一応、User_GetAllなどのログは取れそうだが、めちゃくちゃログがでそう。。。
Microsoft Entra の監査ログのカテゴリとアクティビティ
https://learn.microsoft.com/ja-jp/entra/identity/monitoring-health/reference-audit-activities
特権アカウントの作成を監視します。 アカウントの作成から削除までの時間間隔が短いという相関関係を探します。というのもありか?
Microsoft Entra ID での特権アカウントのためのセキュリティ運用
https://learn.microsoft.com/ja-jp/entra/architecture/security-operations-privileged-accounts#log-files-to-monitor
以下、Chat GPTに答えてもらったが、正しいか怪しい。。。
以下に、Azure Entra ID(旧称 Azure Active Directory)に対するMITRE ATT&CKの技術 T1087.004: Account Discovery: Cloud Account を検出するためのSigmaルールを示します。このルールは、クラウド環境内でアカウント情報の探索活動を検出することを目的としています。
Sigmaルール: Azure Entra ID におけるアカウント探索活動の検出
yaml
title: Azure Entra ID Account Discovery - Cloud Account
id: e.g., 12345678-abcd-1234-ef00-1234567890ab
status: stable
description: Detects account discovery activities in Azure Entra ID, such as enumeration of user accounts, groups, and their memberships.
references:
- https://attack.mitre.org/techniques/T1087/004/
- https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis
author: Your Name
date: 2024-04-27
tags:
- attack.credential-access
- attack.t1087.004
- azure
logsource:
product: azure
service: auditlogs
detection:
selection_account_discovery:
EventID:
- 4720 # User account created
- 4722 # User account enabled
- 4723 # Password change attempt
- 4732 # Member added to security-enabled local group
- 4733 # Member removed from security-enabled local group
- 4740 # User account locked out
- 4767 # User unlocked
- 4670 # Permissions on an object were changed
OperationName:
- "Get user"
- "List users"
- "Get group"
- "List groups"
- "Get group members"
- "List group members"
- "Get directory objects"
- "List directory objects"
ResultDescription:
- "Success"
condition: selection_account_discovery
falsepositives:
- Legitimate administrative or audit activities
- Automated scripts performing account management tasks
level: medium
fields:
- TimeGenerated
- Resource
- OperationName
- User
- ClientIP
- ResultDescription
- AdditionalDetails
ルールの詳細説明
基本情報
title: ルールの名称です。「Azure Entra ID におけるアカウント探索活動の検出」としています。
id: ルールの一意の識別子です。UUID形式で記載します(例: 12345678-abcd-1234-ef00-1234567890ab)。
status: ルールの成熟度を示します。stableは安定したルールであることを意味します。
description: ルールの目的と検出対象を簡潔に説明しています。ここでは、Azure Entra IDにおけるユーザーアカウントやグループの列挙活動を検出することを示しています。
references: 関連する参考資料やMITRE ATT&CKの技術ページへのリンクを含めます。
author: ルールの作成者の名前を記載します。
date: ルールが作成または更新された日付です。
tags: ルールに関連するカテゴリやMITRE ATT&CKの技術番号をタグとして追加します。
logsource
product: ログが生成されるプロダクトを指定します。ここでは azure としています。
service: ログソースのサービスを指定します。auditlogs はAzureの監査ログを指します。
detection
selection_account_discovery: アカウント探索活動に関連するイベントを選択するための条件を定義します。
EventID: 検出対象となるイベントIDをリストします。これらのイベントIDは、ユーザーアカウントの作成、変更、グループ操作などに関連します。
OperationName: Azure Entra IDでアカウントやグループを取得・列挙する操作名を指定します。具体的には、「Get user」、「List users」、「Get group」、「List groups」などが含まれます。
ResultDescription: 操作が成功した場合のみを対象とします。"Success" と指定することで、成功した操作のみを検出対象とします。
condition: 定義した selection_account_discovery に一致するイベントが発生した場合にルールがトリガーされます。
falsepositives
誤検出の可能性: 正当な管理者によるアカウント管理作業や監査活動、または自動化されたスクリプトによるアカウント操作が誤検出の原因となる可能性があります。これらの活動が正当である場合、誤検出として扱われることがあります。
level
警告レベル: このルールは「中」レベル(medium)の警告を発します。アカウント探索活動は潜在的な情報収集活動であり、さらなる調査が必要となる場合があります。
fields
表示するフィールド: 検出されたイベントに含まれる重要な情報を指定します。具体的には、イベント発生時刻(TimeGenerated)、リソース名(Resource)、操作名(OperationName)、実行ユーザー(User)、クライアントIPアドレス(ClientIP)、操作結果の説明(ResultDescription)、追加の詳細情報(AdditionalDetails)などが含まれます。
ルールの使用方法
Sigma対応のSIEMツールへのインポート: 作成したSigmaルールを、Sigma対応のSIEM(Security Information and Event Management)ツールにインポートします。例えば、Splunk、Elasticsearch、Azure Sentinelなどが対応しています。
ルールの適用とチューニング: 実際の環境に適用する前に、ルールをテスト環境で動作確認し、必要に応じてチューニングを行います。誤検出を減らすために、特定のユーザーやグループを除外するなどの調整を行うことが推奨されます。
アラートの監視と対応: ルールがトリガーされた場合、アラートを確認し、正当な活動であるか不正な活動であるかを判断します。不審な活動が検出された場合は、適切なインシデント対応手順に従って対応します。
まとめ
このSigmaルールは、Azure Entra IDにおけるアカウント探索活動を検出するために設計されています。ユーザーアカウントやグループの列挙操作を監視することで、潜在的な情報収集活動や不正アクセスの前兆を早期に発見し、適切な対応を行うことが可能になります。環境に合わせてルールをカスタマイズし、誤検出を最小限に抑えるように設定することが重要です。
2/2
コメントを残す