Recommended
More Related Content
What's hot
What's hot (20)
Similar to de:code 2019 SE01 Azure Active Directory のログの"みかた“ - 長期保存・外部 SIEM 連携・分析手法 -
Similar to de:code 2019 SE01 Azure Active Directory のログの"みかた“ - 長期保存・外部 SIEM 連携・分析手法 - (20)
Recently uploaded
Recently uploaded (14)
de:code 2019 SE01 Azure Active Directory のログの"みかた“ - 長期保存・外部 SIEM 連携・分析手法 -
- 1. de:code 2019 SE01 Azure Active Directory のログの"みかた“ - 長期保存・外部 SIEM 連携・分析手法 - 日本マイクロソフト株式会社 セキュリティ技術営業部 テクノロジー ソリューション プロフェッショナル CISSP 松井 大
- 3. Azure AD ログ管理の悩み… ありますか? Azure ADは導入前だが後学のために参加 Azure ADは構成しているがログについてはノータッチ Azure ADを構成し、ログの管理も実施済み *今回紹介する手法に限らず
- 4. 本日の内容
- 5. Azure AD が出力する ログ の種類を知る
- 6. Azure AD が出力する ログ の種類
- 7. 誰がアクセスできるのか?
- 8. Azure AD が出力する ログ の種類は大きく 2 つ
- 9. サインイン ログ
- 12. 経験のある方向けのポイント
- 13. 監査ログ
- 14. 監査ログ が何の役に立つのか
- 15. 監査ログ を利用したタスク例
- 16. Demo Azure AD が出力する ログ の種類 アクティビティ ・ 監査 ログ
- 17. Azure AD が出力する ログ の種類
- 18. セキュリティ ログ
- 19. Free Basic / Office 365 Azure ADP P1 Azure ADP P2 サインイン No No Yes Yes 監査 Yes Yes Yes Yes リスクフラグ付きユーザー 基本的なイベント 基本的なイベント いくつかのインサイト 詳細なインサイト リスクイベント 基本的なイベント 基本的なイベント いくつかのインサイト 詳細なインサイト 各ライセンスのログレベルの違い
- 20. ログの種類のまとめ ログ種類 何が記録されるか? 使い方 ポイント サインイン サインインの成功/失敗 トラブルシュート アプリの利用率 リアクティブに活用 “すべて”が記録される 長期保存が向く監査ログ リソースの変更を記録 変更の追跡 リスクのフラグ 付きユーザー 侵害された 可能性のあるユーザー 人ベースの リスク検知と対策 プロアクティブに活用 検知したものだけが記録される 短期保存が向くリスク イベント 検知したリスク イベントベースの リスク検知と対策
- 22. ログの保持期間 - アクティビティ ログ - レポート Azure AD Free Azure AD Basic Azure AD Premium P1 Azure AD Premium P2 監査ログ 7 日 7 日 30 日 30 日 サインイン 該当なし 該当なし 30 日 30 日 MFA の使用状況 30 日 30 日 30 日 30 日
- 23. これまでのログの保持方法 Azure ADダウンロードDatabase / SIEM Pull (JSON) スクリプトの実行 (Reporting API)
- 24. 追加されたログを保持、管理する 3 つの方法 Azure Blob Storage 大量の非構造化デー タを安価に格納するた めのストレージ データをリアルタイムに ストリーム・インジェスト するための 利用統計情報を収集し て分析するための高度な ツール Azure EventHub Azure Log Analytics ストア (JSON) -追加BLOB- 既存の SIEM に プッシュ 分析 Azure Monitor Azure ADダウンロードDatabase / SIEM Pull (JSON) スクリプトの実行 (Reporting API)
- 25. へぇー、すごい、なるほどー 私は、Azure 側の世界から縁遠い どちらかというと Azure の世界で暮らしている Azure AD/Office 365 も Azure も友達! まったくわからん。 Azure Storage/Blob/EventHubs/LogAnalytics と言われたときの印象を聞かせてください
- 27. Azure サブスクリプションの追加について *出典 JBS様“ Microsoft Azure を利用する前に必ず知っておきたいこと
- 28. Azure Blob ストレージとは ストレージ アカウント Blob Files Queue Table 汎用v2 Account • BLOB、ファイル、キュー、テーブルの最新機能すべてをサポートするストレージ アカウ ント • アカウントレベルでホット、クールを選択可能 • BLOBレベルでホット、クール、アーカイブ(日本ではまだ未提供)を選択可能 汎用v1 Account • クール、アーカイブは使えない。 • ストレージ単価が少しv2よりも高く、アクセスが安い • 汎用v2へアップグレード可能(もとに戻せない) Blob Storage Account • ブロックBLOBのみサポート。ページ BLOB(非管理ディスクの置き場) は使えな い。 • 汎用v2へアップグレード可能(もとに戻せない) ユニークなURLを持つ https://<xxxxx>.core.win dows.net
- 29. Azure Event Hubsとは ポイント:Splunk と接続する場合には Splunk のエンジニアさんが EventHub のコ ネクタを2つほど提供していただいているが、今はMicrosoftが提供しているコネクタを 利用することを推奨 Event Hubs Event Publisher Event Consumer Sumologic Splunk ArcSight https://github.com/Microsoft/AzureMonitorAddonForSplun k/blob/master/README.md
- 30. • ログ収集&分析基盤 as a Service • ハイブリッド環境を一元管理 • シンプルなクエリ言語と高速な検索基盤 • 改ざん不可、ロールベースアクセス制御も可能 ログ
- 31. どれを選択すべきか
- 32. アクティビティ ログ タイプ別診断 ログは30日 以上保存? No アーカイブ アーカイブのみ or 検索 Yes 既存の SIEM システムを利 用 検索 Yes No アラートや API を 利用してログを送信 ポータル、Power BI で確認、または Graph API などで エクスポート Azure Blob ストレージに保 存 Azure Log Analytics を 利用 Event Hubか ら SIEM へスト リーム
- 33. Demo Azure AD のログを Blob/EventHubs/LogAnalyticsへ
- 34. コスト
- 35. コスト – Blob - 長期保存 ログのカテゴリ ユーザーの数 1 日あたりのイベ ント 1 か月あたりの データ量 (概算) 1 か月あたりのコ スト (概算) 1 年あたりのコス ト (概算) サインイン 1,000 34,800 4 GB ¥14 ¥172 監査 1,000 15,000 900 MB ¥2 ¥26 サインイン 100,000 1,500 万 1.7 TB ¥3,895 ¥46,741 監査 100,000 150 万 90 GB ¥212 ¥2,543
- 36. コスト – EventHubs - 外部 SIEM 連携 ログのカテゴリ ユーザーの数 1 秒あた りのイベン ト数 5 分間隔 あたりのイ ベント数 間隔あたり の量 間隔あたりの メッセージ数 1 か月あたり のメッセージ数 1 か月あたり のコスト (概 算) 1 年あたりのコ スト (概算) 監査 1,000 0.1 52 104 KB 1 8,640 ¥1,188 ¥14,256 サインイン 1,000 178 53,400 106.8 MB 418 3,611,520 ¥1,217 ¥14,599 監査 100,000 18 5,400 10.8 MB 43 371,520 ¥1,191 ¥14,296
- 37. コスト – Azure Monitor – 分析 https://docs.microsoft.com/ja-jp/azure/azure- monitor/platform/usage-estimated-costs ログのカテゴリ ユーザーの数 1 日あたりのイベ ント 1 か月あたりの データ量 (概算) 1 か月あたりのコ スト (概算) 1 年あたりのコス ト (概算) サインイン 1,000 34,800 4 GB ¥68 ¥803 監査 1,000 15,000 900 MB ¥18 ¥200
- 38. まとめ アクティビティ セキュリティ Blob ストレージ Event Hubs Azure Monitor Azure Monitor
- 39. さらに、、 Azure AD Azure Log Analytics 利用統計情報を収集し て分析するための高度な ツール Azure Monitor Azure Sentinel Cloud native の SIEM / SOAR ソリューション New Azure AD のログもデジタルフィードバックループで インサイトを掘り起こす!Azure Sentinel のセッション! Azure AD + Azure Monitoring = SOAR : Security Orchestration Automation Response SIEM : Security Information Event Management
- 41. QR コードリーダーをご準備の上、ご参加ください 脱AD FS 待望の機能を紹介! たくさんのかたが参加されます、、
- 43. MSが Decentralized digital Identities(DID)を構想しているのをご存じですか? DID 時代の前提となる KYCの現在と少し未来を見ることができるセッションです。 Azure AD のログもデジタルフィードバックループで インサイトを掘り起こす!Azure Sentinel のセッション!
- 44. © 2018 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。 © 2019 Microsoft Corporation. All rights reserved. 本情報の内容 (添付文書、リンク先などを含む) は、de:code 2019 開催日 (2019年5月29~30日) 時点のものであり、予告なく変更される場合があります。 本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。