問題
条件付きアクセスポリシーを使用するEntra IDテナントがあります。
サードパーティのセキュリティ情報とイベント管理(SIEM)を使用して、条件付きアクセスの使用状況を分析する予定です。
管理ポータルを使用して、Entra ID ログをダウンロードする必要があります。
ログファイルには、条件付きアクセスポリシーの変更が含まれている必要があります。
Entar IDから何をエクスポートする必要がありますか?
1. CSV形式の監査ログ
2. CSV形式のサインインログ
3. JSON形式の監査ログ
4. JSON形式でのサインインログ
回答
3.JSON形式の監査ログ
解説
前提知識 SIEMとは
Security Information and Event Managementの略で、ネットワークの監視、サイバー攻撃やマルウェア感染などのインシデント検知を目的として、ログなどから相関分析を行う仕組みやサービス
一気にファイルをダウンロードしてたら怪しいけど、日を分けて少しずつダウンロードしていたらログ上は正常に見える。
といったような操作をSIEMではログの積み重ねて分析し、情報漏洩の可能性を見つけ出す。
複数のログや詳細なログで、数が多いほど精度は上がる。一方で分析対象のログ量によって費用が大きく上がることがあるので、注意が必要。
監査ログ(Audit Log)
Microsoft Entra ID でログに記録されたすべてのイベントに関する包括的なレポート。アプリケーション、ユーザー、ライセンスへの全ての変更が監査ログにキャプチャされる。
条件付きアクセスのポリシー作成・変更・削除に関する情報も記載される。
※監査ログは2019年1月以前に開設されたテナントでは有効化されていないため有効化が必要
サインインログ
ユーザーのサインイン試行に関する情報が記載される。
条件付きアクセスの適用、未適用も掲載される。
サインインの場所に表示される住所は正確ではない可能性があるので、送信元を確認する時はIPアドレスをチェックする。
ログのエクスポート
Entra IDのサインインや監査ログなどは保持期間が決まっている。
Entra ID Free > 7日
Entra ID P1、P2 > 30日
そのため、保持期間以上のログの保持が必要な場合は、Azureのストレージサービスに送るか、ファイルとしてエクスポートが必要。
ログエクスポートの形式にはcsvとJSON形式があり、csvでは最大50,000件、JSONでは最大250,000件のログをエクスポートできる。
SIEM分析はより多くのログがある方が好ましいため、JSON形式が適切。
また、問題文の要件に「ログファイルには、条件付きアクセスポリシーの変更が含まれている必要があります」とあるので、監査ログが適している。
コメント