k2-ornata(個人的「やってみたこと」ブログ)

Azure KeyVaultに不正なアクセスの痕跡があった場合のその後の調査方法をChatGPTに聞いてみた

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

以下、その結果です。

<質問>
AzureのKey Vaultに不正なアクセスの痕跡があった場合、SOCとしては何を調査すべきですか?

ChatGPT

Azure Key Vaultで不正アクセスの痕跡が見つかった場合、SOCとしては迅速に調査を行い、被害の範囲を特定し、適切な対応を取る必要があります。以下に、Azure Key Vaultにおける不正アクセスに関連する調査項目をリストアップします。

1. アクセスログの確認

    監査ログ(Azure Monitor Logs): Key Vaultの監査ログを確認し、誰が、いつ、どのキー、シークレット、証明書にアクセスしたかを調査します。不審なアクセスがないか、通常の業務時間外のアクセスがないか、異常なアクションが行われていないかを確認します。
    成功および失敗したアクセス試行: 成功したアクセスだけでなく、失敗したアクセス試行も調査対象です。失敗した試行が多い場合、ブルートフォース攻撃やパスワードスプレー攻撃が試みられた可能性があります。

2. アクセス元IPアドレスの確認

    不審なIPアドレス: 不正アクセスの痕跡を持つIPアドレスを調査し、通常の業務で使用されないIPや、地理的に不審な場所からのアクセスであるかを確認します。また、IPアドレスがVPNやプロキシを使って隠蔽されていないかも調査します。
    同一IPからの他サービスへのアクセス: 不正アクセスがKey Vault以外のAzureリソースに対しても行われていないか確認します。同じIPから他のAzureサービスにアクセスした履歴がある場合、攻撃の範囲が広がっている可能性があります。

3. アクセスされたキーやシークレットの確認

    アクセスされたリソースの特定: どのキー、シークレット、または証明書がアクセスされたかを特定し、そのリソースの重要度を評価します。特に機密性が高い情報にアクセスされた場合、被害の拡大が懸念されます。
    データの変更有無の確認: 不正アクセスによって、キーやシークレットの内容が変更されたり、削除されたりしていないかを確認します。変更や削除が行われた場合、それが攻撃者による操作かどうかを判断します。

4. アクセス権限の確認

    不審なユーザーやサービスプリンシパル: Key Vaultにアクセスしたユーザーやサービスプリンシパルの権限を確認し、必要以上の権限を持っていないか、または不正に権限が付与されていないかを調査します。特に、普段アクセスしないユーザーやサービスプリンシパルがアクセスしている場合は、インシデントとして対応が必要です。
    管理者権限の確認: Key Vaultの管理者やオーナー権限を持つユーザーの権限や活動を特に注意深く監視します。不正に権限が昇格されていないかを確認し、必要に応じて権限の見直しを行います。

5. 多要素認証(MFA)の確認

    MFAの有効化状況: Key Vaultにアクセスしたユーザーアカウントに対してMFAが適切に設定されているか確認します。不正アクセスがMFAをバイパスして行われた可能性がある場合、その手法を調査します。
    MFA失敗の記録: MFAの失敗履歴がないかも確認します。攻撃者がMFAの突破を試みた形跡がある場合、フィッシング攻撃やセッションハイジャックの可能性を考慮する必要があります。

6. Azureポリシーの適用状況

    セキュリティポリシーの確認: Key Vaultに対して適用されているAzureポリシーが正しく設定されているか確認します。特に、重要なリソースに対するアクセス制御が厳密であるかをチェックします。ポリシー違反や誤設定が不正アクセスの原因である可能性があるため、ポリシーの設定を再確認します。
    ネットワーク制限の確認: Key Vaultへのアクセスがパブリックネットワークから行われている場合、必要に応じてアクセス制限(特定のIPアドレスやVNetへの制限)が適切に設定されているかを確認します。

7. アラートとログ監視の確認

    Key Vaultアラートの確認: Key Vaultに設定されているアラートを確認し、不正アクセスがアラートとして適切に検知されたかどうかを調査します。アラートが正しく機能していない場合、設定を見直す必要があります。
    ログの整合性確認: Key Vaultの監査ログや診断ログが完全かどうか確認します。攻撃者が侵入後にログを削除しようとする場合があるため、欠損したログや不審なタイムスタンプの変更がないかを調査します。

8. 攻撃後の行動分析

    横展開の確認: Key Vaultへの不正アクセス後、他のAzureリソースやシステムに対するアクセスがないか確認します。攻撃者が他のリソースにもアクセスを試みていれば、被害が拡大している可能性があります。
    データ漏洩の確認: 不正アクセス後、機密情報の漏洩がないかを確認します。特にAPIキーや認証情報などが外部に漏洩していないか、調査する必要があります。

9. 従業員や内部者の関与の確認

    内部者によるアクセスの可能性: 不正アクセスが内部の従業員やパートナーによって行われた可能性がある場合、そのユーザーの行動履歴や権限変更の履歴を調査します。内部不正は見過ごされがちですが、徹底的なログ調査とアカウント監査が必要です。

10. 対策の実施

    アクセス制御の強化: 調査の結果に基づき、Key Vaultのアクセス制御ポリシーを再評価し、必要に応じてMFAの導入や権限の見直しを行います。
    秘密情報のローテーション: 不正アクセスされた可能性のあるキーやシークレットは即座に無効化し、新しいものにローテーションします。APIキーやパスワードが漏洩した場合、関連するシステム全体で更新が必要です。
    攻撃の再発防止策の導入: セキュリティログの監視を強化し、Key Vaultの利用に対するアラートを適切に設定します。攻撃の再発を防止するため、Azure Security CenterやAzure Defenderなどのツールを活用して、脅威の早期検出を目指します。

これらの調査項目を実施することで、Azure Key Vaultの不正アクセスに対する被害範囲を特定し、必要な対策を迅速に講じることができます。また、継続的な監視とアクセス制御の見直しを行い、将来的な攻撃のリスクを軽減することが重要です。

Related posts:

  1. MITRE ATT&CKのT1087.004をAzure KeyVaultのログで検知する方法を調べてみた
  2. MITRE ATT&CK Azure AD Matrixと Sigma、Splunkルールをマッピングしてみた
  3. Snort3をMacにインストールしてみた
  4. Azureに不審なアプリケーションが登録されていないか確認する方法をChatGPTに聞いてみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA