皆さんこんにちは。国井です。
先日、たまたまPower BIを利用する機会があり、ソースにAzure Active Directoryを選択できることを知り、追加してみました。
Azure ADのログを可視化するサービスは色々あるけど、Power BIとの組み合わせの場合、どんな特徴があるのか、探っていくことにします。
まずは実装
Power BIはOffice365の管理ポータルからライセンスを購入する画面から追加できます。
追加すると、Office365のランチャーからPower BIを選択できます。
Power BIを起動したら、[Microsoft AppSource]からサービスの[取得]をクリックします。
取得可能なサービスの一覧から[アプリ]-[Azure Active Directory Activity Logs]をクリック
Azure ADに接続します。ログ収集を行うテナントのドメイン名を入力し、
OAuth2を選択してサインインすると、OAuthではおなじみの画面が出てきます。
OAuthによる認可が完了すると、Azure ADのログを取り込み、Power BIで可視化してくれます。
可視化されるものは?
では、可視化された結果を見ながら特徴を見ていきましょう。
まず、最初に抑えておきたいのはPower BIに取り込まれるのは、サインイン履歴であって、監査ログ(管理作業の履歴)ではないってこと。ですので、管理者権限が乗っ取られた場合については、Power BIで見るべきところは、もうありません。
画面に目を移すと、画面左上で日付ごとのサインイン状況やアプリへのアクセス状況の統計が確認できます。これは導入したAzure ADが使われているか確認するときに役立ちそうですね。
次に、画面右上のサインイン場所について。IPアドレスをベースにした地図へのプロット結果が表示されますが、一覧が表示されるだけで、Azure AD Identity Protectionのようなアノーマリーを見つけてくれるわけではありません。この辺は可視化に特化しているツールであって、異常検出ではないことがはっきりわかります。
あと、こういう地図が出てくるときには、いつもお話ししていることですが、地図は参考程度に見ておいたほうがよいです。実際、東京にいるときにテザリングでネットに接続すれば、接続した場所が大阪って出ることもよくあるぐらいなので。。
画面をスクロールすると、接続時のアプリ(ブラウザー種類)や、OS種類、さらにはAzure AD経由でアクセスしたアプリ(クラウドサービス等)を確認できます。これらはAzure ADに接続したときのパケットからHTTPヘッダーのUser-Agentを参照しています。
こうした結果を見ていたら、アプリの一覧に「busbuy.live-int.com」という見慣れないアプリ(URL)がありました(Best Buyの間違い??)。クリックして、詳細を表示すると、ご覧のとおりの結果をご覧になれます。サイトのIPアドレスが表示されているので、このIPアドレスを検索エンジンでさらに調べてみると、Microsoftが所有しているらしいとの結果が確認できました。(ということはマイクロソフトが利用しているアプリということなのかな?)
調査はここまでで止めてしまいましたが、少なくとも怪しいサービスではないことはわかりました。このように、Power BIでは良いものも、悪いものも含めてフラットに表示してくれるので、その中から不正アクセスを見つけることができるかが大きなポイントになります。それを自動化したいということであれば、Azure AD Identity Protectionを使う、そんな使い分けになると思います。
じゃあ、どんなときに有効なの?
私なりの解釈では、Azure ADが会社のルールに沿って使われているか、コンプライアンス上の要件に沿って使われているかを確認するためのツールだと思います。Azure AD自体、これから導入するという会社が多いだろうから、既に無法地帯というAzure ADは無いだろうけど、今後、誰が管理しているのだかわからないようなAzure ADも(残念ながら)出てくるのではないかと思います。その時に、Power BIで可視化し、自分たちの会社の状況を知り、不正アクセスがあったかどうかはともかく、まずはAzure ADをマトモな使い方に戻していきましょう。というアクションにつなげていくことができるのではないかと考えています。
あと、Power BIが収集するログはクラウドに保存されているものだけが対象です。よくトレーニングで30日以上経過したログ(Azure AD Freeの場合は7日)はクラウドから削除されるので、事前にローカルにダウンロードしておきましょうとお話ししていますが、ローカルにダウンロードしたログはPower BIの対象ではありません。もし、それを可視化の対象にしたければ、ExcelからPower BIを実行するなどの工夫が必要になります。
