ケーススタディ2 - Litware, Inc.
概要
Litware, Inc. は、Fabrikam, Inc. という子会社を持つ製薬会社です。
Litware はボストンとシアトルにオフィスを構えていますが、従業員は全米各地にいます。
従業員は、VPN 接続を使用してどちらかのオフィスにリモートで接続します。
既存の環境。環境を特定する
ネットワークには、litware.com という名前の Active Directory フォレストが含まれており、これは litware.com という名前の Azure Active Directory (Azure AD) テナントにリンクされています。Azure AD Connect ではパススルー認証が使用され、パスワード ハッシュ同期は無効になっています。
Litware.com には、すべてのアプリケーション開発を監督する User1 というユーザーがいます。
Litware は Azure AD アプリケーション プロキシを実装します。
Fabrikam には fabrikam.com という Azure AD テナントがあります。Fabrikam のユーザーは、litware.com テナントのゲスト アカウントを使用して litware.com のリソースにアクセスします。
既存環境。クラウド環境
Litware の全ユーザーは Microsoft 365 Enterprise E5 ライセンスを保有しています。Microsoft Cloud App Security に組み込まれている異常検出ポリシーはすべて有効になっています。
Litware には、litware.com Azure AD テナントに関連付けられた Azure サブスクリプションがあります。このサブスクリプションには、Azure Active Directory コネクタと Office 365 コネクタを使用する Azure Sentinel インスタンスが含まれています。Azure Sentinel は現在、Azure AD サインインログと監査ログを収集しています。
既存の環境。オンプレミス環境
オンプレミス ネットワークには、次の表に示すサーバーが含まれています。
Litware の両オフィスはインターネットに直接接続しています。両オフィスは、サイト間 VPN 接続を使用して Azure サブスクリプション内の仮想ネットワークに接続しています。オンプレミスのすべてのドメイン コントローラーはインターネットへのアクセスをブロックされています。
要件。委任要件
Litware では、次の委任要件が特定されています。
* Azure AD Privileged Identity Management (PIM) を使用して、特権ロールの管理を委任します。
* 権限のないユーザーが litware.com Azure AD テナントにアプリケーションを登録できないようにします。
* アイデンティティ ガバナンスにはカスタム カタログとカスタム プログラムを使用します。
* User1 が Azure AD でエンタープライズ アプリケーションを作成できることを確認します。
* 最小権限の原則を使用します。
要件。ライセンス要件
Litware は最近、litware.com Active Directory フォレストに LWLicenses というカスタム ユーザー属性を追加しました。Litware は、LWLicenses 属性の値を変更することで、Azure AD ライセンスの割り当てを管理したいと考えています。LWLicenses に適切な値を持つユーザーは、適切なライセンスが割り当てられている Microsoft 365 グループに自動的に追加される必要があります。
要件。管理要件
Litware は、Litware のすべての Azure AD ユーザー アカウントを含み、すべての Azure AD ゲスト アカウントを除外する、LWGroup1 という名前のグループを作成したいと考えています。
要件。認証要件
Litware では、次の認証要件が識別されます。
* すべての Litware ユーザーに対して多要素認証 (MFA) を実装します。
* Litware のボストン オフィスから Azure AD への認証に MFA を使用するユーザーを除外します。
* litware.com フォレストの禁止パスワード リストを実装します。
* オンプレミスのアプリケーションにアクセスするときに MFA を適用します。
* 外部に漏洩した資格情報を自動的に検出し、修正します。
要件。アクセス要件
Litware では次のアクセス要件が特定されています。
* 条件付きアクセス ポリシーを使用して、すべての Azure リソースと Azure AD アプリケーションへのすべてのアクセスを制御します。
* Microsoft SharePoint Online のセッション制御を備えた条件付きアクセス ポリシーを実装します。
* Azure AD のアクセス レビューを使用して、アプリケーションへの特権アクセスを制御します。
要件。監視要件
Litware は、Azure Sentinel の Fusion ルールを使用して、疑わしい Azure AD サインインとそれに続く異常な Microsoft Office 365 アクティビティの組み合わせを含む多段階の攻撃を検出したいと考えています。
漏洩した資格情報に対する認証要件を満たす必要があります。
何をすべきでしょうか?
概要
Litware, Inc. は、Fabrikam, Inc. という子会社を持つ製薬会社です。
Litware はボストンとシアトルにオフィスを構えていますが、従業員は全米各地にいます。
従業員は、VPN 接続を使用してどちらかのオフィスにリモートで接続します。
既存の環境。環境を特定する
ネットワークには、litware.com という名前の Active Directory フォレストが含まれており、これは litware.com という名前の Azure Active Directory (Azure AD) テナントにリンクされています。Azure AD Connect ではパススルー認証が使用され、パスワード ハッシュ同期は無効になっています。
Litware.com には、すべてのアプリケーション開発を監督する User1 というユーザーがいます。
Litware は Azure AD アプリケーション プロキシを実装します。
Fabrikam には fabrikam.com という Azure AD テナントがあります。Fabrikam のユーザーは、litware.com テナントのゲスト アカウントを使用して litware.com のリソースにアクセスします。
既存環境。クラウド環境
Litware の全ユーザーは Microsoft 365 Enterprise E5 ライセンスを保有しています。Microsoft Cloud App Security に組み込まれている異常検出ポリシーはすべて有効になっています。
Litware には、litware.com Azure AD テナントに関連付けられた Azure サブスクリプションがあります。このサブスクリプションには、Azure Active Directory コネクタと Office 365 コネクタを使用する Azure Sentinel インスタンスが含まれています。Azure Sentinel は現在、Azure AD サインインログと監査ログを収集しています。
既存の環境。オンプレミス環境
オンプレミス ネットワークには、次の表に示すサーバーが含まれています。
Litware の両オフィスはインターネットに直接接続しています。両オフィスは、サイト間 VPN 接続を使用して Azure サブスクリプション内の仮想ネットワークに接続しています。オンプレミスのすべてのドメイン コントローラーはインターネットへのアクセスをブロックされています。
要件。委任要件
Litware では、次の委任要件が特定されています。
* Azure AD Privileged Identity Management (PIM) を使用して、特権ロールの管理を委任します。
* 権限のないユーザーが litware.com Azure AD テナントにアプリケーションを登録できないようにします。
* アイデンティティ ガバナンスにはカスタム カタログとカスタム プログラムを使用します。
* User1 が Azure AD でエンタープライズ アプリケーションを作成できることを確認します。
* 最小権限の原則を使用します。
要件。ライセンス要件
Litware は最近、litware.com Active Directory フォレストに LWLicenses というカスタム ユーザー属性を追加しました。Litware は、LWLicenses 属性の値を変更することで、Azure AD ライセンスの割り当てを管理したいと考えています。LWLicenses に適切な値を持つユーザーは、適切なライセンスが割り当てられている Microsoft 365 グループに自動的に追加される必要があります。
要件。管理要件
Litware は、Litware のすべての Azure AD ユーザー アカウントを含み、すべての Azure AD ゲスト アカウントを除外する、LWGroup1 という名前のグループを作成したいと考えています。
要件。認証要件
Litware では、次の認証要件が識別されます。
* すべての Litware ユーザーに対して多要素認証 (MFA) を実装します。
* Litware のボストン オフィスから Azure AD への認証に MFA を使用するユーザーを除外します。
* litware.com フォレストの禁止パスワード リストを実装します。
* オンプレミスのアプリケーションにアクセスするときに MFA を適用します。
* 外部に漏洩した資格情報を自動的に検出し、修正します。
要件。アクセス要件
Litware では次のアクセス要件が特定されています。
* 条件付きアクセス ポリシーを使用して、すべての Azure リソースと Azure AD アプリケーションへのすべてのアクセスを制御します。
* Microsoft SharePoint Online のセッション制御を備えた条件付きアクセス ポリシーを実装します。
* Azure AD のアクセス レビューを使用して、アプリケーションへの特権アクセスを制御します。
要件。監視要件
Litware は、Azure Sentinel の Fusion ルールを使用して、疑わしい Azure AD サインインとそれに続く異常な Microsoft Office 365 アクティビティの組み合わせを含む多段階の攻撃を検出したいと考えています。
漏洩した資格情報に対する認証要件を満たす必要があります。
何をすべきでしょうか?
