インシデント - リファレンス ガイド
注意
プレビュー段階のアラートについて: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が記載されています。
この記事では、Microsoft Defender for Cloud と、有効にした Microsoft Defender プランから受け取る可能性があるインシデントの一覧を示します。 お使いの環境で示されるインシデントは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
セキュリティ インシデントは、アラートと、エンティティを共有する攻撃ストーリーとの相関関係です。 たとえば、リソース、IP アドレス、ユーザーは、キル チェーン パターンを共有します。
インシデントを選択すると、インシデントに関連するすべてのアラートを表示し、詳細情報を確認できます。
セキュリティ インシデントを管理する方法について確認してください。
注意
同じアラートが 1 つのインシデントに含まれることもあれば、スタンドアロン アラートとして表示されることもあります。
セキュリティ インシデント
アラート: | 説明 | Severity |
---|---|---|
Security incident detected suspicious user activity (セキュリティ インシデントで疑わしいユーザー アクティビティが検出されました) (プレビュー) | このインシデントは、環境内の疑わしいユーザー操作を示します。 異なる Defender for Cloud プランからの複数のアラートがこのユーザーによってトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 このアクティビティは正当なものである可能性がありますが、脅威アクターがこのような操作を利用して、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、悪意のある意図を持って使用されていることを示している可能性があります。 | 高 |
Security incident detected suspicious service principal activity (セキュリティ インシデントで疑わしいサービス プリンシパル アクティビティが検出されました) (プレビュー) | このインシデントは、環境内の疑わしいサービス プリンシパル操作を示します。 異なる Defender for Cloud プランからの複数のアラートがこのサービス プリンシパルによってトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 このアクティビティは正当なものである可能性がありますが、脅威アクターがこのような操作を利用して、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 高 |
Security incident detected suspicious crypto mining activity (セキュリティ インシデントで疑わしい暗号資産マイニング アクティビティが検出されました) (プレビュー) | シナリオ 1: このインシデントは、疑わしいユーザーまたはサービス プリンシパルのアクティビティの後に、疑わしい暗号資産マイニング アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアカウント アクティビティは、脅威アクターが環境への不正アクセスを取得したことを示している可能性があり、後続の暗号資産マイニング アクティビティは、リソースの侵害に成功し、それを暗号資産のマイニングに使用していることを示唆している可能性があります。これにより、組織のコストが増加する可能性があります。 シナリオ 2: このインシデントは、同じ仮想マシン リソースに対するブルート フォース攻撃の後に、疑わしい暗号資産マイニング アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 仮想マシンに対するブルート フォース攻撃は、脅威アクターが環境への不正アクセスを取得しようとしていることを示している可能性があり、後続の暗号資産マイニング アクティビティは、リソースの侵害に成功し、それを暗号資産のマイニングに使用していることを示唆している可能性があります。これにより、組織のコストが増加する可能性があります。 |
高 |
Security incident detected suspicious Key Vault activity (セキュリティ インシデントで疑わしい Key Vault アクティビティが検出されました) (プレビュー) | シナリオ 1: このインシデントは、Key Vault の使用に関連する疑わしいアクティビティが環境内で検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートがこのユーザーまたはサービス プリンシパルによってトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしい Key Vault アクティビティは、脅威アクターがキー、シークレット、証明書などの機密データへのアクセスを試み、アカウントが侵害され、悪意のある意図で使用されていることを示している可能性があります。 シナリオ 2: このインシデントは、Key Vault の使用に関連する疑わしいアクティビティが環境内で検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしい Key Vault アクティビティは、脅威アクターがキー、シークレット、証明書などの機密データへのアクセスを試み、アカウントが侵害され、悪意のある意図で使用されていることを示している可能性があります。 シナリオ 3: このインシデントは、Key Vault の使用に関連する疑わしいアクティビティが環境内で検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしい Key Vault アクティビティは、脅威アクターがキー、シークレット、証明書などの機密データへのアクセスを試み、アカウントが侵害され、悪意のある意図で使用されていることを示している可能性があります。 |
高 |
Security incident detected suspicious SAS activity (セキュリティ インシデントで疑わしい SAS アクティビティが検出されました) (プレビュー) | このインシデントは、SAS トークンの誤用の可能性の後に疑わしいアクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 SAS トークンの使用は、脅威アクターがストレージ アカウントへの不正アクセスを取得し、機密データへのアクセスまたは流出を試みていることを示している可能性があります。 | 高 |
Security incident detected anomalous geographical location activity (セキュリティ インシデントで異常な地理的な場所のアクティビティが検出されました) (プレビュー) | シナリオ 1: このインシデントは、異常な地理的な場所のアクティビティが環境内で検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 異常な場所から発生した疑わしいアクティビティは、脅威アクターが環境への不正アクセスを取得し、侵害しようとしていることを示している可能性があります。 シナリオ 2: このインシデントは、異常な地理的な場所のアクティビティが環境内で検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 異常な場所から発生した疑わしいアクティビティは、脅威アクターが環境への不正アクセスを取得し、侵害しようとしていることを示している可能性があります。 |
高 |
Security incident detected suspicious IP activity (セキュリティ インシデントで疑わしい IP アクティビティが検出されました) (プレビュー) | シナリオ 1: このインシデントは、疑わしい IP アドレスから発生した疑わしいアクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしい IP アドレスから発生する疑わしいアクティビティは、攻撃者が環境への不正アクセスを取得し、侵害しようとしていることを示している可能性があります。 シナリオ 2: このインシデントは、疑わしい IP アドレスから発生した疑わしいアクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じユーザーまたはサービス プリンシパルについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしい IP アドレスから発生する疑わしいアクティビティは、攻撃者が環境への不正アクセスを取得し、侵害しようとしていることを示している可能性があります。 |
高 |
Security incident detected suspicious fileless attack activity (セキュリティ インシデントで疑わしいファイルレス攻撃アクティビティが検出されました) (プレビュー) | このインシデントは、同じリソースに対する潜在的な悪用試行の後に、仮想マシンでファイルレス攻撃のツールキットが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ仮想マシンについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 仮想マシンにファイルレス攻撃のツールキットが存在することは、脅威アクターが環境への不正アクセスを取得し、さらに悪意のあるアクティビティを実行しながら検出を回避しようとしていることを示している可能性があります。 | 高 |
Security incident detected suspicious DDOS activity (セキュリティ インシデントで疑わしい DDOS アクティビティが検出されました) (プレビュー) | このインシデントは、環境内で疑わしい分散型サービス拒否 (DDOS) アクティビティが検出されたことを示します。 DDOS 攻撃は、大量のトラフィックでネットワークまたはアプリケーションを圧倒するように設計されており、正当なユーザーが利用できないようにします。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 | 高 |
Security incident detected suspicious data exfiltration activity (セキュリティ インシデントで疑わしいデータ流出アクティビティが検出されました) (プレビュー) | シナリオ 1: このインシデントは、疑わしいユーザーまたはサービス プリンシパルのアクティビティの後に、疑わしいデータ流出アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアカウント アクティビティは、脅威アクターが環境への不正アクセスを取得したことを示している可能性があり、後続のデータ流出アクティビティは、機密情報を盗もうとしていることを示唆している可能性があります。 シナリオ 2: このインシデントは、疑わしいユーザーまたはサービス プリンシパルのアクティビティの後に、疑わしいデータ流出アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアカウント アクティビティは、脅威アクターが環境への不正アクセスを取得したことを示している可能性があり、後続のデータ流出アクティビティは、機密情報を盗もうとしていることを示唆している可能性があります。 シナリオ 3: このインシデントは、仮想マシンでの異常なパスワード リセットの後に、疑わしいデータ流出アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアカウント アクティビティは、脅威アクターが環境への不正アクセスを取得したことを示している可能性があり、後続のデータ流出アクティビティは、機密情報を盗もうとしていることを示唆している可能性があります。 |
高 |
Security incident detected suspicious API activity (セキュリティ インシデントで疑わしい API アクティビティが検出されました) (プレビュー) | このインシデントは、疑わしい API アクティビティが検出されたことを示します。 Defender for Cloud からの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしい API の使用は、脅威アクターが機密情報にアクセスしようとしている、または未承認のアクションを実行しようとしていることを示している可能性があります。 | 高 |
Security incident detected suspicious Kubernetes cluster activity (セキュリティ インシデントで疑わしい Kubernetes クラスター アクティビティが検出されました) (プレビュー) | このインシデントは、疑わしいユーザー アクティビティの後に Kubernetes クラスターで疑わしいアクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じクラスターについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 Kubernetes クラスターでの疑わしいアクティビティは、脅威アクターが環境への不正アクセスを取得し、侵害しようとしていることを示している可能性があります。 | 高 |
Security incident detected suspicious storage activity (セキュリティ インシデントで疑わしいストレージ アクティビティが検出されました) (プレビュー) | シナリオ 1: このインシデントは、疑わしいユーザーまたはサービス プリンシパルのアクティビティの後に、疑わしいストレージ アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアカウント アクティビティは、脅威アクターが環境への不正アクセスを取得したことを示している可能性があり、後続の疑わしいストレージ アクティビティは、潜在的な機密情報にアクセスしようとしていることを示唆している可能性があります。 シナリオ 2: このインシデントは、疑わしいユーザーまたはサービス プリンシパルのアクティビティの後に、疑わしいストレージ アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアカウント アクティビティは、脅威アクターが環境への不正アクセスを取得したことを示している可能性があり、後続の疑わしいストレージ アクティビティは、潜在的な機密情報にアクセスしようとしていることを示唆している可能性があります。 |
高 |
Security incident detected suspicious Azure toolkit activity (セキュリティ インシデントで疑わしい Azure ツールキット アクティビティが検出されました) (プレビュー) | このインシデントは、Azure ツールキットの使用の可能性の後に疑わしいアクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じユーザーまたはサービス プリンシパルについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 Azure ツールキットの使用は、攻撃者が環境への不正アクセスを取得し、侵害しようとしていることを示している可能性があります。 | 高 |
セキュリティ インシデントで疑わしい SAS アクティビティが検出されました (プレビュー) | シナリオ 1: このインシデントは、疑わしい DNS アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいDNSアクティビティは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 シナリオ 2: このインシデントは、疑わしい DNS アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいDNSアクティビティは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 |
中 |
セキュリティ インシデントで疑わしい SAS アクティビティが検出されました (プレビュー) | シナリオ 1: このインシデントは、疑わしい SQL アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいSQL サービス アクティビティは、脅威アクターが SQL サーバーをターゲットにしており、それを侵害しようとしていることを示唆する可能性があります。 シナリオ 2: このインシデントは、疑わしい SQL アクティビティが検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいSQL サービス アクティビティは、脅威アクターが SQL サーバーをターゲットにしており、それを侵害しようとしていることを示唆する可能性があります。 |
高 |
Security incident detected suspicious app service activity (セキュリティ インシデントで疑わしいアプリ サービス アクティビティが検出されました) (プレビュー) | シナリオ 1: このインシデントは、疑わしいアクティビティがアプリ サービス環境内で検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じリソースについてトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアプリ サービス アクティビティは、脅威アクターがこのアプリケーションをターゲットにしており、それを侵害しようとしている可能性があることを示唆する可能性があります。 シナリオ 2: このインシデントは、疑わしいアクティビティがアプリ サービス環境内で検出されたことを示します。 異なる Defender for Cloud プランからの複数のアラートが同じ IP アドレスからトリガーされ、環境内の悪意のあるアクティビティの忠実性が増加しています。 疑わしいアプリ サービス アクティビティは、脅威アクターがこのアプリケーションをターゲットにしており、それを侵害しようとしている可能性があることを示唆する可能性があります。 |
高 |
Security incident detected compromised machine with botnet communication (セキュリティ インシデントでボットネット通信を使用する侵害されたマシンが検出されました) | このインシデントは、仮想マシンでの疑わしいボットネット アクティビティを示します。 MITRE ATT&CK フレームワークに従って、異なる Defender for Cloud プランからの複数のアラートが同じリソースに対して時系列でトリガーされています。 これは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 | 中/高 |
Security incident detected compromised machines with botnet communication (セキュリティ インシデントでボットネット通信を使用する侵害されたマシンが検出されました) | このインシデントは、仮想マシンでの疑わしいボットネット アクティビティを示します。 MITRE ATT&CK フレームワークに従って、異なる Defender for Cloud プランからの複数のアラートが同じリソースに対して時系列でトリガーされています。 これは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 | 中/高 |
Security incident detected compromised machine with malicious outgoing activity (セキュリティ インシデントで悪意のある発信アクティビティを使用する侵害されたマシンが検出されました) | このインシデントは、仮想マシンでの疑わしい発信アクティビティを示します。 MITRE ATT&CK フレームワークに従って、異なる Defender for Cloud プランからの複数のアラートが同じリソースに対して時系列でトリガーされています。 これは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 | 中/高 |
Security incident detected compromised machine (セキュリティ インシデントで侵害されたマシンが検出されました) | このインシデントは、1 つ以上の仮想マシンでの疑わしいアクティビティを示します。 MITRE ATT&CK フレームワークに従って、異なる Defender for Cloud プランからの複数のアラートが同じリソースに対して時系列でトリガーされています。 これは、脅威アクターが環境への不正アクセスを取得し、これらのマシンの侵害に成功したことを示している可能性があります。 | 中/高 |
Security incident detected compromised machines with malicious outgoing activity (セキュリティ インシデントで悪意のある発信アクティビティを使用する侵害されたマシンが検出されました) | このインシデントは、仮想マシンからの疑わしい発信アクティビティを示します。 MITRE ATT&CK フレームワークに従って、異なる Defender for Cloud プランからの複数のアラートが同じリソースに対して時系列でトリガーされています。 これは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 | 中/高 |
複数のマシンでセキュリティ インシデントが検出されました | このインシデントは、1 つ以上の仮想マシンでの疑わしいアクティビティを示します。 MITRE ATT&CK フレームワークに従って、異なる Defender for Cloud プランからの複数のアラートが同じリソースに対して時系列でトリガーされています。 これは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 | 中/高 |
共有プロセスに関連するセキュリティ インシデントが検出されました | シナリオ 1: このインシデントは、仮想マシンでの疑わしいアクティビティを示します。 異なる Defender for Cloud プランからの複数のアラートがトリガーされ、同じプロセスを共有しています。 これは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 シナリオ 2: このインシデントは、仮想マシンでの疑わしいアクティビティを示します。 異なる Defender for Cloud プランからの複数のアラートがトリガーされ、同じプロセスを共有しています。 これは、脅威アクターが環境への不正アクセスを取得し、それを侵害しようとしていることを示している可能性があります。 |
中/高 |