cha_pppo blog

i have an unbeknown dictionary. everything is up to me.

de:code2019 SE01 Azure AD Log/Azure Monitor周りのまとめ

f:id:hrt0kmt:20190529090621j:plain

  • Session: SE01 / Azure Active Directory の ログ の "みかた" 長期保存・外部 SIEM 連携・分析手法
  • Date: 2019/05/29
  • Place: 港区芝公園ザ・プリンス パークタワー東京
  • Contents: Azure Active Directoryの監査/セキュリティログ、外部ログ連携機能、Azure Storage、Azure Event Hubs、Azure Monitorの紹介、見方、使い分け
  • Official URL

Agenda

  • Azure ADが出力するログの種類
    • そのログが何の役に立つのか
  • 消えていくログを正しく保持・管理する方法
  • 現時点でのログの"みかた"の整理

Presentation

当該セッションにて重要だと僕が思ったところを抽出した。Azure自体触ったことが無いため、誤った独自の解釈を含んでいる場合は指摘いただけると助かります。

Azure AD

  • Sign in log
    • ログへアクセスできる権限は、Global Administrator, Security Administrator, Security Reader, Reports Reader の4role。
      • 閲覧範囲は同じ。
    • サインインログでアプリケーションの利用率や行動パターン、サインイン失敗ログ、セキュリティインシデントのログが閲覧可能。
    • Refresh tokenの確認は不可。ADFS(Active Directory Federation Services)、外部IdP(Identity Provider)経由でのログイン失敗はログに記録されない。
  • 監査ログ
    • 記録されるのは、リソースの変更、user/applicationのprovisioning、パスワードリセット、PIM(Product Information Management)の評価、使用条件の許諾、Azure B2Bの招待、承諾
  • セキュリティログ
    • アクティビティログからセキュリティに関するインサイトを提供。
      • ※ 全アクションが記録される訳ではない。
    • リスクレベルを分類された攻撃が行われた可能性のあるアカウントがリストアップされる。
    • セキュリティリスクの具体的な検知内容を提供。
      • 資格情報漏洩
      • 以下のサインイン情報
        • 匿名IP Address、感染デバイス、不審なアクティビティのあるIP Address、未知の場所

f:id:hrt0kmt:20190529131041j:plain
ログの種類 (SE01)

f:id:hrt0kmt:20190529131213j:plain
ログの保持期間 (SE01)

ログの保持・管理方法

f:id:hrt0kmt:20190529131424j:plain
ログの保持・管理方法 (SE01)

  • Azure Blob

    • (ログに関しては) archive向け、長期保存用
  • Azure Events Hubs

    • 膨大なtelemetry, event情報の受信hub。
    • 外部SIEM(Security Information and Event Management)と連携が可能。

f:id:hrt0kmt:20190529131934j:plain
Azure Event Hubsとは (SE01)

  • Azure Monitor Logs (旧Log Analytics)
    • ログ収集・分析基盤
    • 高速な検索基盤
    • 改竄不可、Roleベースのアクセス制御
    • ※ 但しvisualizeが面倒という風の噂

f:id:hrt0kmt:20190529132125j:plain
Azure Monitor(LogAnalytics)とは (SE01)

Summary

  • Azure ADのログは調査・監査が目的のActivity LogとInsightを提供するSecurity Logの2種類。
  • ログの長期保存はBlob Storage、外部SIEM連携はEvent Hubs、調査・監査・分析はAzure Monitorを利用する。

Digression

  • 用途によってログの転送先は分けつつ、アクセス制御を行うことは比較的簡単に行えそうな雰囲気だった。
  • AWSだと長期保存用としてAmazon Gracierを利用するが、抽出するのが手間な為、Azure Blob StorageではオブジェクトへHTTP/HTTPS経由でダイレクトにアクセス可能なのは良いと思った。
  • de:code2019で Azure Monitor(LogAnalytics)とは (SE01) の図を3度は見た気がする。それほどアピール要素が詰まっているということか。

基調講演では、スクリーン上部に精度の高い自動翻訳が流れていた。

話の区切りで終始差し込まれるショートムービーでは、企業ミッションである 地球上のすべての人、すべての組織に関わる人たちが、より多くのことを達成する力になること を体現するかのような世界観を表しているように思えた。

www.youtube.com

AIりんなの歌声は人間そっくりで、歌自体鳥肌立つほどに上手かった(上手かった)。

f:id:hrt0kmt:20190529105211j:plain

お昼に出たお弁当はなだ万だった。1日目はThe 懐石料理という感じで肉が少なく物足りなかったが、2日目の方は唐揚げもあってとても美味しくいただけた(庶民感)。

f:id:hrt0kmt:20190529123820j:plain
なだ万弁当 day1

f:id:hrt0kmt:20190530115416j:plain
なだ万弁当 day2

以上。