MS365でおかしなログインがないか調べてみた。

MS365において不正なアクセスをしている場合、どうやったらいいのか調べてみた。

自分だけを調べる場合

自分だけ調べる場合には、以下のアクティビティを見るとよい

My Sign-Ins

中を見ると以下のような画面

いつ頃、どこから、OS、ブラウザ、IP、アカウント名がわかる。

テナント全体のを見る場合には

Azure Active Directory Identity Protectionで確認する。
Docsは以下

Azure Active Directory Identity Protection とは - Microsoft Entra

アクセスするためには

以下のリンクから見ることができる。

Microsoft Azure

危険なユーザを見てみる

以下のような画面が見れる。
誰が、いつ頃おかしなログインをしたのか、を表示してくれる。

危険なサインインを見てみる

いつ、誰が、どのIPアドレスの、何処の場所から、怪しいアクセスしたのか
を表示してくれる。

これらはログインできたもので怪しいものを表示するもの。失敗したのはどうやって見るのか。

サインインログ

Azure portal - Active Directory - サインイン ログを開くと以下の画面が出てくる。

失敗ログを見るためには下記のように「状態」フィルタを追加し、「失敗」で絞り込むことで確認することができる。

この状態で出たログに対して、日本以外のアクセスがあった場合には怪しいログインがあると判定するなどの基準を設けて調べることで怪しいアクセスを調べられる。

次のアクション

今回は今現在私が行っている調べ方をアウトプットした。
次回はdocを読み解き、アラート発信やアラート発生時に対しての自動対応などについて調べられたらと考える。