ChatGPT に以下の相談をしたところ、かなり的確に答えが返ってきたので、その回答も踏まえて対応方法を検討してみました。
SentinelでService PrincipalのPrivilege Escalationアラートが出た場合、誤検知かどうか判断する為に何を調べればいいですか?
以下、ChatGPTの答えとその考察です。
Step.1 ターゲットサービスプリンシパルのアクティビティログを調べる
ChatGPTの答え: ターゲットのService Principalのアクティビティログを調べて、アラートが発生した時刻の前後のログを確認します。これにより、アラートが発生した原因を特定できる場合があります。
おそらく「Service Principalのアクティビティログ」とは「Azure Active Directory の監査ログ」のことを指しているのだと思います。
下記の「Azure Active Directory の監査ログ」のサイトを見ると、アプリケーション中心のビューを使用すると、「アプリケーションのサービス プリンシパルは変更されたか」に対する答えを得ることができると書かれています。
Azure Active Directory の監査ログ https://learn.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/concept-audit-logs
Step.2 対象サービスプリンシパルのアクセス許可を確認する
ChatGPTの答え: Service Principalに与えられたアクセス許可を確認し、アクセス許可が不適切なものがないかを確認します。アクセス許可の削除または変更が必要な場合は、それに従って対応を行います。
「アクセス許可が不適切なもの」とは、必要以上に権限が与えられていないか確認する、ということだと思います。
Spte.3 対象サービスプリンシパルの構成を確認する
ChatGPTの答え: Service Principalの構成を確認して、異常があるかどうかを確認します。Service Principalの設定が不適切である場合は、それに従って対応を行います。
うーん、「Service Principalの構成」とはなんだろう?という感じですが、Step.2の「アクセス許可の削除または変更が必要な場合は、それに従って対応を行います。」と同義かなと思っています。
Step.4 ファイアウォールやセキュリティグループのログを調べる
ChatGPTの答え: ターゲットサービスプリンシパルに対する不正なアクセスを防ぐために、ファイアウォールやセキュリティグループのログを調べて、アクセスがあったかどうかを確認します。
「ファイアウォールやセキュリティグループのログを調べて」とありますが、これは「Service Principal」によってファイアウォールやセキュリティグループ(ネットワークセキュリティグループ?)に変更が加えられていないか確認する、という意味じゃないかと思っています。
また実際にあやしいIPからアクセスがきていないかどうかも調べましょう、ということかなと思います。
ChatGPTにまた質問すれば、この疑問にも答えてくれるのかな?
参考:Azure のService Principalって何?
ちなみに最初、Service Principalってなんだろう?って感じだったのですが、以下の「SIOS TECH.LAB」さんのページにわかりやすく書かれており、大変参考になりました。
SIOS TECH.LAB https://tech-lab.sios.jp/archives/23371
コメントを残す