Sumo LogicでAzure Active Directoryを見てみよう(Azure版)

  • クラウドセキュリティー
  • ゲートウェイセキュリティー
  • 分析
  • 2021.01.19

Sumo LogicはクラウドベースのSIEMサービスです。さまざまなログを取り込んでわかりやすく可視化することができます。今回は、Azure Active Directoryを可視化し、リスクに関する分析を視覚的に表示してみましょう。


Sumo Logicの詳細はこちら

概要

操作名、監査イベント カテゴリー、ログレベル、結果タイプを含む、Azure Active Directory アクティビティーの概要を表示します。

Azure Active Directory概要

  • Operation Name (操作名) ・・・①
    過去 24 時間の操作の名前と発生件数を横棒グラフで表示します。
  • Operation Name - One Day Time Comparison (操作名 - 1 日の時間比較)・・・②
    過去 24 時間に発生した操作の名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Log Level Breakdown (ログ レベルの内訳)・・・③
    過去 24 時間のログのレベルの内訳を円グラフで表示します。
  • Audit Event Category Breakdown (監査イベント カテゴリーの内訳)・・・④
    過去 24 時間の監査イベントのカテゴリーの内訳と件数を横棒グラフで表示します。
  • Audit Event Category - One Day Time Comparison (監査イベント カテゴリー - 1 日の時間比較)・・・⑤
    過去 24 時間の監査イベントのカテゴリーと件数を含む集計テーブルを表示し、1 日前のカテゴリーの件数と比較します。
  • ResultType Breakdown (結果タイプの内訳)・・・⑥
    過去 24 時間の結果のタイプ (成功または失敗) の内訳を円グラフで表示します。
  • Geo Location of Events (イベントの地理的ロケーション)・・・⑦
    ジオ ルックアップ クエリーを実行し、過去 24 時間のイベントのロケーションと数を世界地図の上に表示します。
  • Category Breakdown (カテゴリーの内訳)・・・⑧
    過去 24 時間のカテゴリーの内訳を円グラフで表示します。

ロール管理

ロールの更新、成功イベント、ロールに追加されたユーザー、ロールから削除されたユーザーを含む、Azure Active Directory でのロール管理に関する情報を表示します。

ロール管理

  • Operation Name (操作名)・・・①
    過去 24 時間のロール管理操作の名前と発生件数を横棒グラフで表示します。
  • Operation Name - One Day Time Comparison (操作名 - 1 日の時間比較)・・・②
    過去 24 時間に発生したロール管理操作の名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Operation Name Over Time (操作名の経時変化)・・・③
    過去 24 時間のロール管理操作の件数と名前を折れ線グラフで表示します。
  • Failed Events (失敗イベント)・・・④
    過去 24 時間の失敗イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Successful Events (成功イベント)・・・⑤
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ターゲット名、およびターゲット Source 名です。
  • Breakdown by Results (結果別内訳)・・・⑥
    過去 24 時間の結果のタイプ (成功または失敗) の内訳を円グラフで表示します。
  • Role Updates (ロールの更新)・・・⑦
    過去 24 時間のロールの更新に関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ロール名、ターゲット Source 名、および件数です。
  • Added/Removed User from Role (ロールへのユーザーの追加/削除)・・・⑧
    過去 24 時間のロールへのユーザーの追加または削除に関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ユーザー名、およびターゲット Source 名です。

ユーザー管理

外部ユーザーの招待、更新および削除されたユーザー、追加されたユーザー、ユーザー管理イベントの外れ値を含む、Azure Active Directory でのユーザー管理に関する情報を表示します。

ユーザー管理

  • Operation Name (操作名)・・・①
    過去 24 時間のユーザー管理操作の名前と発生件数を横棒グラフで表示します。
  • Operation Name - One Day Time Comparison (操作名 - 1 日の時間比較)・・・②
    過去 24 時間に発生したユーザー管理操作の名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Operation Name Over Time (操作名の経時変化)・・・③
    過去 24 時間のユーザー管理操作の件数と名前を折れ線グラフで表示します。
  • Failed Events (失敗イベント)・・・④
    過去 24 時間の失敗イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Successful Events (成功イベント)・・・⑤
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、操作名、ID、結果タイプ、および件数です。
  • Breakdown by Results (結果別内訳)・・・⑥
    過去 24 時間の結果のタイプ (成功または失敗) の内訳を円グラフで表示します。
  • Invite External User (外部ユーザーの招待)・・・⑦
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、時間、操作名、結果タイプ、ターゲット Source 名、ID、結果の説明、および件数です。
  • Add User (ユーザーの追加)・・・⑧
    過去 24 時間に追加されたユーザーに関する集計テーブルを表示します。含まれる列は、時間、操作名、結果タイプ、ターゲット Source 名、ID、および件数です。
  • Updated User (更新されたユーザー)・・・⑨
    過去 24 時間に更新されたユーザーに関する集計テーブルを表示します。含まれる列は、時間、操作名、結果タイプ、ターゲット Source 名、ID、および件数です。
  • Deleted User (削除されたユーザー)・・・⑩
    過去 24 時間に削除されたユーザーに関する集計テーブルを表示します。含まれる列は、時間、操作名、結果タイプ、ターゲット Source 名、ID、および件数です。
  • User Management Events - Outlier (ユーザー管理イベント - 外れ値)・・・⑪
    過去 24 時間のユーザー管理イベントの外れ値、件数、しきい値を折れ線グラフで表示します。

アプリケーション管理

アプリケーションの同意、削除されたアプリケーション、追加または更新されたアプリケーション、サービス プリンシパルの更新を含む、Azure Active Directory でのアプリケーション管理に関する情報を表示します。

アプリケーション管理

  • Operation Name (操作名)・・・①
    過去 24 時間のアプリケーション管理操作の名前と発生件数を横棒グラフで表示します。
  • Operation Name - One Day Time Comparison (操作名 - 1 日の時間比較)・・・②
    過去 24 時間に発生したアプリケーション管理操作の名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Operation Name Over Time (操作名の経時変化)・・・③
    過去 24 時間のアプリケーション管理操作の件数と名前を折れ線グラフで表示します。
  • Failed Events (失敗イベント)・・・④
    過去 24 時間の失敗イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Successful Events (成功イベント)・・・⑤
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Breakdown by Results (結果別内訳)・・・⑥
    過去 24 時間の結果のタイプ (成功または失敗) の内訳を円グラフで表示します。
  • Application Management Events - Outlier (アプリケーション管理イベント - 外れ値)・・・⑦
    過去 24 時間のアプリケーション管理イベントの外れ値、件数、しきい値を折れ線グラフで表示します。
  • Deleted Applications (削除されたアプリケーション)・・・⑧
    過去 24 時間に削除されたアプリケーションに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ターゲット Source 名、および件数です。
  • Service Principal Updates (サービス プリンシパルの更新)・・・⑨
    過去 24 時間のサービス プリンシパルの更新に関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ターゲット Source 名、および件数です。
  • Consent Given to Application (アプリケーションへの同意)・・・⑩
    過去 24 時間のアプリケーションへの同意に関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ターゲット Source 名、および件数です。
  • Applications Added or Updated (追加または更新されたアプリケーション)・・・⑪
    過去 24 時間に追加または更新されたアプリケーションに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ターゲット Source 名、および件数です。

ディレクトリー管理

失敗イベント、成功イベント、デスクトップ SSO の無効化を含む、Azure Active Directory でのディレクトリー管理に関する情報を表示します。

ディレクトリー管理

  • Operation Name (操作名)・・・①
    過去 24 時間のディレクトリー管理操作の名前と発生件数を横棒グラフで表示します。
  • Operation Name - One Day Time Comparison (操作名 - 1 日の時間比較)・・・②
    過去 24 時間に発生したディレクトリー管理操作の名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Operation Name Over Time (操作名の経時変化)・・・③
    過去 24 時間のディレクトリー管理操作の件数と名前を折れ線グラフで表示します。
  • Failed Events (失敗イベント)・・・④
    過去 24 時間の失敗イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Successful Events (成功イベント)・・・⑤
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Breakdown by Results (結果別内訳)・・・⑥
    過去 24 時間の結果のタイプ (成功または失敗) の内訳を円グラフで表示します。
  • Disable Desktop SSO (デスクトップ SSO の無効化)・・・⑦
    過去 24 時間に無効化されたデスクトップ SSO に関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ターゲット Source 名、および件数です。

グループ管理

追加されたグループ、グループに追加されたメンバーとグループから削除されたメンバーのリストを含む、Azure Active Directory でのグループ管理に関する情報を表示します。

グループ管理

  • Operation Name (操作名)・・・①
    過去 24 時間のグループ管理操作の名前と発生件数を横棒グラフで表示します。
  • Operation Name - One Day Time Comparison (操作名 - 1 日の時間比較)・・・②
    過去 24 時間に発生したグループ管理操作の名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Operations Over Time (操作の経時変化)・・・③
    過去 24 時間のグループ管理操作の件数と名前を折れ線グラフで表示します。
  • Failed Events (失敗イベント)・・・④
    過去 24 時間の失敗イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Successful Events (成功イベント)・・・⑤
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、および件数です。
  • Members Added/Removed (追加/削除されたメンバー)・・・⑥
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、時間、操作名、結果タイプ、ターゲット Source 名、ID、表示名、および件数です。
  • Groups Added (追加されたグループ)・・・⑦
    過去 24 時間に追加されたグループに関する集計テーブルを表示します。含まれる列は、時間、操作名、結果タイプ、ターゲット Source 名、ID、および件数です。
  • Breakdown by Results (結果別内訳)・・・⑧
    過去 24 時間の結果のタイプ (成功または失敗) の内訳を円グラフで表示します。

認証/認可

認証/認可された名前、成功および失敗した認可イベント、結果の内訳を含む、Azure Active Directory での認証/認可に関する情報を表示します。

認証/認可

  • Operation Name (操作名)・・・①
    過去 24 時間の認証/認可の名前と発生件数を横棒グラフで表示します。
  • Operation Name - One Day Time Comparison (操作名 - 1 日の時間比較)・・・②
    過去 24 時間に発生した認証/認可の名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Operations Over Time (操作の経時変化)・・・③
    過去 24 時間の認証/認可の件数と名前を折れ線グラフで表示します。
  • Successful Events (成功イベント)・・・④
    過去 24 時間の成功イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ターゲット Source 名、ID、および件数です。
  • Failed Events (失敗イベント)・・・⑤
    過去 24 時間の失敗イベントに関する集計テーブルを表示します。含まれる列は、操作名、結果タイプ、結果の説明、ID、ターゲット Source 名、および件数です。
  • Breakdown by Results (結果別内訳)・・・⑥
    過去 24 時間の結果のタイプ (成功または失敗) の内訳を円グラフで表示します。

認証成功

サインイン アクティビティーの地理的ロケーション、危険なサインイン、ブラウザーおよびアプリケーション別内訳、ログイン回数の異常値を含む、Azure AD での成功サインイン イベントに関する情報を表示します。

認証成功

  • Geo Location of Sign-in (サインインの地理的ロケーション)・・・①
    ジオ ルックアップ クエリーを実行し、過去 24 時間の成功サインイン イベントのロケーションと数を世界地図の上に表示します。
  • Sign-In by User - One Day Time Comparison (ユーザーによるサインイン - 1 日の時間比較)・・・②
    過去 24 時間にサインイン イベントに成功したユーザの名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Breakdown by OS (OS 別内訳)・・・③
    サインイン イベントの発生元であるオペレーティング システムの内訳を表示します。
  • Risky Sign In (危険なサインイン)・・・④
    危険な成功サインイン イベントを表示します。
  • Top 10 Active Users (上位 10 人のアクティブなユーザー)・・・⑤
    サインインに成功した上位 10 人のアクティブなユーザーを表示します。
  • Break Down by Browser (ブラウザー別内訳)・・・⑥
    サインイン イベントの発生元であるブラウザーの内訳を表示します。
  • Sign In by User Over Time (ユーザーによるサインインの経時変化)・・・⑦
    成功サインイン イベントの経時的な傾向を表示します。
  • Breakdown by Country, State, City (国、州、都市別内訳)・・・⑧
    国、州、都市別の内訳を表示します。
  • Sign in by Application (アプリケーションによるサインイン)・・・⑨
    アプリケーションによる成功サインイン イベントを表示します。
  • Anomaly in Total Login Count (総ログイン回数の異常値)・・・⑩
    過去 7 日間の総成功ログイン回数の異常値を表示します。

認証失敗

サインイン アクティビティーの地理的ロケーション、危険なサインイン、ブラウザーおよびアプリケーション別の内訳、ログイン回数の異常値を含む、Azure AD での失敗したサインイン イベントに関する情報を表示します。

認証失敗

  • Geo Location of Sign-in (サインインの地理的ロケーション)・・・①
    ジオ ルックアップ クエリーを実行し、過去 24 時間の失敗サインイン イベントのロケーションと数を世界地図の上に表示します。
  • Sign-In by User - One Day Time Comparison (ユーザーによるサインイン - 1 日の時間比較)・・・②
    過去 24 時間にサインイン イベントに失敗したユーザーの名前と件数を含む集計テーブルを表示し、1 日前の操作の件数と比較します。
  • Breakdown by OS (OS 別内訳)・・・③
    サインイン イベントの発生元であるオペレーティング システムの内訳を表示します。
  • Failure Sign In Table (失敗サインイン テーブル)・・・④
    過去 24 時間の失敗サインイン イベントに関する集計テーブルを表示します。含まれる列は、日時、ID、エラー コード、説明、IP アドレス、州、都市、国、および Source アプリケーション名と件数です。
  • Risky Sign In (危険なサインイン)・・・⑤
    危険な失敗サインイン イベントを表示します。
  • Top 10 Active Users (上位 10 人のアクティブなユーザー)・・・⑥
    サインインに失敗した上位 10 人のアクティブなユーザーを表示します。
  • Break Down by Browser (ブラウザー別内訳)・・・⑦
    サインイン イベントの発生元であるブラウザーの内訳を表示します。
  • Sign In by User Over Time (ユーザーによるサインインの経時変化)・・・⑧
    失敗サインイン イベントの経時的な傾向を表示します。
  • Breakdown by Country, State, City (国、州、都市別内訳)・・・⑨
    国、州、都市別の内訳を表示します。
  • Sign in by Application (アプリケーションによるサインイン)・・・⑩
    アプリケーションによる失敗サインイン イベントを表示します。
  • Anomaly in Total Login Count (総ログイン回数の異常値)・・・⑪
    過去 7 日間の総失敗ログイン回数の異常値を表示します。



Sumo Logicは、このように専門家不要のクラウドSIEMサービスです。
お問合せはこちらからどうぞ。

おすすめ記事

【デモ動画】クラウドセキュリティー
ソリューション
「Uniadex CloudPas」

Sumo Logicで
Active Directoryを
見てみよう(オンプレ版)

1分で分かるかも?
「Zero Trust」
~全ては信用できない世界に~