ場所からログインも想定されます。 ユーザー アカウントが海外の異なる場所から由来し、その地点までの移動に本来かかる時間よりも短時間で所在が検知された場合、そのユーザー アカウントが悪用されていることを示している可能性があります。 VPN は偽陽性を引き起こす可能性があることに注意してください。このため、地理的に離れた場所からログインするユーザー アカウントを監視することをお勧めします。可能であれば、Microsoft Entra ID 保護を使用してこれらのリスクを自動的に検出して軽減することをお勧めします。
このリスク領域については、標準のユーザー アカウントと特権アカウントを監視し、特権アカウントの調査を優先することをお勧めします。 特権アカウントは、すべての Microsoft Entra テナントでも最も重要なアカウントです。 特権アカウントに特化したガイダンスについては、「セキュリティ オペレーション - 特権アカウント]を参照してください。
検出する方法
Microsoft Entra ID 保護と Microsoft Entra のログイン ログを使用し、異常なログインの特徴によって示される脅威を検出に活用します。 詳細については、「Identity 保護とは」を参照してください。 監視とアラートの目的で、Azure Monitor または SIEM にデータをレプリケートすることもできます。 環境の正常性を定義してベースラインを設定するには、次のことを判断します。
ユーザー ベースで正常と見なされるパラメーター。
ユーザーがサービス デスクに電話するか、セルフサービス パスワード リセットを実行するまで、一定の期間でパスワードの平均試行回数。
アラートを出すまでに許容する失敗の試行回数、ならびにその回数がユーザー アカウントと特権アカウントの間で異なるのかどうか。
アラートを出すまでに許容する MFA の試行回数、ならびにその回数がユーザー アカウントと特権アカウントの間で異なるのかどうか。
レガシ認証が有効で、使用を中止するためのロードマップの内容。
既知のエグレス IP アドレスは組織のものです。
ユーザー操作する国/地域。
ネットワークの場所または国/リージョン内にとどまっているユーザーのグループがあるかどうか。
組織固有の異常なログインに関連するその他の指標を特定します。 たとえば、週や年内で組織が営業していない日や時間帯など。
環境のアカウントにとって正常な範囲を指定したら、次のリストを考慮して監視してアラートを出すシナリオを決定し、アラートを微調整します。
Microsoft Entra ID 保護が構成されている場合、監視とアラートを行う必要がありますか?
監視してアラートを出すために使用できる特権アカウントに適用されるより厳しい条件はありますか? たとえば、信頼できる IP アドレスからのみ特権アカウントを使用することを必須にすること。
設定したベースラインは過度に積極的ですか? アラート数が多すぎると、無視または見逃されたりする可能性があります。
ID 保護を構成してセキュリティ ベースライン ポリシーをサポートする保護が確実に実行されるようにします。 たとえば、リスクが「高」の場合にユーザーをブロックするなと。 このリスク レベルは、ユーザー アカウントが侵害されていることを高い確度で示します。 サインイン リスク ポリシーとユーザー リスク ポリシーの設定の詳細については、「ID 保護ポリシー」を参照してください。
次の内容では、エントリの影響と重大度に基づいて重要度の高い順にリストされています。
外部ユーザーのログインの監視
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 他の Microsoft Entra テナントに対して認証を行うユーザー。 | 低 | Microsoft Entra サインイン ログ | 状態 = 成功 リソースの tenantID != ホーム テナント ID |
ユーザーがご自身の組織のテナントに属する ID を使用して別の Microsoft Entra テナントで認証に成功したときに検出します。 リソース TenantID がホーム テナント ID と等しくない場合、アラートを出します Microsoft Sentinel テンプレート Sigma ルール |
| ユーザーの状態が [ゲスト] から [メンバー] に変更された | 中 | Microsoft Entra 監査ログ | アクティビティ: ユーザーの更新 カテゴリ: UserManagement UserType が [ゲスト] から [メンバー] に変更された |
ユーザータイプの [ゲスト] から [メンバー] への変更を監視し、アラートを生成します。 これは想定していましたか? Microsoft Sentinel テンプレート Sigma ルール |
| 承認されていない招待者によってテナントに招待されたゲスト ユーザー | 中 | Microsoft Entra 監査ログ | アクティビティ: 外部ユーザーの招待 カテゴリ: UserManagement 開始者 (アクター): ユーザー プリンシパル名 |
外部ユーザーを招待する承認されていないアクターを監視し、アラートを生成します。 Microsoft Sentinel テンプレート Sigma ルール |
失敗した異常なログインの監視
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 失敗したログインの試行。 | 中 - 孤立したインシデントの場合 高 - 多数のアカウントで同じパターンまたは VIP が発生している場合。 |
Microsoft Entra サインイン ログ | 状態 = 失敗 - および - ログイン エラー コード 50126 - 無効なユーザー名またはパスワードにより、認証情報の検証でエラーが発生しました。 |
ベースラインしきい値を定義したら、組織の行動に合わせて監視と調整し、誤ったアラートが生成されないように制限します。 Microsoft Sentinel テンプレート Sigma ルール |
| スマート ロックアウト イベント。 | 中 - 孤立したインシデントの場合 高 - 多数のアカウントで同じパターンまたは VIP が発生している場合。 |
Microsoft Entra サインイン ログ | 状態 = 失敗 - および - サインイン エラー コード = 50053 - IdsLocked |
ベースラインしきい値を定義したら、組織の行動に合わせて監視と調整し、誤ったアラートが生成されないように制限します。 Microsoft Sentinel テンプレート Sigma ルール |
| 割り込み | 中 - 孤立したインシデントの場合 高 - 多数のアカウントで同じパターンまたは VIP が発生している場合。 |
Microsoft Entra サインイン ログ | 500121、強力な認証の要求時に、認証に失敗しました。 - または - 50097、デバイス認証が必要です、または 50074、強力な認証が必要です。 - または - 50155、DeviceAuthenticationFailed - または - 50158、ExternalSecurityChallenge - 外部セキュリティ チャレンジが満たされませんでした - または - 53003 と失敗の理由 = 条件付きアクセスでブロック済 |
割り込みを監視してアラートを出します。 ベースラインしきい値を定義したら、組織の行動に合わせて監視と調整し、誤ったアラートが生成されないように制限します。 Microsoft Sentinel テンプレート Sigma ルール |
次の内容では、エントリの影響と重大度に基づいて重要度の高い順にリストされています。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 多要素認証 (MFA) の詐欺アラート。 | 高 | Microsoft Entra サインイン ログ | 状態 = 失敗 - および - 詳細 = MFA 拒否 |
すべてのエントリを監視してアラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
| 操作していない国/地域からの認証に失敗しました。 | 中 | Microsoft Entra サインイン ログ | 場所 = <未承認の場所> | すべてのエントリを監視してアラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
| レガシ プロトコルまたは使用されていないプロトコルの失敗した認証。 | 中 | Microsoft Entra サインイン ログ | 状態 = 失敗 - および - クライアント アプリ = その他のクライアント、POP、IMAP、MAPI、SMTP、ActiveSync |
すべてのエントリを監視してアラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
| 条件付きアクセスでブロックされた失敗。 | 中 | Microsoft Entra サインイン ログ | エラー コード = 53003 - および - 失敗の理由 = 条件付きアクセスによってブロック |
すべてのエントリを監視してアラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
| すべての種類の認証失敗の増加。 | 中 | Microsoft Entra サインイン ログ | 全体的な失敗の増加をキャプチャします。 つまり、本日の失敗合計が、前週の同じ曜日と比べて >10% です。 | しきい値を設定していない場合、失敗が 10% 以上増えた場合は監視してアラートを出してください。 Microsoft Sentinel テンプレート |
| 国/リージョンで通常の業務を行っていない週の時間帯と曜日に発生する認証。 | 低 | Microsoft Entra サインイン ログ | 通常の営業日/時間帯以外に発生する対話型認証をキャプチャします。 状態 = 成功 - および - 場所 = <場所> - および - Day\Time = <通常の作業時間ではありません> |
すべてのエントリを監視してアラートを出します。 Microsoft Sentinel テンプレート |
| アカウントのログインが無効またはブロックされました | 低 | Microsoft Entra サインイン ログ | 状態 = 失敗 - および - エラー コード = 50057、ユーザー アカウントは無効になっています。 |
誰かが組織から退職した後にアカウントにアクセスしようとしていることを示している可能性があります。 このアカウントはブロックされていますが、このアクティビティについて記録してアラートを出すことが重要です。 Microsoft Sentinel テンプレート Sigma ルール |
成功した異常なログインの監視
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 想定外の制御における特権アカウントの認証。 | 高 | Microsoft Entra サインイン ログ | 状態 = 成功 - および - UserPricipalName = <管理者アカウント> - および - 場所 = <未承認の場所> - および - IP アドレス = <未承認の IP> デバイス情報= <承認されていないブラウザ、オペレーティング システム> |
想定される制御範囲外で特権アカウントの認証が成功したときに監視してアラートを出します。 3 つの一般的な制御手段が記載されています。 Microsoft Sentinel テンプレート Sigma ルール |
| 単一要素認証のみが必要なとき。 | 低 | Microsoft Entra サインイン ログ | 状態 = 成功 認証要件 = 単一要素認証 |
定期的に監視し、想定内の動作であることを確認します。 Sigma ルール |
| MFA に登録されていない特権アカウントを検出します。 | 高 | Azure Graph API | 管理者アカウントの IsMFARegistered eq false のクエリ。 credentialUserRegistrationDetails のリスト - Microsoft Graph ベータ版 |
監査と調査を行い、意図的または見落によるものなのかについて判断します。 |
| 組織が事業を行っていない国/リージョンから成功した認証。 | 中 | Microsoft Entra サインイン ログ | 状態 = 成功 場所 = <未承認の国/リージョン> |
指定された市区町村名と等しくないエントリを監視してアラートを出します。 Sigma ルール |
| 認証の成功、条件付きアクセスによってブロックされたセッション。 | 中 | Microsoft Entra サインイン ログ | 状態 = 成功 - および - エラー コード = 53003 - 失敗の理由、条件付きアクセスによるブロック |
認証に成功したときに監視と調査しますが、条件付きアクセスによってセッションがブロックさます。 Microsoft Sentinel テンプレート Sigma ルール |
| レガシ認証を無効にした後の認証の成功。 | 中 | Microsoft Entra サインイン ログ | 状態 = 成功 - および - クライアント アプリ = その他のクライアント、POP、IMAP、MAPI、SMTP、ActiveSync |
組織がレガシ認証を無効にした場合、レガシ認証が成功したときを監視してアラートを出します。 Microsoft Sentinel テンプレート Sigma ルール |
単一要素認証のみが必要な中程度の事業影響 (MBI) と高程度の事業影響 (HBI) の用途に対し、定期的に認証を確認することをお勧めします。 それぞれについては、単一要素認証が想定されていたかどうかを判断する必要があります。 さらに、認証の成功の増加、あるいは場所に基づく予期しない時刻の認証の成功を確認します。
| [What to monitor] (監視対象) | リスク レベル | このとき | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 単一要素認証を使用した MBI と HBI アプリケーションの認証。 | 低 | Microsoft Entra サインイン ログ | 状態 = 成功 - および - アプリケーション ID = <HBI アプリ> - および - 認証要件 = 単一要素認証 |
この構成が意図的なものであることを確認して検証します。 Sigma ルール |
| 週や年内で国/リージョンが通常の業務を行なっていない日や時間帯の認証。 | 低 | Microsoft Entra サインイン ログ | 通常の営業日/時間帯以外に発生する対話型認証をキャプチャします。 状態 = 成功 場所 = <場所> 日付\時間 = <通常の営業時間ではありません> |
週や年内で国/リージョンが通常の業務を行なっていない日や時間帯の認証を監視してアラートを出します。 Sigma ルール |
| 成功したログインの測定可能な増加 | 低 | Microsoft Entra サインイン ログ | 全体的な認証の成功の増加をキャプチャします。 つまり、本日の成功合計が、前週の同じ曜日と比べて >10% です。 | しきい値を設定していない場合、認証の成功が 10% 以上増えた場合は監視してアラートを出してください。 Microsoft Sentinel テンプレート Sigma ルール |
次のステップ
これらのセキュリティ オペレーション ガイドの記事を参照してください。
Microsoft Entra のセキュリティ オペレーションの概要