tos-akibaのブログ

主に Microsoft 365 Security について

Identity Protection の新たなリスク検出

Azure AD の Identity Protection が ワークロード ID のリスク検出にも拡張対応する機能のプレビュー公開については、以前書きました。
Identity Protection がワークロードID に拡張対応(プレビュー) - tos-akibaのブログ

 

それ以外にも、Identity Protection のリスク検知には幾つかの新しい検知が追加されています。

  1. OAuth を利用したアプリへの異常な「資格情報の追加」
  2. 機密ファイルへの大量のアクセス
  3. プライマリ リフレッシュ トークン (PRT) へのアクセスの試行

Microsoft が提供する包括的な ID 侵害のシグナルについて | Japan Azure Identity Support Blog

これらは、Microsoft Defender for Endpoint、Microsoft Defender for Cloud Apps を利用していれば、自動的に統合されます。

「危険なサインイン」や「リスク検出」の一覧画面を開き、1と2は「ユーザーの検出」、3は「ワークロードID の検出」の一覧で、「検出の種類」フィルタで項目を選択できます。

 

各項目の詳細説明については、それぞれ以下の docs に。

リスクとは Azure AD Identity Protection - Microsoft Entra | Microsoft Docs

Azure AD Identity Protection でのワークロード ID のセキュリティ保護 (プレビュー) - Microsoft Entra | Microsoft Docs