Help us understand the problem. What is going on with this article?

Azure Sentinel に Azure AD と Identity Protection のログを取り込んで可視化してみる

はじめに

Azure Sentinel は 2019 年 9 月にリリースされた新しい Azure のサービスで、クラウトネイティブの SIEM (Security Information and Event Management ) ソリューションです。

セキュリティ に関するログは、ファイアウォールや WAF やコンピューター単位など、様々なサービス、機器単位で出力されています。

それらのログを製品カットで監視、運用していくのは非常にコストのかかる作業なので、ログを集約、可視化して一括管理しましょう、というのが Azure Sentinel の主な役割の一つです。

また、SIEM の物理製品は高価で、既存のシステムに NW 的に組み込むのも大変、というイメージをお持ちの方もいるかと思いますが、Azure Sentinel はログを収集する Log Analytics ワークスペース に取り込まれたデータ量で課金される従量課金制なので、スモール スタートできるという意味でもメリットがあります。

-参考情報
Azure Sentinel の価格
URL:https://azure.microsoft.com/ja-jp/pricing/details/azure-sentinel/

構成方法は、Azure AD のサインインログなど、エージェントレスで数回のクリックで構成できる方法と、API を利用して構成する方法、もう1つは下記画面ショットのように Syslog エージェントをインストールして、各 Syslog ソースを取り込む方法があります。

Syslog エージェントを Azure VM 上にインストールするパターン
image.png

Syslog エージェントをオンプレミスのコンピューターにインストールするパターン
image.png

-参考情報
データ ソースの接続
URL:https://docs.microsoft.com/ja-jp/azure/sentinel/connect-data-sources

今回は Azure AD 上のサインインログと監査ログ、Azure AD Identity Protection のリスクイベントを Azure Sentinel に取り込んで可視化してみたいと思います。

やってみる

作業概要は以下のとおりです。

  1. Azure Sentinel を有効にする
  2. データソース (Azure AD と Azure AD Identity Protection) に接続する
  3. Azure AD Identity Protection でリスクを疑似的に発生させる
  4. Azure Sentinel のオンボードで確認する

※今回は ¥22,500 分を 30 日間使える無料サブスクリプションで検証をしています。

-参考情報
Azure の無料アカウントを今すぐ作成しましょう
URL:https://azure.microsoft.com/ja-jp/free/

1. Azure Sentinel を有効にする

Azure ポータルで Azure Sentinel と入力し、表示されたサービスをクリックします。
image.png

Azure Sentinel ワークスペースで「+追加」をクリックします。
image.png

まだ Log Analytics のワークスペースが作成されていない状態なので、「+新しいワークスペースの作成」をクリックします。
image.png

必須項目を選択、入力して、「価格レベル」をクリックします。
image.png

価格レベルが従量課金制であることを確認し、「次:タグ」をクリックします。
image.png

リソースにタグ付けしたい場合はここで設定します、今回はそのまま「次:確認および作成」をクリックします。
image.png

検証に成功することを確認し、「作成」をクリックします。
image.png

ワークスペースが作成されたことを確認します。
image.png

最後に、このワークスペースを Azure Sentinel が使えるようにするために、画面左下の「Azure Sentinel の追加」をクリックします。
image.png

Azure Sentinel が利用できるようになりました。
概要画面を見ると、ログをまだ何も取り込んでいないので、当然ですが、脅威はなにも検出されていません。
image.png

次は Azure AD のログと Identity Protection のリスクを取り込みます。

2. データソース (Azure AD と Azure AD Identity Protection) に接続する

Azure Sentinel 左ペインより、構成欄の「データ コネクタ」をクリックします。
image.png

こちらがデータ コネクタの画面です、コネクタ数が「39」あることから、39 種類のサービスおよびアプライアンスのログを取り込めるということが分かります。この中で一番上の「Azure Active Directory」をクリックします。
image.png

画面右の「コネクタ ページを開く」をクリックします。
image.png

画面真ん中下にある、Azure Active Directory Sign-in logs の「接続」をクリックします。
image.png

Sign-in logs が enabled になったことを確認します。
image.png

同じように Azure Active Directory の監査ログの「接続」をクリックします。
image.png

監査ログが enabled になったことを確認します。
image.png

これで Log Alanytics のワークスペースにサインイン ログと監査ログが取り込まれます。
しばらく待つと下記画面ショットのように Azure Active Directory のデータ コネクタの状態が「接続済み」となります。
image.png

Azure Sentinel の概要画面に戻ると、下記画面ショットのようにログが取り込まれていることが確認できました。
次に Identity Protection のリスクを取り込んでみます。
image.png

概要画面の左ペインより、「データ コネクタ」をクリックします。
image.png

データ コネクタの画面より、「Azure Active Directory Identity Protection」を選択し、画面右下の「コネクタ ページを開く」をクリックします。
image.png

画面中央にある、「接続」をクリックします。
image.png

正常に接続されました、と表示されることを確認します。
image.png

同じ画面上で、Create incidents の項目にある、「Enable」をクリックします。
これにより、リスクを検知した際に、自動的にインシデントが作成されます。
image.png

インシデント ルールが作成されたことを確認します。
image.png

この状態ではリスクを Azure Sentinel 上で表示できるようになりましたが、Identity Protection がリスクを検知していないので、画面上にはインシデントとして検知していません。
次は疑似的にリスクを発生させます。
image.png

3. Azure AD Identity Protection でリスクを疑似的に発生させる

Identity Protection で疑似的にリスクを検知させる方法として、Tor Browser というブラウザを利用します。
Tor Browser を利用することで、Office 365 アプリケーションにアクセスした際に「匿名 IP アドレス」からアクセスしたと判定されます。

Tor Browser のリンクと作業手順は以下 Microsoft の公開情報に記載されていますので、参考にしてみてください。

-参考情報
匿名 IP アドレス
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/howto-identity-protection-simulate-risk#anonymous-ip-address

作業としては実にシンプルで、Tor Browser を開いて、下記画面ショットのように Azure AD ユーザーで Office 365 ポータルにサインインするだけです。
image.png

しばらくすると、サインイン ログに記録されるとともに、下記画面ショットのように Identity Protection の「危険なユーザー」に「匿名 IP アドレス」としてリスクが検知されたことが確認できます。
image.png

リスクが検知された状態で、Azure Sentinel 上ではどのように表示されているのか確認してみます。

4. Azure Sentinel のオンボードで確認する

Azure Sentinel の概要画面を見ると、インシデントの数字がカウントアップされていることが確認できました。
画面右の最新のインシデントより、「Anonymous IP address」をクリックします。
image.png

インシデントの詳細が確認できます。画面左下の「調査」をクリックします。
image.png

すると、このインシデントに関連するイベントも含め、関連図がマップされます。一つアラートを選択してみます。
image.png

本来東日本リージョン上の VM なので、日本からアクセスするのが「既知の場所」なのですが、Tor Browser 経由でアクセスしたことにより、「New York」からアクセスされたと判定されていますね。
image.png

そのほかにも画面右の「タイムライン」をクリックすることで、時系列ごとにイベントを確認できます。
このように、一人のリスクのあるユーザーに紐づいたアクションを時系列で可視化できるので調査にかかる時間的コストを削減できます。
image.png

インシデントの調査方法は Microsoft の公開情報にもまとめられているので、参考にしてみてください。

-参考情報
チュートリアル:Azure Sentinel でインシデントを調査する
URL:https://docs.microsoft.com/ja-jp/azure/sentinel/tutorial-investigate-cases

おわりに

今回は、Azure が提供しているクラウドネイティブの SIEM ソリューションである Azure Sentinel を触ってみました。
ほんの一部の機能を紹介しましたが、Log Analytics ワークスペースにログを取り込める環境でれば、比較的簡単に Azure Sentinel と連携することができます。

Azure の無料試用版のサブスクリプションですら Azure Sentinel の利用を開始できるので、従量課金制になることで、値段が高いイメージのある SIEM へのハードルが下がったのではないかと思います。

少しでも今回の記事が Azure Sentinel ご利用の参考になれば幸いです。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした