Privileged Identity Management のための Microsoft Entra セキュリティ運用

[アーティクル]
10/25/2023

ビジネス資産のセキュリティは、IT システムを管理する特権アカウントの整合性に依存します。サイバー攻撃者は、資格情報の盗難攻撃を使用して、管理者アカウントやその他の特権アクセスアカウントをターゲットにし、機密データへのアクセスを試みます。

クラウドサービスの場合、防止と対応は、クラウドサービスプロバイダーと顧客の共同責任です。

従来、組織のセキュリティは、セキュリティ境界としてネットワークの入口と出口のポイントに重点を置いていました。しかし、SaaS アプリと個人用デバイスでは、この方法があまり効果的ではありません。 Microsoft Entra ID では、組織の ID レイヤーでネットワークセキュリティ境界を認証に置き換えます。ユーザーが特権管理者ロールに割り当てられている場合、そのユーザーのアクセスはオンプレミス、クラウド、およびハイブリッド環境で保護されている必要があります。

お客様は、オンプレミスの IT 環境におけるすべての層のセキュリティに全責任を負います。 Azure クラウドサービスを使用する場合、防止と対応は、Microsoft (クラウドサービスプロバイダー) とお客様 (あなた) の共同責任となります。

共有責任モデルの詳細については、「クラウドにおける共有責任」を参照してください。
特権を持つユーザーのアクセスをセキュリティで保護する方法の詳細については、「Microsoft Entra ID でのハイブリッドおよびクラウドデプロイのための特権アクセスのセキュリティ保護」を参照してください。
特権 ID の主要概念に関するさまざまな動画、ハウツーガイド、およびコンテンツについては、Privileged Identity Management のドキュメントを参照してください。

Privileged Identity Management (PIM) は Microsoft Entra のサービスで、これにより、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視できるようになります。これらのリソースには、Microsoft Entra ID、Azure、および Microsoft 365 や Microsoft Intune などのその他の Microsoft Online Services 内のリソースが含まれます。 PIM を使用すると、次のリスクを軽減できます。

セキュリティで保護された情報やリソースへのアクセス権を持つユーザーの数を特定し、最小限に抑えます。
機密リソースに対するアクセス許可の過剰、不要、または誤用を検出します。
悪意のあるアクターがセキュリティで保護された情報やリソースにアクセスする危険性を低減します。
未承認のユーザーが誤って機密性の高いリソースに影響を与える危険性を低減します。

この記事では、ベースラインの設定、サインインの監査、特権アカウントの使用に関するガイダンスを提供します。ソースの監査ログソースを使用して、特権アカウントの整合性を維持します。

確認先

調査と監視に使用するログファイルは次のとおりです。

Azure portal で、Microsoft Entra 監査ログを表示したり、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてダウンロードしたりします。 Azure portal には、監視とアラートを自動化するために、Microsoft Entra ログを他のツールと統合するいくつかの方法があります:

Microsoft Sentinel – セキュリティ情報イベント管理 (SIEM) 機能を備え、エンタープライズレベルでインテリジェントにセキュリティを分析します。
Sigma ルール - Sigma は、自動化された管理ツールがログファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。その代わり、リポジトリとテンプレートは、世界中の IT セキュリティコミュニティによって作成および収集されます。
Azure Monitor - さまざまな条件に基づいて監視とアラートを自動化します。ブックを作成または使用して、異なるソースのデータを結合できます。
Azure Event Hubs は SIEM- Microsoft Event Hubs ログと統合され、Azure Event Hubs 統合を介して、Splunk、ArcSight、QRadar、Sumo Logic などの他の SIEM と統合できます。
Microsoft Defender for Cloud Apps – アプリを検出し、アプリを管理し、すべてのアプリとリソースを制御し、クラウドアプリのコンプライアンス状況を確認できます。
Identity Protection プレビューを使用してワークロード ID をセキュリティで保護する - サインイン動作とオフラインでの侵害の兆候からワークロード ID のリスクを検出するために使用されます。

この記事の残りの部分には、階層モデルを使用して、監視およびアラートのベースラインを設定する際の推奨事項が記載されています。事前構築済みソリューションへのリンクは、表の後にあります。前述のツールを使用してアラートを作成できます。内容は、次の区分で構成されています。

［基準］
Microsoft Entra のロール割り当て
Microsoft Entra のロールアラート設定
Azure リソースロールの割り当て
Azure リソースのアクセス管理
Azure サブスクリプションを管理するために昇格したアクセス権

［基準］

推奨されるベースライン設定は、次のとおりです。

[What to monitor] (監視対象)	リスクレベル	推奨	ロール	メモ
Microsoft Entra のロール割り当て	高	アクティベーションの理由が必須です。アクティブ化の承認が必須です。 2 レベル承認者プロセスを設定します。アクティブ化時に、Microsoft Entra 多要素認証を要求します。最大昇格期間を 8 時間に設定します。	特権ロール管理、グローバル管理者	特権ロール管理者は、適格なロール割り当てをアクティブ化しているユーザーの操作性を変更するなど、Microsoft Entra 組織の PIM をカスタマイズできます。
Azure リソースロールの構成	高	アクティベーションの理由が必須です。アクティブ化の承認が必須です。 2 レベル承認者プロセスを設定します。アクティブ化時に、Microsoft Entra 多要素認証を要求します。最大昇格期間を 8 時間に設定します。	所有者、リソース管理者、ユーザーアクセス管理者、グローバル管理者、セキュリティ管理者	計画された変更でない場合は、すぐに調査します。この設定により、攻撃者がユーザーの環境内の Azure サブスクリプションにアクセスできる可能性があります。

Privileged Identity Management アラート

Microsoft Entra の組織内で疑わしいアクティビティや危険なアクティビティが行われると、Privileged Identity Management (PIM) によりアラートが生成されます。アラートが生成されると、Privileged Identity Management ダッシュボードに表示されます。電子メール通知を構成したり、GraphAPI 経由で SIEM に送信したりすることもできます。これらのアラートは特に管理ロールに重点を置いているため、アラートを注意深く監視する必要があります。

[What to monitor] (監視対象)	リスクレベル	Where	フィルター/サブフィルター UX	メモ
ロールが Privileged Identity Management の外部に割り当てられている	高	Privileged Identity Management、アラート	ロールが Privileged Identity Management の外部に割り当てられている	セキュリティアラートを構成する方法 Sigma ルール
特権ロールにある古い可能性のあるアカウント	中	Privileged Identity Management、アラート	特権ロールにある古い可能性のあるアカウント	セキュリティアラートを構成する方法 Sigma ルール
管理者が特権ロールを使用してません	低	Privileged Identity Management、アラート	管理者が特権ロールを使用してません	セキュリティアラートを構成する方法 Sigma ルール
ロールのアクティブ化に多要素認証は必要ありません	低	Privileged Identity Management、アラート	ロールのアクティブ化に多要素認証は必要ありません	セキュリティアラートを構成する方法 Sigma ルール
組織に Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがない	低	Privileged Identity Management、アラート	組織に Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがない	セキュリティアラートを構成する方法 Sigma ルール
グローバル管理者が多すぎます	低	Privileged Identity Management、アラート	グローバル管理者が多すぎます	セキュリティアラートを構成する方法 Sigma ルール
ロールをアクティブ化する頻度が高すぎます	低	Privileged Identity Management、アラート	ロールをアクティブ化する頻度が高すぎます	セキュリティアラートを構成する方法 Sigma ルール

Microsoft Entra のロール割り当て

特権ロール管理者は、適格なロール割り当てをアクティブ化しているユーザーの操作性を変更するなど、Microsoft Entra 組織の PIM をカスタマイズできます:

不正なアクターによって Microsoft Entra の多要素認証要件を削除して、特権アクセスをアクティブ化します。
悪意のあるユーザーが、特権アクセスをアクティブ化する理由と承認を回避するのを防ぎます。

[What to monitor] (監視対象)	リスクレベル	Where	フィルターまたはサブフィルター	メモ
特権アカウントのアクセス許可に対する変更についてアラートを出し、その変更を追加します	高	Microsoft Entra 監査ログ	カテゴリ = ロール管理およびアクティビティの種類 – 対象メンバーの追加 (永続的) およびアクティビティの種類 – 対象メンバーの追加 (対象) および状態 = 成功/失敗および変更されたプロパティ = Role.DisplayName	特権ロール管理者とグローバル管理者に対する変更を監視し、常に警告します。これは、攻撃者がロールの割り当て設定を変更する特権を取得しようとしていることを示している可能性があります。しきい値を定義していない場合は、ユーザーの場合については 60 分で 4 回、特権アカウントについては 60 分で 2 回でアラートを送信します。 Sigma ルール
特権アカウントのアクセス許可に対する一括削除の変更についてアラートを出します	高	Microsoft Entra 監査ログ	カテゴリ = ロール管理およびアクティビティの種類 – 対象メンバーの削除 (永続的) およびアクティビティの種類 – 対象メンバーの削除 (対象) および状態 = 成功/失敗および変更されたプロパティ = Role.DisplayName	計画された変更でない場合は、すぐに調査します。この設定により、攻撃者がユーザーの環境内の Azure サブスクリプションにアクセスできる可能性があります。 Microsoft Sentinel テンプレート Sigma ルール
PIM 設定の変更	高	Microsoft Entra 監査ログ	サービス = PIM およびカテゴリ = ロール管理およびアクティビティの種類 = PIM のロール設定の更新およびステータスの理由 = アクティブ化の MFA が無効になっている (例)	特権ロール管理者とグローバル管理者に対する変更を監視し、常に警告します。これは、攻撃者がロールの割り当て設定を変更するアクセス権を取得したことを示している可能性がありますこれらのアクションの 1 つにより PIM 昇格のセキュリティが低下し、攻撃者が特権アカウントを取得しやすくなります。 Microsoft Sentinel テンプレート Sigma ルール
昇格の承認と拒否	高	Microsoft Entra 監査ログ	サービス = アクセスレビューおよびカテゴリ = ユーザー管理およびアクティビティの種類 = 要求が承認/拒否されたおよび開始したアクター = UPN	すべての昇格を監視する必要があります。攻撃のタイムラインを明示するために、すべての昇格をログに記録してください。 Microsoft Sentinel テンプレート Sigma ルール
アラート設定が無効に変更されました。	高	Microsoft Entra 監査ログ	サービス = PIM およびカテゴリ = ロール管理およびアクティビティの種類 = PIM アラートを無効にするおよび状態 = 成功/失敗	常にアラート。不正なアクターが、特権アクセスをアクティブ化しようとして Microsoft Entra の多要素認証要件に関連付けられているアラートを削除するのを検出できます。疑わしいアクティビティまたは安全でないアクティビティの検出に役立ちます。 Microsoft Sentinel テンプレート Sigma ルール

Microsoft Entra 監査ログでロール設定の変更を識別する方法の詳細については、「Privileged Identity Management で Microsoft Entra ロールの監査履歴を表示する」を参照してください。

Azure リソースロールの割り当て

Azure リソースロールの割り当てを監視すると、リソースロールのアクティビティやアクティブ化を可視化できます。これらの割り当ては、リソースに対する攻撃面を作成するために悪用される可能性があります。この種類のアクティビティを監視すると、次のアクティビティを検出できます。

特定のリソースでのクエリロールの割り当て
すべての子リソースに対するロールの割り当て
アクティブなロールと資格のあるロールの割り当ての変更

[What to monitor] (監視対象)	リスクレベル	Where	フィルターまたはサブフィルター	メモ
特権アカウントアクティビティのアラートリソース監査ログの監査	高	PIM の [Azure リソース] にある [リソースの監査]	アクション: PIM での資格のあるメンバーのロールへの追加が完了しました (期限付き) およびプライマリターゲットおよび種類: ユーザーおよび状態: 成功	常にアラート。不正なアクターが、Azure のすべてのリソースを管理する資格のあるロールを追加しようとするのを検出できます。
アラートの無効化に関する監査アラートリソース監査	Medium	PIM の [Azure リソース] にある [リソースの監査]	アクション: アラートの無効化およびプライマリターゲット: 1 つのリソースに過剰に割り当てられた所有者および状態: 成功	不正なアクターが、[アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスしようとするのを検出できます
アラートの無効化に関する監査アラートリソース監査	Medium	PIM の [Azure リソース] にある [リソースの監査]	アクション: アラートの無効化およびプライマリターゲット: 1 つのリソースに過剰に割り当てられた永続的な所有者および状態: 成功	不正なアクターが、[アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスしようとするのを防ぎます
アラートの無効化に関する監査アラートリソース監査	Medium	PIM の [Azure リソース] にある [リソースの監査]	アクション: アラートの無効化およびプライマリターゲット: 重複して作成されたロールおよび状態: 成功	不正なアクターが、[アラート] ウィンドウでアラートを無効にし、悪意のあるアクティビティの調査をバイパスしようとするのを防ぎます

アラートの構成と、Azure リソースロールの監査の詳細については、次を参照してください。

Azure リソースとサブスクリプションに対するアクセス管理

所有者またはユーザーアクセス管理者サブスクリプションロールに割り当てられたユーザーまたはグループメンバー、および Microsoft Entra ID でサブスクリプション管理を有効した Microsoft Entra 全体管理者には、リソース管理者のアクセス許可が既定で与えられます。この管理者は、ロールを割り当て、ロール設定を構成し、Azure リソース用 Privileged Identity Management (PIM) を使用してアクセスを確認します。

リソース管理者のアクセス許可を持つユーザーは、リソースの PIM を管理できます。この発生するリスクを監視および軽減する: この機能を使用して、仮想マシン (VM) やストレージアカウントなどの Azure サブスクリプションリソースに対する特権アクセスが、不正なアクターに許可される可能性があります。

[What to monitor] (監視対象)	リスクレベル	Where	フィルターまたはサブフィルター	メモ
標高	高	Microsoft Entra ID、管理下、プロパティ	設定を定期的に確認します。 Azure リソースのアクセス管理	グローバル管理者は、Azure リソースのアクセス管理を有効にすることで昇格が可能です。 Active Directory に関連付けられているすべての Azure サブスクリプションと管理グループにロールを割り当てるアクセス許可が不正なアクターに付与されていないか確認します。