きっかけ
ある日「Azure AD Identity Protection Weekly Digest」 というメールを発見!
どうやら何かしらのリスクがあるらしいがよくわからない。。。
ということで、今回は Azure AD Identity Protection について調べたことと、通知されてきたレポートの内容についてまとめていこうと思います。
Identity Protection の概要
Identity Protection を使用することで、主に以下の3点ができるようになります。
- リスクの検出
- リスクの調査
- リスク情報の活用
1. リスクの検出
Identity Protection によって次のようなさまざまな種類のリスクが検出されます。
- 匿名 IP アドレスの使用
- 特殊な移動
- マルウェアにリンクした IP アドレス
- 通常とは異なるサインイン プロパティ
- 漏洩した資格情報
- パスワード スプレー
- その他...
2. リスクの調査
次の3つの主要レポートを参考にして管理者が調査できるようになっています。
- 危険なユーザー
- リスクの高いサインイン
- リスク検出
3. リスク情報の活用
データを他のツールと連携したり色々できるよってことなのですが、奥が深いので今回は省略します
必要なライセンス
Azure AD Identity Protection の機能をフルで使いたい場合は、Azure AD Premium P2 ライセンスが必要になります。
詳しくはライセンス要件を参照してください。
届いたレポート
届いたメールには対象の Identity Protection へのリンクが張られていました。
リンクをたどって「危険なサインイン」 や 「リスク検出」を見ると、しっかり検知されています。
検出の種類について
リスク検出の種類は多肢に渡ります。
参考:リスクの種類と検出
全部取り上げるとキリがないので、今回検出された「通常とは異なる移動」にスポットを当ててみます。
通常とは異なる移動?
Microsoftのドキュメントには、次のように記載されています。
このリスク検出の種類では、地理的に離れた場所で行われた 2 つのサインインを識別します。
少なくとも 1 つの場所は、ユーザーの過去の行動から考えて、ユーザーにそぐわない可能性がある場所でもあります。 このアルゴリズムでは、2 回のサインインの間隔や、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間など、複数の要因が考慮されます。
このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。
ざっくり言えば、ずっと同じ場所からサインインしてたのに、突然違う場所からサインインされたのを検知したってことみたいです。
対応方法
今回と同じようなレポートを検知した場合は、以下の観点で確認してみましょう。
- 対象ユーザーが普段と異なる場所からログインしたかを確認してみる。
- 対象ユーザーがそもそも存在してる(退職済みとかじゃない?)かを確認する。
- 対象ユーザーのパスワード変更をする。
- アプリ経由でAD認証した際にブラウザバージョン等が古くないか確認する。
上記のような状況だと検知されることがあるそうです。
さらに怪しい場合は不正アクセスがないかなど、ログ等から深掘りをする必要があります。
まとめ
今回のメールをきっかけにリスク検知した場合の対応方法をルール化しておこうと思います。
いい教訓になったといえばそれまでですが、スルーしてきたものもあると思うと怖いですね。。。
今後はAWSだけじゃなくて、Azureさんにも気を配ろうと思います(笑)
最後まで読んでいただきありがとうございました!!!