方法:リスクの調査

  • [アーティクル]

Identity Protection を使用すると、お使いの環境のリスクを調査するために使用できる 3 種類のレポートが組織に提供されます。 これらのレポートは、危険なユーザー危険なサインイン、およびリスク検出です。 イベントの調査は、セキュリティ戦略の弱点を理解して識別するための鍵です。

3 つのレポートは、Azure portal の外部で詳細な分析を行うために、どれもイベントを .CSV 形式でダウンロードできます。 危険なユーザー レポートと危険なサインイン レポートでは、最新の 2,500 項目をダウンロードできます。一方、リスク検出レポートでは、最新の 5,000 レコードをダウンロードできます。

組織は、Microsoft Graph API 統合を利用して、データを組織としてアクセスできる他のソースと集計できます。

3 つのレポートは、Azure portal>[Azure Active Directory]>[セキュリティ] にあります。

各レポートは、レポートの上部に表示されている期間のすべての検出の一覧と共に起動します。 各レポートでは、管理者の設定に基づいて列を追加または削除できます。 管理者は、データを .CSV または .JSON 形式でダウンロードすることを選択できます。 レポートは、レポートの上部にあるフィルターを使用してフィルター処理できます。

個々のエントリを選択して、レポートの上部でさらにエントリを有効にすることができます (サインインが侵害されているか安全であるかを確認する機能、ユーザーが侵害されていることを確認する機能、ユーザー リスクを無視する機能など)。

個々のエントリを選択すると、検出の下に [詳細] ウィンドウが展開されます。 詳細ビューで、管理者は、各検出を調査してアクションを実行できます。

危険なユーザー

Azure portal の危険なユーザー レポート

危険なユーザー レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

  • どのユーザーにリスクがあり、リスクが修復されたか無視されたか
  • 検出の詳細
  • すべての危険なサインインの履歴
  • リスクの履歴

管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。

  • ユーザー パスワードをリセットする
  • ユーザーの侵害を確認する
  • ユーザー リスクを無視する
  • ユーザーによるサインインをブロックする
  • Microsoft Defender for Identity を使用してさらに調査する

リスクの高いサインイン

Azure portal の危険なサインイン レポート

危険なサインイン レポートには、最長で過去 30 日間 (1 か月) のフィルター可能なデータが含まれています。

危険なサインイン レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

  • どのサインインが、危険である、侵害が確認された、安全であると確認された、無視された、または修復されたと分類されているか
  • サインイン試行に関連付けられ、リアルタイムで集計されたリスク レベル
  • トリガーされた検出の種類
  • 適用された条件付きアクセス ポリシー
  • MFA の詳細
  • デバイス情報
  • アプリケーション情報
  • 場所情報

管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。

  • サインインを侵害ありと確認
  • サインインを安全と確認

注意

Identity Protection では、対話型または非対話型にかかわらず、すべての認証フローについてリスクを評価します。 危険なサインイン レポートには、対話型および非対話型サインインの両方が表示されます。このビューを変更するには、"サインインの種類" フィルターを使用します。

リスク検出

Azure portal のリスク検出レポート

リスク検出レポートには、最長で過去 90 日間 (3 か月) のフィルター可能なデータが含まれています。

リスク検出レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

  • 各リスク検出についての種類を含む情報
  • 同時にトリガーされたその他のリスク
  • サインインが試行された場所
  • Microsoft Defender for Cloud Apps から得られた情報をさらに詳しく確認するためのリンク

管理者は、ユーザーのリスク レポートまたはサインイン レポートに戻り、収集された情報に基づいてアクションを実行できます。

注意

当社のシステムでは、リスクのあるユーザーのリスク スコアに影響を与えたリスク イベントが誤検知であること、または MFA プロンプトの実行やセキュリティで保護されたパスワードの変更など、ポリシーを適用することによってユーザーのリスクが修復されたことが検出される場合があります。 その場合、リスクの状態は無視され、「AI によってサインインが安全であることが確認されました」というリスクの詳細が表示されます。また、ユーザーのリスクには影響しなくなります。

調査フレームワーク

組織は、次のフレームワークを使用して、疑わしいアクティビティについて調査を開始できます。 調査には、問題のユーザーとの会話、 サインインログの確認、または 監査ログ の確認を行う必要があります。

  1. ログを確認し、特定のユーザーに対して疑わしいアクティビティが正常であるかどうかを検証します。
    1. 少なくとも次のプロパティを含むユーザーの過去のアクティビティを調べて、それらが特定のユーザーにとって正常なことであるかどうかを確認します。
      1. Application
      2. デバイス - デバイスは登録または準拠していますか?
      3. 場所 - ユーザーは別の場所に移動したり、複数の場所からデバイスにアクセスしたりしますか?
      4. IP アドレス
      5. ユーザー エージェント文字列
    2. Microsoft Sentinel などの他のセキュリティツールにアクセスできる場合は、より大きな問題を示すアラートがあるかどうかを確認してください。
  2. ユーザーに連絡して、サインインが認識されているかどうかを確認します。 電子メールや Teams などのメソッドが侵害される可能性があります。
    1. 次のような情報を確認します。
      1. Application
      2. Device
      3. 場所
      4. IP アドレス

Azure AD 脅威インテリジェンスの検出

Azure AD 脅威インテリジェンスのリスク検出を調査するには、次の手順を実行します。

検出に関する詳細情報を次に示します。

  1. 疑わしい IP アドレスからのサインイン:
    1. IP アドレスが環境内で疑わしい動作を示しているかどうかを確認します。
    2. ディレクトリ内でユーザーまたはユーザーのセットに対して、IP によって多数のエラーが生成されていますか?
    3. IP のトラフィックが予期しないプロトコルまたはアプリケーションから送信されていますか (従来のプロトコル Exchange など)?
    4. IP アドレスがクラウド サービス プロバイダーに対応している場合は、同じ IP から実行される正当なエンタープライズ アプリケーションが存在しないことをルールによって除外します。
  2. このアカウントは、次のようにパスワード スプレーによって攻撃されました。
    1. ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。
    2. 他のユーザーに、同じ期間内に検出されたサインインで似たような特殊なパターンを持つサインインがありますか? パスワード スプレー攻撃では、次のような特殊なパターンが表示されることがあります。
      1. ユーザー エージェント文字列
      2. Application
      3. Protocol
      4. IP/ASN の範囲
      5. サインインの時刻と頻度

次の手順