以下、相談結果。
<質問1>
Azureのログに"Add delegated permission grant"というログが出力されました。この場合、Event HubsでSIEMに取り込んだログデータのどのカラムを見れば詳細が確認できますか?
ChatGPT
Azureのログに「Add delegated permission grant」というイベントが出力された場合、Event HubsからSIEMに取り込まれたログデータの詳細を確認するためには、いくつかの重要なカラムに注目する必要があります。通常、以下のようなカラムに詳細が含まれていることが多いです:
OperationName:
イベントの操作名が格納されるカラムです。ここに「Add delegated permission grant」のようなイベント名が記録されているはずです。
ResourceId / ResourceType:
権限が付与されたリソースのIDやタイプを確認するためのカラムです。どのリソースに対して権限が追加されたかを特定できます。
InitiatedBy / Actor:
イベントを実行したユーザーやサービスプリンシパルを示すカラムです。誰がこの操作を行ったかを確認できます。
TargetResources:
権限付与の対象となるリソース(APIやアプリケーションなど)の情報が含まれるカラムです。
EventTime / Timestamp:
イベントが発生した日時が記録されるカラムです。
Category:
イベントが属するカテゴリー(例:Administrative)を確認するカラムです。
Properties:
追加の詳細情報が含まれるカラムで、権限付与の詳細(例えば、付与された特定の権限の種類やスコープなど)が含まれている場合があります。
ClientAppId / AppId:
アプリケーションのIDが表示されることがあり、どのアプリケーションに対して権限が付与されたかを確認できます。
CorrelationId:
関連する他のイベントを追跡するために使用できるIDです。このイベントに関連する他のログを探すのに役立ちます。
これらのカラムをチェックすることで、"Add delegated permission grant" イベントの詳細を確認でき、操作内容を把握するのに役立ちます。
<質問2>
それぞれのカラムの出力例を教えてもらえますか?
ChatGPT
Azureログの各カラムに関連する出力例を以下に示します。これにより、「Add delegated permission grant」イベントに関する詳細をより具体的に把握できると思います。
1. OperationName
出力例:
json
"OperationName": "Add delegated permission grant"
2. ResourceId / ResourceType
出力例:
json
"ResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Web/sites/{app-service-name}"
または
json
"ResourceType": "Microsoft.Web/sites"
3. InitiatedBy / Actor
出力例:
json
"InitiatedBy": {
"user": {
"id": "12345678-abcd-1234-abcd-12345678abcd",
"displayName": "John Doe",
"userPrincipalName": "john.doe@contoso.com"
}
}
または
json
"Actor": {
"AppId": "abcd1234-abcd-1234-abcd-1234abcd5678",
"AppName": "ExampleApp"
}
4. TargetResources
出力例:
json
"TargetResources": [
{
"id": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Web/sites/{app-service-name}",
"displayName": "Example Web App",
"type": "Microsoft.Web/sites"
}
]
5. EventTime / Timestamp
出力例:
json
"EventTime": "2024-10-19T08:15:30Z"
6. Category
出力例:
json
"Category": "Administrative"
7. Properties
出力例:
json
"Properties": {
"Permission": "User.Read",
"Scope": "Delegated",
"GrantedTo": {
"AppId": "abcd1234-abcd-1234-abcd-1234abcd5678",
"AppName": "ExampleApp"
},
"GrantType": "Delegated",
"Resource": "Microsoft Graph"
}
8. ClientAppId / AppId
出力例:
json
"ClientAppId": "abcd1234-abcd-1234-abcd-1234abcd5678"
9. CorrelationId
出力例:
json
"CorrelationId": "abcd1234-abcd-5678-abcd-1234abcd5678"
これらの例を参考に、SIEMでログを分析する際にどのカラムを見ればよいかが具体的にわかると思います。また、これらのフィールドはEvent Hubsに取り込まれる際に多少異なるフォーマットで表示される場合もありますが、基本的な情報はこのように確認できます。
<質問3>
上の例でいうと、誰がどのアプリケーションに対してどんな権限を付与したことになりますか?
ChatGPT
上記の例では、以下の内容が読み取れます。
誰が (InitiatedBy/Actor):
「John Doe」さん(john.doe@contoso.com)が操作を実行しました。
どのアプリケーションに対して (TargetResources):
対象のアプリケーションは、「Example Web App」という名前のWebアプリケーションで、リソースIDは /subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Web/sites/{app-service-name} です。リソースタイプは「Microsoft.Web/sites」です。
どんな権限を付与したか (Properties):
「ExampleApp」というアプリケーション(AppId: abcd1234-abcd-1234-abcd-1234abcd5678)に対して、「User.Read」 という 「Delegated」 スコープの権限が付与されています。この権限は、Microsoft Graph のリソースに対するアクセス権です。
結論
John Doeさん(john.doe@contoso.com)が、「User.Read」というMicrosoft Graphリソースへの「Delegated」権限を「ExampleApp」アプリケーションに付与しました。
ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。
コメントを残す