Privileged Identity Management のための Microsoft Entra セキュリティ運用
ビジネス資産のセキュリティは、IT システムを管理する特権アカウントの整合性に依存します。 サイバー攻撃者は、資格情報の盗難攻撃を使用して、管理者アカウントやその他の特権アクセス アカウントをターゲットにし、機密データへのアクセスを試みます。
クラウド サービスの場合、防止と対応は、クラウド サービス プロバイダーと顧客の共同責任です。
従来、組織のセキュリティは、セキュリティ境界としてネットワークの入口と出口のポイントに重点を置いていました。 しかし、SaaS アプリと個人用デバイスでは、この方法があまり効果的ではありません。 Microsoft Entra ID では、組織の ID レイヤーでネットワーク セキュリティ境界を認証に置き換えます。 ユーザーが特権管理者ロールに割り当てられている場合、そのユーザーのアクセスはオンプレミス、クラウド、およびハイブリッド環境で保護されている必要があります。
お客様は、オンプレミスの IT 環境におけるすべての層のセキュリティに全責任を負います。 Azure クラウド サービスを使用する場合、防止と対応は、Microsoft (クラウド サービス プロバイダー) とお客様 (あなた) の共同責任となります。
共有責任モデルの詳細については、「クラウドにおける共有責任」を参照してください。
特権を持つユーザーのアクセスをセキュリティで保護する方法の詳細については、「Microsoft Entra ID でのハイブリッドおよびクラウド デプロイのための特権アクセスのセキュリティ保護」を参照してください。
特権 ID の主要概念に関するさまざまな動画、ハウツーガイド、およびコンテンツについては、Privileged Identity Management のドキュメントを参照してください。
Privileged Identity Management (PIM) は Microsoft Entra のサービスで、これにより、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視できるようになります。 これらのリソースには、Microsoft Entra ID、Azure、および Microsoft 365 や Microsoft Intune などのその他の Microsoft Online Services 内のリソースが含まれます。 PIM を使用すると、次のリスクを軽減できます。
セキュリティで保護された情報やリソースへのアクセス権を持つユーザーの数を特定し、最小限に抑えます。
機密リソースに対するアクセス許可の過剰、不要、または誤用を検出します。
悪意のあるアクターがセキュリティで保護された情報やリソースにアクセスする危険性を低減します。
未承認のユーザーが誤って機密性の高いリソースに影響を与える危険性を低減します。
この記事では、ベースラインの設定、サインインの監査、特権アカウントの使用に関するガイダンスを提供します。 ソースの監査ログ ソースを使用して、特権アカウントの整合性を維持します。
確認先
調査と監視に使用するログ ファイルは次のとおりです。
Azure portal で、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりします。 Azure portal には、監視とアラートを自動化するために、Microsoft Entra ログを他のツールと統合するいくつかの方法があります:
Microsoft Sentinel – セキュリティ情報イベント管理 (SIEM) 機能を備え、エンタープライズ レベルでインテリジェントにセキュリティを分析します。
Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 その代わり、リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。
Azure Monitor - さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。
SIEM と統合した Azure Event Hubs- Microsoft Event Hubs ログは他の SIEM と統合できます (Azure Event Hubs 統合経由で Splunk、ArcSight、QRadar、Sumo Logic などと)。
Microsoft Defender for Cloud Apps – アプリの検出と管理、アプリとリソース全体のガバナンス、クラウド アプリのコンプライアンスの確認を行うことができます。
Microsoft Entra ID 保護 でワークロード ID をセキュリティで保護 - ログイン動作間とオフラインの侵害インジケーターにおけるワークロード ID のリスクを検出するために使用されます。
この記事の残りの部分には、階層モデルを使用して監視とアラートを出すベースラインを設定するための推奨事項が記載されています。 事前構築済みソリューションへのリンクは、表の後にあります。 前述のツールを使用してアラートを作成できます。 内容は、次の区分で構成されています。
[基準]
Microsoft Entra のロール割り当て
Microsoft Entra のロールアラート設定
Azure リソース ロールの割り当て
Azure リソースのアクセス管理
Azure サブスクリプションを管理するために昇格したアクセス権
[基準]
推奨されるベースライン設定は、次のとおりです。
| [What to monitor] (監視対象) | リスク レベル | 推奨 | ロール | メモ |
|---|---|---|---|---|
| Microsoft Entra のロール割り当て | 高 | アクティベーションの理由が必須です。 アクティブ化の承認が必須です。 2 レベル承認者プロセスを設定します。 アクティブ化時に、Microsoft Entra 多要素認証を要求します。 最大昇格期間を 8 時間に設定します。 | セキュリティ管理者、特権ロール管理者、グローバル管理者 | 特権ロール管理者は、適格なロール割り当てをアクティブ化しているユーザーの操作性を変更するなど、Microsoft Entra 組織の PIM をカスタマイズできます。 |
| Azure リソース ロールの構成 | 高 | アクティベーションの理由が必須です。 アクティブ化の承認が必須です。 2 レベル承認者プロセスを設定します。 アクティブ化時に、Microsoft Entra 多要素認証を要求します。 最大昇格期間を 8 時間に設定します。 | 所有者、ユーザー アクセス管理者 | 計画された変更でない場合は、すぐに調査します。 この設定により、攻撃者がユーザーの環境内の Azure サブスクリプションにアクセスできる可能性があります。 |
Privileged Identity Management アラート
Microsoft Entra の組織内で疑わしいアクティビティや危険なアクティビティが行われると、Privileged Identity Management (PIM) によりアラートが生成されます。 アラートが生成されると、Privileged Identity Management ダッシュボードに表示されます。 電子メール通知を構成したり、GraphAPI 経由で SIEM に送信したりすることもできます。 これらのアラートは特に管理ロールに重点を置いているため、アラートを注意深く監視する必要があります。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルター/サブフィルター UX | メモ |
|---|---|---|---|---|
| ロールが Privileged Identity Management の外部に割り当てられている | 高 | Privileged Identity Management、アラート | ロールが Privileged Identity Management の外部に割り当てられている | セキュリティ アラートを構成する方法 Sigma ルール |
| 特権ロールにある古い可能性のあるアカウント | 中 | Privileged Identity Management、アラート | 特権ロールにある古い可能性のあるアカウント | セキュリティ アラートを構成する方法 Sigma ルール |
| 管理者が特権ロールを使用してません | 低 | Privileged Identity Management、アラート | 管理者が特権ロールを使用してません | セキュリティ アラートを構成する方法 Sigma ルール |
| ロールのアクティブ化に多要素認証は必要ありません | 低 | Privileged Identity Management、アラート | ロールのアクティブ化に多要素認証は必要ありません | セキュリティ アラートを構成する方法 Sigma ルール |
| 組織に Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがない | 低 | Privileged Identity Management、アラート | 組織に Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがない | セキュリティ アラートを構成する方法 Sigma ルール |
| グローバル管理者が多すぎます | 低 | Privileged Identity Management、アラート | グローバル管理者が多すぎます | セキュリティ アラートを構成する方法 Sigma ルール |
| ロールをアクティブ化する頻度が高すぎます | 低 | Privileged Identity Management、アラート | ロールをアクティブ化する頻度が高すぎます | セキュリティ アラートを構成する方法 Sigma ルール |
Microsoft Entra のロール割り当て
特権ロール管理者は、適格なロール割り当てをアクティブ化しているユーザーの操作性を変更するなど、Microsoft Entra 組織の PIM をカスタマイズできます:
不正なアクターによって Microsoft Entra の多要素認証要件を削除して、特権アクセスをアクティブ化します。
悪意のあるユーザーが、特権アクセスをアクティブ化する理由と承認を回避するのを防ぎます。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 特権アカウントのアクセス許可に対する変更についてアラートを出し、その変更を追加します | 高 | Microsoft Entra 監査ログ | カテゴリ = ロール管理 および アクティビティの種類 – 対象メンバーの追加 (永続的) および アクティビティの種類 – 対象メンバーの追加 (対象) および 状態 = 成功/失敗 および 変更されたプロパティ = Role.DisplayName |
特権ロール管理者とグローバル管理者に対する変更を監視し、常に警告します。 これは、攻撃者がロールの割り当て設定を変更する特権を取得しようとしていることを示している可能性があります。 しきい値を定義していない場合は、ユーザーの場合については 60 分で 4 回、特権アカウントについては 60 分で 2 回でアラートを送信します。 Sigma ルール |
| 特権アカウントのアクセス許可に対する一括削除の変更についてアラートを出します | 高 | Microsoft Entra 監査ログ | カテゴリ = ロール管理 および アクティビティの種類 – 対象メンバーの削除 (永続的) および アクティビティの種類 – 対象メンバーの削除 (対象) および 状態 = 成功/失敗 および 変更されたプロパティ = Role.DisplayName |
計画された変更でない場合は、すぐに調査します。 この設定により、攻撃者がユーザーの環境内の Azure サブスクリプションにアクセスできる可能性があります。 Microsoft Sentinel テンプレート Sigma ルール |
| PIM 設定の変更 | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = PIM のロール設定の更新 および ステータスの理由 = アクティブ化の MFA が無効になっている (例) |
特権ロール管理者とグローバル管理者に対する変更を監視し、常に警告します。 これは、攻撃者がロールの割り当て設定を変更するアクセス権を取得したことを示している可能性があります これらのアクションの 1 つにより PIM 昇格のセキュリティが低下し、攻撃者が特権アカウントを取得しやすくなります。 Microsoft Sentinel テンプレート Sigma ルール |
| 昇格の承認と拒否 | 高 | Microsoft Entra 監査ログ | サービス = アクセス レビュー および カテゴリ = ユーザー管理 および アクティビティの種類 = 要求が承認/拒否された および 開始したアクター = UPN |
すべての昇格を監視する必要があります。 攻撃のタイムラインを明示するために、すべての昇格をログに記録してください。 Microsoft Sentinel テンプレート Sigma ルール |
| アラート設定が無効に変更されました。 | 高 | Microsoft Entra 監査ログ | サービス = PIM および カテゴリ = ロール管理 および アクティビティの種類 = PIM アラートを無効にする および 状態 = 成功/失敗 |
常にアラート。 不正なアクターが、特権アクセスをアクティブ化しようとして Microsoft Entra の多要素認証要件に関連付けられているアラートを削除するのを検出できます。 疑わしいアクティビティまたは安全でないアクティビティの検出に役立ちます。 Microsoft Sentinel テンプレート Sigma ルール |
Microsoft Entra 監査ログでロール設定の変更を識別する方法の詳細については、「Privileged Identity Management で Microsoft Entra ロールの監査履歴を表示する」を参照してください。
Azure リソース ロールの割り当て
Azure リソース ロールの割り当てを監視すると、リソースロールのアクティビティやアクティブ化を可視化できます。 これらの割り当ては、リソースに対する攻撃面を作成するために悪用される可能性があります。 この種類のアクティビティを監視すると、次のアクティビティを検出できます。
特定のリソースでのクエリ ロールの割り当て
すべての子リソースに対するロールの割り当て
アクティブなロールと資格のあるロールの割り当ての変更
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 特権アカウント アクティビティのアラート リソース監査ログの監査 | 高 | PIM の [Azure リソース] にある [リソースの監査] | アクション: PIM での資格のあるメンバーのロールへの追加が完了しました (期限付き) および プライマリ ターゲット および 種類: ユーザー および 状態: 成功 |
常にアラート。 不正なアクターが、Azure のすべてのリソースを管理する資格のあるロールを追加しようとするのを検出できます。 |
| アラートの無効化に関する監査アラート リソース監査 | Medium | PIM の [Azure リソース] にある [リソースの監査] | アクション: アラートの無効化 および プライマリ ターゲット: 1 つのリソースに過剰に割り当てられた所有者 および 状態: 成功 |
不正なアクターが、[アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスしようとするのを検出できます |
| アラートの無効化に関する監査アラート リソース監査 | Medium | PIM の [Azure リソース] にある [リソースの監査] | アクション: アラートの無効化 および プライマリ ターゲット: 1 つのリソースに過剰に割り当てられた永続的な所有者 および 状態: 成功 |
不正なアクターが、[アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスしようとするのを防ぎます |
| アラートの無効化に関する監査アラート リソース監査 | Medium | PIM の [Azure リソース] にある [リソースの監査] | アクション: アラートの無効化 および プライマリ ターゲット: 重複して作成されたロール および 状態: 成功 |
不正なアクターが、[アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスしようとするのを防ぎます |
アラートの構成と、Azure リソース ロールの監査の詳細については、次を参照してください。
Privileged Identity Management で Azure リソース ロールに対するセキュリティ アラートを構成する
Privileged Identity Management (PIM) で Azure リソース ロールの監査レポートを表示する
Azure リソースとサブスクリプションに対するアクセス管理
所有者またはユーザー アクセス管理者サブスクリプション ロールに割り当てられたユーザーまたはグループ メンバー、および Microsoft Entra ID でサブスクリプション管理を有効した Microsoft Entra 全体管理者には、リソース管理者のアクセス許可が既定で与えられます。 この管理者は、ロールを割り当て、ロール設定を構成し、Azure リソース用 Privileged Identity Management (PIM) を使用してアクセスを確認します。
リソース管理者のアクセス許可を持つユーザーは、リソースの PIM を管理できます。 この発生するリスクを監視および軽減する: この機能を使用して、仮想マシン (VM) やストレージ アカウントなどの Azure サブスクリプション リソースに対する特権アクセスが、不正なアクターに許可される可能性があります。
| [What to monitor] (監視対象) | リスク レベル | Where | フィルターまたはサブフィルター | メモ |
|---|---|---|---|---|
| 標高 | 高 | Microsoft Entra ID、管理下、プロパティ | 設定を定期的に確認します。 Azure リソースのアクセス管理 |
グローバル管理者は、Azure リソースのアクセス管理を有効にすることで昇格が可能です。 Active Directory に関連付けられているすべての Azure サブスクリプションと管理グループにロールを割り当てるアクセス許可が不正なアクターに付与されていないか確認します。 |
詳細については、「Privileged Identity Management で Azure リソース ロールを割り当てる」を参照してください