SplunkにAzure Active Directory関連データを収集する

はじめに

• はっきり言って、Microsoftのサービス名、サービス内容を把握できていないし、完全に理解する気力も基礎知識もない
• が、Azure Active Directoryというサービスに絞って、そこの監査ログとサインインログを集めてセキュリティ監視をはじめたい
• そのための取込に苦労した点をまとめて備忘録として残しました。

構成情報

• Splunkサイド
  • 利用App:
    • Microsoft Azure Add on for Splunk
    • Ver 2.0.2
• Azure Active Directoryサイド
  • 利用サブスクリプション：
    • Pay-As-You-Go subscription
    • Azure AD Premium license P1

手順概要

1. Splunk Add-onのインストール
2. Azure ADサイドの設定
3. Splunk Add-onの設定
4. 届いたログの検索チェック

手順詳細

1. Splunk Add-onのインストール

• SplunkにApp（Microsoft Azure Add on for Splunk）をインストール
• Appを開き、[ドキュメント] - [Setup Overview]を開く
  • 取り込む仕組みとして２種類の方法があります。
    • Basic Input
    • Event Hub
  • 今回はBasic Inputでの手順を紹介します。理由はBasic Inputで取り込んだほうがCIM(Authentication)にもマップされたsourcetype="azure:aad:signin"が用意されているので分析しやすい。

• ここでは「Reader(閲覧者)」のRoleをもったサブスクリプションが必要といっていますが、これは監査ログの場合です。sign-inログまで取る場合は合わせて**「Security Reader（セキュリティ閲覧者）」**が必須です。
  • なぜ必須か？

    • Azure Active Directory レポート API にアクセスするための前提条件

      • きっちりと、セキュリティ閲覧者、セキュリティ管理者、グローバル管理者のいずれかが必要と書かれています
        

    • Splunk社で整理した各Add-onが利用するAPI情報

      • こちらにもSecurity Readerと書かれています

• [ドキュメント] - [Setup an Azure AD Application Registration]を開く

  • 基本的にはこのガイドに従えば必要なappができます。
    

• ここから 2. Azure ADサイドの設定に進みます

2. Azure ADサイドの設定

• Azure Active Directory admin centerにアクセス
  

• API連携用のAppのレジストレーション
  

• Certificatesの作成(New Client Secret)

  • このときに秘密鍵（Secret ID）をメモしておくこと。後で使います。
    

• Azure Portalに飛んで、サブスクリプションメニューへ
  

• Add Role Assignment
  

• "Security Reader"を選択し、作成したapp(例:syokota4azureAD）の名前を探して適用
  

• 再び、Azure Active Directory admin centerへ戻る
  

• AppにAPI Permissionsを設定
  
  

• [Grant admin consent for xxx]をクリック
  

• 出てきたダイアログから承認!
  

• （まだ無ければ）Azure AD P1 or P2を有効化

  • なぜ必要？以下をチェック
  • Azure AD audit log API overview
    

• 「Microsoft 365 管理センター」にてAzure AD Premium P1/P2を管理者アカウントに適用!
  
  

• Azure AD側の設定は以上で、以下の情報を控えておいてSplunkのapp設定に進みます

  • Application (client) ID
    • 作成したAppのOverviewメニューにて確認可能
  • Client Secret
    • Certificate作成時にメモしたものを利用
  • Directory (tenant) ID
    • 作成したAppのOverviewメニューにて確認可能

3. Splunk Add-onの設定

• Microsoft Azure Add-on for SplunkのAppを開く

• 設定にてAccount作成
  

• 入力にて2つのinputを作成
  

• Sign-in (間隔はデフォルトのまま推奨。試験的に短くしています)
  

• Audit (間隔はデフォルトのまま推奨。試験的に短くしています)
  

4. 届いたログの検索チェック

Auditログ

• ざっとサマるとこんなtable情報が出せる。いわゆるAzureADの操作レコードのようなもの。ユーザ登録とか更新したとか。

Sign-Inログ

• ざっとサマるとこんなtable情報が出せる。ログイン認証行為の成功、失敗が記録されていることがわかります

• Sign-Inログは「tag=authentication」にCIMマッピングされています！
  

• つまりinfoSec App for SplunkのAll AuthenticationsダッシュボードやEnterprise Securityですぐに集計が可能ということ
  

まとめ

• Azure ADを使った認証アクティビティ（成功、失敗）を監視するならこのAdd-Onを使うべし

• 他のOffice365系のAppはAzure AuditログはあくまでOffice365サービスへの操作履歴を残す監査ログの位置づけです。

• 例えば下のスクショを見ると。
  

Azure AD Add-onのサインインログまで取得したデータ（sourcetype=azure:aad:signin）

Splunk Add-on for Microsoft Office 365の監査ログ（sourcetype=o365:management:activity）

"syokota"でログイン試行した際の結果を見比べていただくと分かると思いますが、sourcetype=o365:management:activityではログイン試行の“失敗イベント”まで取れていないことが、差として現れています。

その他

• Troubleshooting
  • View Checkpoints
  • 正しく動くと、ログ収集時間が表示される