廃止されたインテグレーションのサービスプリンシパルの削除🔗
概要🔗
Secureworks® Taegis™ XDR で Microsoft サービスとのインテグレーションの利用を中止する際は、Entra ID(旧 Azure AD)環境における適切なセキュリティ衛生を維持するため、関連するサービスプリンシパルをクリーンアップすることが重要です。XDR からインテグレーションを削除すると、XDR はデータのポーリングを停止し、アカウントの保存された認証情報を削除しますが、インテグレーションされていたテナントからサービスプリンシパル自体は削除されません。
サービスプリンシパルとは?🔗
サービスプリンシパルは、アプリケーション、サービス、および自動化ツールが特定の Azure リソースへアクセスするために使用するセキュリティIDです。Secureworks のインテグレーションに権限を付与すると、そのアプリケーションを表すサービスプリンシパルがテナント内に作成され、付与した権限を保持します。
サービスプリンシパルはアプリケーション登録と直接関連しています:
- アプリケーション登録 はアプリケーションのグローバルな定義を表します
- サービスプリンシパル は、そのアプリケーションの特定テナント内でのローカルな表現です
サービスプリンシパルを削除する理由🔗
未使用のサービスプリンシパルを削除することで:
- テナントへの不要なアクセスを排除できます。
- 潜在的なセキュリティリスクを低減できます。
- Entra ID 環境をクリーンかつ管理しやすい状態に保てます。
- インテグレーションに以前付与したすべての権限を取り消せます。
サービスプリンシパルを削除するとどうなるか🔗
- テナント内でアプリケーションに付与されたすべての権限が取り消されます。
- アプリケーションは Microsoft リソースへアクセスできなくなります。
- このサービスプリンシパルを利用しているインテグレーションは動作しなくなります。
- Secureworks によって以前収集されたデータは、Secureworks システムから削除されません。
削除対象のサービスプリンシパル🔗
以下の表は、Secureworks が管理するアプリケーションのサービスプリンシパルのクライアントIDを示しています。XDR でこれらのインテグレーションがもはや利用されていない場合、該当するインテグレーションに関連するサービスプリンシパルを削除できます。
| インテグレーション | クライアントID | 環境 |
|---|---|---|
| Graph Security API v1 | cc4b19d5-2bcf-48d0-9633-fc1725d4f484 |
All |
| レガシー Azure Active Directory Activity Reports | e6f06a01-1202-4e41-86d4-6a0cb45011e3 |
All |
| レガシー Office 365 | d020ee65-6aec-47ff-b18f-7424c8a631df |
All |
| Azure Activity Logs | 4fdc73d3-9fdf-4b9a-95f0-0f2063ded53b |
Charlie |
| Azure Activity Logs | 392cab40-8474-4fa9-a108-9ce447bf8c18 |
Delta |
| Azure Activity Logs | 1f053f92-4e1d-4332-ba17-0f7d2ae322f3 |
Echo |
| Azure Activity Logs | 7749a2e2-d528-4cef-89c6-6323db212509 |
Foxtrot |
| Azure Active Directory Identity Protection - Risk Detection | c1eaf970-08e4-4164-910c-6ee255e0538a |
Charlie |
| Azure Active Directory Identity Protection - Risk Detection | 2ddc63c3-0dea-4e41-92b5-848908d7298f |
Delta |
| Azure Active Directory Identity Protection - Risk Detection | adcb356c-78a0-4d87-8399-e8d80605d54b |
Echo |
| Azure Active Directory Identity Protection - Risk Detection | 8551492f-4cfe-4f08-973b-83eb93d1e90e |
Foxtrot |
アプリケーション登録が統合対象のローカルアカウントで作成されるインテグレーションの場合、Integrations > Cloud APIs > Integration Name ページの Details タブを選択し、MSClientId の値を確認することでクライアントIDを確認できます。
サービスプリンシパルの削除方法🔗
以下の手順は Microsoft Entra 管理センター で実施できます。
- グローバル管理者として Microsoft Entra 管理センターにログインします。
- エンタープライズ アプリケーション に移動します。
- 削除したいサービスプリンシパルを検索して選択します。上記の表に記載のクライアントIDで検索できます。
- アプリケーションの概要ページ、またはアクションメニューを展開して 削除 を選択します。
- ダイアログボックスで削除を確認します。