以下、ChatGPTからの答え。
<質問>
Azureのログに"Add delegated permission grant"というログが出力された場合、SOCとしてはどんなログ調査をすべきですか?
ChatGPT
Azureのログに「Add delegated permission grant」が出力された場合、これはアプリケーションに対してユーザーや他のアプリケーションが権限を委譲したことを示しています。SOC(Security Operations Center)として、この操作が正当なものであるか、セキュリティリスクがないかを確認するため、以下の調査を行うことが重要です。
1. 関与するユーザーとアプリケーションの確認
誰が権限を付与したか:権限を付与したユーザーを特定し、そのユーザーの役割や権限がこの操作と合致しているか確認します。
アプリケーションの確認:権限が付与されたアプリケーションが組織内で信頼されているものか、また正しく設定されているかを確認します。
2. 付与された権限の確認
権限の内容:どの権限が付与されたか(例: User.Read など)を確認し、その権限がアプリケーションの必要最小限であるかを確認します。過剰な権限はセキュリティリスクを引き起こす可能性があります。
最小権限の原則:不要な権限が付与されていないか、最小権限の原則に従っているか確認します。
3. 異常や不審な活動の確認
イベントの時系列を確認:権限が付与された時期の前後に、他の不審なログインや異常なユーザー活動がないか確認します(例:多要素認証(MFA)の失敗や異常なログインパターン)。
IPアドレスと場所の確認:権限付与が行われたIPアドレスや地理的な場所を確認し、知らない場所や不審な場所からのアクセスでないか確認します。
4. Identity Protectionやリスクイベントの確認
Azure Identity Protection:Azure Active Directory(AAD)のIdentity Protectionにリスクイベントや不審な行動がないか確認します。
サインインログ:ユーザーのサインインログを確認し、不審なデバイスや位置からのアクセスがないかを調査します。
5. Microsoft Graphの活動の確認
Microsoft Graph経由のAPIコールログ:アプリケーションがMicrosoft Graphを使ってどのようなデータにアクセスしているかを確認し、正当な使用かどうかを判断します。
アプリケーションのアクティビティログの確認:権限を得たアプリケーションの活動が適切であるか、不正なアクセスや利用がないかを確認します。
6. 組織のポリシーとの整合性を確認
委譲のポリシー:この権限付与が組織の委譲アクセスに関するポリシーに従っているか確認します。不正な場合は権限を取り消す必要があります。
承認プロセス:組織の承認プロセスに従って権限が付与されたか確認します。
7. 必要に応じてエスカレーション
不審な点や異常な活動が確認された場合は、上位のセキュリティアナリストやインシデントレスポンスチームにエスカレーションします。
これらの調査を通じて、**「Add delegated permission grant」**のログが正当か、セキュリティ上の懸念がないかを判断することができます。不審な点があれば、迅速に対応する必要があります。
コメントを残す