tos-akibaのブログ

主に Microsoft 365 Security について

Microsoft Entra ライセンス使用状況分析(パブリックプレビュー)

Microsoft Entra のライセンス使用状況と分析情報の機能が、パブリックプレビューされています。
Introducing Microsoft Entra License Utilization Insights - Microsoft Community Hub

日本語ブログ:
Microsoft Entra ライセンスの使用状況分析機能のご紹介 | Japan Azure Identity Support Blog

 

これは、Microsoft Entra ポータルで、Entra ID P1、P2 ライセンス数とその主要機能の利用状況を確認できる機能で、パブリックプレビューでは条件付きアクセスとリスクベースの条件付きアクセスについて、利用者数を確認できる部分が提供されています。

一般提供時には、他の機能の利用状況も含まれるよう拡張されるそうです。

 

管理画面は、Microsoft Entra ID ポータルで、「監視と正常性」>「使用状況と分析情報」を開き、「ライセンス使用率」を表示します。
ここに、Premium P1、P2 の各ライセンス数が表示されます。
(あれ? ライセンス名称に Premium は付かなくなって、Entra P1、Entra P2 になったんじゃなかった? と思いつつ。)

 

この画面中央の Premium P1/Premium P2 を切り替えると、下段にカウント数が表示されます。
この下段の各見出しは、マウスフォーカスしてポップアップしないと読んで見分けがつかないので、改善してほしいなあ。
隠れて見えませんが、右側は「条件付きアクセス B2B 」となっています。

 

この条件付きアクセスのカウントについて、少し試してみました。
結論としては、
 ・条件付きアクセスポリシーが発動した後? にカウントアップされると思われる
 ・カウント反映されるまで、1~2 日かかる

 

設定したのは2つのポリシーで、それぞれに1ユーザーずつ割り当てました。
① すべてのアプリに対し、多要素認証を要求 (P1)
② ユーザーリスク高の場合、ブロック (P2)

各ポリシーにユーザーを割り当てただけでは、数日待ってもカウントアップされませんでした。
① のユーザーで多要素認証の要求を表示させた所、1~2日後にカウントアップされました。
② は、ユーザーリスクが高にならないまま、カウントは上がりません。

条件付きアクセスポリシーに割り当てられているユーザー数ではなく、その中でポリシー定義された「アクセス制御」が発動したユーザー数、でカウントしているであろうと理解しました。

 

Microsoft Entra ID のオブジェクト削除の追跡と復旧

Microsoft Entra ID のオブジェクト削除に関する情報がありました。
Keeping track of object deletions in Microsoft Entra ID - Microsoft Community Hub

 

Microsoft Entra ID におけるオブジェクトを削除した場合は、作り直しだと思って慎重に行うのが常でしたが、論理的な削除をサポートしているものが多くあるのですね。
「論理的な削除」: 削除済みとマークされ、ごみ箱に移動される。30日以内は回復できる。
「物理的な削除」: オブジェクトは完全に削除され、復元できない。


論理的な削除をサポートしているもの

Microsoft Entra 管理センターと、Microsoft Graph API で復元可能
 ・ ユーザー
 ・ Microsoft 365 グループ(セキュリティグループ、配布グループでなく)
 ・ アプリケーションの登録

Microsoft Graph API のみで復元可能
 ・ サービスプリンシパル
 ・ 管理単位(AU:Administrative Units)

オンプレの Active Directory と同期したハイブリッド構成の場合は、ソース側の Active Directory でバックアップ、復元する必要があるので、ここは注意です。
再同期により論理削除されたオブジェクトがごみ箱から自動的に復元されるそうです。

 

Entra ID 監査ログでオブジェクト削除の追跡についても触れられていますが、いくつか注意点が挙げられています。
・ KQL の照会では、大文字と小文字が区別されるので、厳密な検索(== とか)に注意
・ 論理的な削除をサポートしていないオブジェクト種類(例:条件付きアクセスポリシー)については、物理的な削除にみがログ記録される
csv など一括操作の場合は、開始と終了に関する追加イベントと、個々のオブジェクトに対する個別イベントが存在
Active Directory と同期されたオブジェクトが、同期から外れたり削除されると、Microsoft Entra ID で論理的に削除される

 

(参考)
Microsoft Entra ID での削除からの回復 - Microsoft Entra | Microsoft Learn

Microsoft マネージド条件付きアクセスポリシーが自動で有効化される

Microsoft Entra ID の条件付きアクセスポリシーの「Microsoft マネージド ポリシー」がレポート専用(90日間)で追加されている場合は、自動でロールアウトされる時期です。
自組織のテナントにこのポリシーが追加されていたら、自動的に有効化される前に再確認しておいた方が良さそうです。
Auto Rollout of Conditional Access Policies in Microsoft Entra ID - Microsoft Community Hub

 

Microsoft は、増加するサイバー脅威に対してテナントのセキュリティを底上げしようとしており、これもその一環として、昨年11月の Ignite で3つの Microsoft マネージドポリシーを自動ロールアウトすることを発表していました。
Automatic Conditional Access policies in Microsoft Entra streamline identity protection | Microsoft Security Blog


テナントごとのライセンスや設定状況により条件が合致する場合は、昨年11月から12月後半にかけて、以下3つのポリシーが自動的に「レポート専用」で順次追加されています。

  • Microsoft 管理ポータルへアクセスする管理者に多要素認証を必須とする
  • ”ユーザーごとの MFA” 機能を使用しているユーザーに多要素認証を必須とする
  • リスクの高いサインインに対して多要素認証と再認証を必須とする

 

これらのポリシーが追加された場合は、90日間の「レポート専用」となっているため、ユーザーへの影響はありません。

しかし、90日間が経過すると自動的に「有効化」されるため、放置していた場合は、ある日から突然、認証の挙動が変わることになり得ます。
緊急用のアカウントやサービス アカウントなどを除外しておかないと、不測の事態になりかねません。

これらのポリシーは、テナントごとの状況と適用タイミングがまちまちなため、個別に自テナントで確認する必要があります。

90日の期限が切れる前に確認し、ポリシーを試して有効化するか、個別にポリシー設定している場合は無効化しておくなど、能動的な操作をしておくことがおススメされています。

 

詳しい内容については、11月頃の以下の日本語ブログに詳細に記載されています。
Microsoft マネージド条件付きアクセス ポリシー | Japan Azure Identity Support Blog

 

(参考)
Microsoft マネージド条件付きアクセス ポリシーを使用してリソースをセキュリティで保護する - Microsoft Entra ID | Microsoft Learn

 

LinkedIn Smart Links 悪用のフィッシングに注意

Microsoft より、LinkedIn Smart Links を利用したフィッシングキャンペーンが増加しており、注意するよう警告の投稿がされています。
Learn more about LinkedIn Smart Link Phish Campaigns - Microsoft Community Hub

 

LinkedIn のヘルプ等を読んで大よそ理解しました。
LinkedIn Smart Links は、LinkedIn のビジネス用の有償プランである Sales Navigator で利用でき、コンテンツをパッケージ化して共有し、LinkedIn メンバーやそれ以外であっても名前とメールアドレスを入力すればアクセスできる機能です。
また、LinkedIn Cookie を利用することで誰がどれくらいアクセスしていたか、Smart Linkes Insights で分析情報を見ることができます。

この Smart Links の URL は通常、LinkedIn ドメインの後に、アンダースコアとダッシュを含む 8文字の英数字ID を持つ「scode」パラメータを使用します。

しかし、悪意ある Smart Links には、scode パラメータではなく、対象者の難読化された電子メールが含まれたパラメータが付いており、リンクをクリックすると、直接またはリダイレクトを繰り返してフィッシング用の Webサイトへ送られます。

Smart Links(https://www.linkedin.com/slinks)は正当な機能のドメインであるため、電子メールのセキュリティをバイパスしてしまいます。

そして、フィッシングキットがその Smart Links から被害者の電子メールを読み取ってフォームに自動入力するため、被害者は正規のサインインページにアクセスしたと錯覚させられます。

 

上記リンク先のブログ情報では、DocuSign や Microsoft の偽装、SharePoint などのキャンペーン例が掲載されており、それらを見るとメール本文に、LinkedIn Smart Links が埋め込まれた画像が付けられているようです。

また、Microsoft の調査チームによる 2023年 9月から 12月までのキャンペーン対象にされた業界の分析データも示されており、製造業が最も多かったようです。

 

推奨事項としては以下が挙げられています。

  • リンクをクリックする前に、メールと送信者の信ぴょう性を確認する
  • ロゴやコンテンツ、リダイレクト、ランディング URL の正当性に注意を払う
  • Microsoft Defender for Office 365 など、メールのセキュリティゲートウェイを使用し、このようなキャンペーンの従業員への到達を減らす
  • 攻撃シミュレーション機能を活用して、トレーニングする
  • SOC/セキュリティチームが、受信トレイに届いた不審なメールを Microsoft へ報告する

 

(参考)
提出を管理する | Microsoft Learn

 

Microsoft Defender のデバイス タグ付けの動的ルール

Microsoft Defender で、デバイスにタグ付けする動的ルールが一般提供されました。
Microsoft Defender | Dynamic rules for tagging devices

 

これにより、管理者は Microsoft Defender ポータルで定義したルールに沿ったタグをデバイスに対して自動的に割り当てたり削除したりできます。
動的タグ付けのメリットは、動的ルールで自動的に正確なタグ付けが行われるため手作業が減り、リソース管理プロセスを合理化できることです。

組織の成長とセキュリティ環境の複雑化に伴い、デバイスタグを手動で維持管理することは難しくなり、不整合や非効率になる可能性があるため、タグ管理はシンプルに、動的ルールの活用もおススメされています。

 

ただし、動的ルールにより設定された動的タグとデバイス値は手動で更新することはできません。
また、ルール作成後にポータルに変更が反映されるまで、最大1時間かかる場合があると注釈されています。
(参考)資産ルール管理 - 動的ルール | Microsoft Learn

 

動的ルールの設定は、Microsoft Defender ポータルの「設定」メニューで「Microsoft Defender XDR」>「資産ルールの管理」でルールを作成します。

 

認証アーティファクトの盗難と対処

数年前まで、トークン窃取はまれな攻撃でした。それはパスワードを盗む方が Cookie を盗むよりも簡単であり、その窃取したパスワードでサインインして容易に侵入できたためです。
しかし、多要素認証が普及するに伴い、攻撃者が窃取したパスワードだけでは侵入できなくなり、「認証アーティファクトトークンと Cookie)」を窃取する攻撃が行われるようになりました。
Addressing Data Exfiltration: Token Theft Talk - Microsoft Community Hub

 

Microsoft はすでに 2022年のブログでこれらの攻撃について解説しています。
Token tactics: How to prevent, detect, and respond to cloud token theft | Microsoft Security Blog

 

認証アーティファクトは大まかに2つに分けられます。
・ サインイン セッション アーティファクト
  クライアントと Entra ID 間で、SSO とアプリ状態を維持
・ アプリ セッション アーティファクト
  クライアントアプリにデータへのアクセスを許可

保護すべき最優先は、プライマリ更新トークン(PRT: Primary Refresh Token)であり、これは各OS ごとに盗難に対して強化されています。
中でも Windows は最も強力に保護しており、PRT 保護は常時オンになっています。(ポリシーで制御はできなくなっている)

 

サインイン セッションのトークンについては、条件付きアクセスのトークン保護ポリシーで盗まれたトークンの利用から保護します。
このトークン保護は、Windows 上の Office と Outlook でパブリックプレビュー段階です。
トークン保護のスコープに含まれていないクライアントアプリについても、Entra Global Secure Access の準拠ネットワークのチェックを有効にすることで保護できる、とされています。

アプリ セッションのトークンについては、条件付きアクセスの場所によるアクセスブロックと継続的アクセス評価(CAE: Cotinuous Access Evaluation)と、Entra Global Secure Access の組み合わせで攻撃範囲を大幅に縮小することが述べられています。

また、トークン盗難の検出には、Microsoft Entra ID Protection のリスク検出機能で異常なトークンを検出し、侵害に対処することも記載されています。

トークン盗難攻撃の蔓延に対応して、これら Microsoft ソリューションの防御強化が常にはかられています。

 

Microsoft Security Copilot の Embedded

Microsoft Security Copilot に関する Ignite の発表では、Security Copilot のスタンドアロンと、各 Microsoft Security 製品の管理画面に組み込む Embedded のエクスペリエンスが紹介されています。
Microsoft Security Copilot improves speed and efficiency for security and IT teams | Microsoft Security Blog

 

スタンドアロンは、当初発表された通り Security Copilot 単独のコンソール画面で、Embedded は、Microsoft XDR & Sentinel、Microsoft Intune、Microsoft Entra、Microsoft Purview、Microsoft Defender for Cloud それぞれの管理コンソールの右側に Security Copilot 画面が組み込まれ、連携するようになっています。

こちらの MicrosoftYouTube 動画の中でそれらを見ることができ、ChatGPT と比較してセキュリティの専門的な質問回答を返す様子も紹介されています。
How Microsoft Security Copilot works - YouTube

 

Microsoft が 11月に Security Copilot を試した参加者に対する無作為のトライアル結果によると、セキュリティ応答時間を 26% 改善し、参加者の 86% が Security Copolot によって仕事の質が向上したと回答し、90% が Security Copilot を利用したいと回答したそうです。

Embedded の組み込みエクスペリエンスにより、各製品での管理、運用効率がアップし、セキュリティチームの業務効率が上がりレスポンスも早くなることが、大きなメリットになりそうです。

 

(参考)製品サイト
Microsoft Security Copilot | Microsoft Security