More than 1 year has passed since last update.

脅威検知のログ分析テクニック

Last updated at 2023-10-24Posted at 2023-10-24

はじめに

企業へは、攻撃者からアクセスされるという脅威が常にあります。
そのため、当ブログでは Microsoft Entra ID（以前の Azure Active Directory）や Microsoft Sentinel のサインインログからの脅威検知テクニック（サインインログからの判断方法）を紹介します。

攻撃者からのアクセスのリスク

「不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。その結果、サーバや情報システムが停止してしまったり、重要情報が漏洩してしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。
インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。」（総務省）

そのような不正アクセスを防ぐためにも、怪しいサインインのログの判断方法を紹介していきたいと思います。

脅威分析で攻撃者からのアクセスを見つける

ここからが本題となります。
下記からのアクセスがあれば、不正アクセスだと判断する材料の1つになると考えられます。

突然古い Browser・OS

OS（現時点）であれば、Windows 11 や iOS 16 などが新しいです。
Browser（現時点）であれば、Chrome 115 や Mobile Safari 16.6 です。
普段新しい Browser・OS を使用しているユーザーが突然古い Browser・OS の使用を検知した場合は、怪しいアクセスかもしれません。

見慣れない国（移動時間も考慮）や様々な国から

該当のサインインがあった時間と直前のアクセスの時間が、移動した時間を考慮しても無理がある場合は注意が必要です。また、短期間の中で、複数の国からアクセスがある際は、不審性が高いと思われます。
IPアドレスなどの影響で、自分がアクセスしている場所とは異なる場所からのサインインと検知される可能性ももちろんあります。VPN の使用等によって、Location が実際いる場所と異なる場合もあります。
ですので、あくまでも判断材料の1つです。
しかしそうでない場合（例えば、日本からのアクセスとアメリカからのアクセスの時間差が3時間未満等）は脅威の可能性があります。普段と IPアドレスが異なる場合は、特に詳しく調べたほうがいいと思います。

パスワード・サインインともに何度も失敗

パスワードとサインインが失敗していると、攻撃者がアクセスを試しているという判断材料の1つになります。しかし、普通にユーザー自身が失敗している可能性ももちろんあります。ですので、攻撃者かユーザーかの分け目は、IPアドレスです。普段利用しているものでない場合、またテナントで使用しているものでない場合は注意が必要です。
普段使用していない ISP（Internet Service Provider）からのアクセスも判断材料の１つです。ISP とは、インターネット接続に必要なインターネットプロバイダーのことです。NTT docomo や au 等であれば一般的なものですので、そこまで不審ではありません。逆に日本にいるユーザーなのに、海外の ISP を使用している等は疑ってかかり、調査を進めてもいいと思います。

IPアドレスのスコアや使用している ISP は IPInfo から調査できます。
また、Virus Total を使用してみるのもいいと思います。マルウェアが含まれているかどうかの判定ができます。