MITRE ATT&CKのT1528をAzureログで検知する方法を調べてみた

１．azure_app_delegated_permissions_all_users

出典：
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/audit_logs/azure_app_delegated_permissions_all_users.yml

ログソース：auditlogs

検索ロジック：
・properties.message: Add delegated permission grant

このSigmaルールは、Azure環境で「全ユーザーの代わりに」高い権限を持つ委任された許可が付与された場合を検出するためのものです。

ルールの構造

    logsource:
        product: azure
            製品: このルールはAzureのログに対して適用されます。
        service: auditlogs
            サービス: 対象となるログは「監査ログ」です。

    detection:
        selection:
            properties.message: Add delegated permission grant
                条件: 「Add delegated permission grant」というメッセージが含まれるログを選択します。これは、委任された許可が追加されたことを示すログです。
        condition: selection
            検出条件: 条件としては、上記のselectionに一致するログが検出されます。

    falsepositives:
        When the permission is legitimately needed for the app
            誤検出の可能性: アプリケーションが正当な理由でこの権限を必要とする場合は、誤検出として扱われる可能性があります。

    level: high
        警告レベル: このルールは「高」レベルの警告を発します。このようなイベントは重大なセキュリティリスクとなり得るため、すぐに対応する必要があります。

全体の目的

このSigmaルールは、Azure環境での「全ユーザーに代わって」高権限の委任許可が付与される場合を監視し、潜在的なセキュリティリスクを早期に検出するために設計されています。通常、このような状況は非常に特別なケースであり、慎重な監視と確認が必要です。

２．azure_app_permissions_msft.yml

出典：
https://detection.fyi/sigmahq/sigma/cloud/azure/audit_logs/azure_app_permissions_msft/
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/audit_logs/azure_app_permissions_msft.yml

総括

ストーリ：
漏洩した資格情報（セッション情報含む）にて該当ユーザとしてログイン、企業のリソースにアクセス可能な高権限アプリケーションの登録を検知する。

ログソース：Microsoft Entra audit logs

検索ロジック：
・properties.message: Add delegated permission grant
・Add app role assignment to service principal

参考情報

・リスクを残さないためのメール侵害分析と対応の勘所（伊藤忠）
https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_1_3_iida_jp.pdf
・Microsoft Entra security operations guide for applications
https://learn.microsoft.com/en-us/entra/architecture/security-operations-applications#application-granted-highly-privileged-permissions