異常検出アラートを調査する方法

Microsoft Defender for Cloud Apps では、悪意のあるアクティビティに対するセキュリティ検出とアラートが提供されます。 このガイドの目的は、各アラートに関する一般的で実用的な情報を提供して、調査と修復のタスクに役立てることです。 このガイドには、アラートをトリガーするための条件に関する一般的な情報が含まれています。 ただし、異常検出は本質的に非決定論的であるため、標準から逸脱した動作がある場合にのみトリガーされることに注意してください。 最後に、一部のアラートはプレビュー段階にある可能性があるため、更新されたアラートの状態を定期的に公式ドキュメントで確認してください。

MITRE ATT&CK

Defender for Cloud Apps アラートとよく知られた MITRE ATT&CK マトリックスとの間の関係を説明し、より簡単にマップできるように、対応する MITRE ATT&CK 戦術ごとにアラートを分類しました。 この追加の参照により、Defender for Cloud Apps アラートがトリガーされたときに使用されている可能性のある疑わしい攻撃手法を容易に把握できます。

このガイドでは、次のカテゴリの Defender for Cloud Apps アラートの調査と修復に関する情報を提供します。

• 初期アクセス
• 実行
• 永続化
• 特権エスカレーション
• 資格情報へのアクセス
• コレクション
• 流出
• 影響

セキュリティ アラートの分類

適切な調査に従って、すべての Defender for Cloud Apps アラートは、次のアクティビティの種類のいずれかとして分類することができます。

• 真陽性 (TP): 確認された悪意のあるアクティビティに関するアラート。
• 無害な真陽性 (B-TP): 侵入テストやその他の承認された疑わしいアクションなど、疑わしいが悪意のないアクティビティに関するアラート。
• 擬陽性 (FP): 悪意のないアクティビティに関するアラート。

一般的な調査手順

どんな種類のアラートを調査するときも、潜在的な脅威をより明確に理解するために、推奨されるアクションを適用する前に次の一般的なガイドラインを参照してください。

• ユーザーの調査の優先度スコアを確認し、組織の他のメンバーと比較します。 これは、組織内のどのユーザーが最大のリスクをもたらすかを特定するのに役立ちます。
• TP を特定した場合は、すべてのユーザーのアクティビティを確認して影響を把握します。
• 他の侵害インジケーターについてすべてのユーザー アクティビティを確認し、影響の発生源と範囲を調べます。 たとえば、次のユーザー デバイス情報を確認し、既知のデバイス情報と比較します。
  • オペレーティング システムとバージョン
  • ブラウザーとバージョン
  • IP アドレスと場所

初期アクセス アラート

このセクションでは、悪意のあるアクターが組織への最初の足掛かりを得ようとしている可能性があることを示すアラートについて説明します。

匿名 IP アドレスからのアクティビティ

説明

Microsoft 脅威インテリジェンスまたは組織によって匿名プロキシ IP アドレスとして識別されている IP アドレスからのアクティビティ。 これらのプロキシは、デバイスの IP アドレスを非表示にするために使用でき、悪意のあるアクティビティに使用される可能性があります。

TP、B-TP、または FP?

この検出では、組織内の他のユーザーが広く使用する IP アドレスのタグ付けが間違っているなどの B-TP インシデントを低減する機械学習アルゴリズムが使用されます。

1. TP: アクティビティが匿名または TOR IP アドレスから実行されたことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. B-TP: ユーザーが職務の範囲で匿名 IP アドレスを使用することがわかっている場合。 たとえば、セキュリティ アナリストが組織に代わってセキュリティ テストまたは侵入テストを実行する場合などです。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

• その他の侵害インジケーターについては、すべてのユーザー アクティビティとアラートを確認します。 たとえば、異常なファイル ダウンロード (ユーザーごと) や疑わしい受信トレイ転送アラートなど、アラートの後に別の疑わしいアラートが続いた場合、攻撃者がデータを持ち出そうとしていることを示すことがよくあります。

頻度の低い国からのアクティビティ

悪意のあるアクティビティを示している可能性がある国/地域からのアクティビティ。 このポリシーは、環境をプロファイルし、組織内のユーザーが最近アクセスしなかった、またはまったくアクセスしなかった場所からのアクティビティが検出されたときにアラートをトリガーします。

このポリシーは、さらにユーザーのサブセットに範囲を設定することも、リモートの場所に移動していることが知られているユーザーを除外することもできます。

学習期間

異常な場所を検出するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨される操作:

   1. ユーザーを一時停止し、ユーザーのパスワードをリセットし、アカウントを安全に再び有効にするための適切なタイミングを特定します。
   2. 省略可能: Power Automate を使用してプレイブックを作成して、頻度の低い場所からの接続として検出されたユーザーとそのマネージャーに連絡し、ユーザーのアクティビティを確認します。

2. B-TP: ユーザーがその場所にいることがわかっている場合。 たとえば、頻繁に移動し、現在指定した場所にいるユーザーなどです。

   推奨される操作:

   1. アラートを無視じ、ユーザーを除外するようにポリシーを変更します。
   2. 出張の多いユーザーのためのユーザー グループを作成し、そのグループを Defender for Cloud Apps にインポートして、このアラートからユーザーを除外します
   3. 省略可能: Power Automate を使用してプレイブックを作成して、頻度の低い場所からの接続として検出されたユーザーとそのマネージャーに連絡し、ユーザーのアクティビティを確認します。

侵害の範囲を理解する

• 侵害された可能性のあるリソース (データのダウンロードの可能性など) を確認します。

不審な IP アドレスからのアクティビティ

Microsoft 脅威インテリジェンスまたは組織によって危険であると識別された IP アドレスからのアクティビティ。 これらの IP アドレスは、パスワード スプレー、ボットネットのコマンド アンド コントロール (C&C) などの悪意のあるアクティビティに関与していると識別されたもので、侵害されたアカウントを示す可能性があります。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. B-TP: ユーザーが職務の範囲で IP アドレスを使用することがわかっている場合。 たとえば、セキュリティ アナリストが組織に代わってセキュリティ テストまたは侵入テストを実行する場合などです。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. アクティビティ ログを確認し、同じ IP アドレスからのアクティビティを検索します。
2. 可能性があるデータのダウンロードや管理上の変更のなど、侵害された可能性のあるリソースを確認します。
3. これらのアラートを自発的にトリガーするセキュリティ アナリスト向けのグループを作成し、アナリストをポリシーから除外します。

あり得ない移動

2 つの場所の間の想定される移動時間よりも短い期間内に、異なる場所で同じユーザーによって実行されたアクティビティ。 これは資格情報の侵害を示している可能性もありますが、VPN を使用するなどして、ユーザーの実際の場所がマスクされている可能性もあります。

精度を向上させ、侵害が強く示されているときにのみアラートが出るようにするため、Defender for Cloud Apps では、組織内の各ユーザーに対するベースラインが確立され、異常な動作が検出された場合にのみアラートが生成されます。 あり得ない移動ポリシーは、要件に合わせて微調整できます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

この検出では、移動の両側の IP アドレスが安全であると見なされる場合など、明らかな B-TP 条件を無視する機械学習アルゴリズムが使用され、移動は信頼され、あり得ない移動検出のトリガーから除外されます。 たとえば、企業としてタグ付けされている場合、両側は安全と見なされます。 ただし、片側の IP アドレスのみが安全と判断された場合は、通常通り検知されます。

1. TP: あり得ない移動アラート内の場所が、ユーザーには可能性が低いことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP (検出されないユーザーの移動): ユーザーが最近、アラートで詳しく説明されている目的地に移動したことを確認できる場合。 たとえば、ユーザーが別の場所に移動しているときに、機内モードのユーザーの電話が会社のネットワーク上の Exchange Online などのサービスに接続されたままである場合です。 ユーザーが新しい場所に到着すると、電話は Exchange Online に接続し、あり得ない移動アラートをトリガーします。

   推奨アクション: アラートを無視します。

3. FP (タグなし VPN): IP アドレス範囲が承認された VPN からのものであることを確認できる場合。

   推奨されるアクション: アラートを無視し、Defender for Cloud Apps に VPN の IP アドレス範囲を追加してから、それを使用して VPN の IP アドレス範囲にタグを付けます。

侵害の範囲を理解する

1. アクティビティ ログを確認して、同じ場所と IP アドレス内の同様のアクティビティを把握します。
2. ユーザーが新しい場所から大量のファイルをダウンロードするなど、他の危険なアクティビティを実行したことがわかる場合、これは侵害の可能性を強く示しています。
3. 企業 VPN と IP アドレスの範囲を追加します。
4. Power Automate を使用してプレイブックを作成し、ユーザーのマネージャーに連絡して、ユーザーが正当に旅行しているかどうかを確認します。
5. 最新の組織の移動レポート用に既知の移動者データベースを作成し、それを使用して移動アクティビティを相互参照することを検討してください。

誤解を招く OAuth アプリ名

この検出により、ラテン文字のような外国文字などの文字を使用するアプリが特定されます。 これは、攻撃者がユーザーを欺いて悪意のあるアプリをダウンロードできるように、悪意のあるアプリを既知の信頼できるアプリとして偽装しようとする試みを示している可能性があります。

TP、B-TP、または FP?

1. TP: アプリに誤解を招く名前があることを確認できる場合。

   推奨されるアクション: このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。

アプリへのアクセスを禁止するには、[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、禁止するアプリが表示されている行で禁止アイコンを選択します。 - 自分がインストールして承認したアプリが禁止されたことをユーザーに通知するかどうかを選択できます。 この通知によって、アプリが無効にされ、接続されているアプリへのアクセス権がなくなることをユーザーに知らせます。 通知しない場合は、ダイアログにある [この禁止されたアプリにアクセス許可を付与したユーザーに通知を送信します] をオフにします。 - アプリの使用が禁止されようとしていることをアプリのユーザーに知らせることをお勧めします。

1. FP: アプリに誤解を招く名前がありるが、組織内に正当なビジネス用途があることを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

• 危険性の高い OAuth アプリを調査する方法については、チュートリアルに従ってください。

OAuth アプリの誤解を招く発行元名

この検出により、ラテン文字のような外国文字などの文字を使用するアプリが特定されます。 これは、攻撃者がユーザーを欺いて悪意のあるアプリをダウンロードできるように、悪意のあるアプリを既知の信頼できるアプリとして偽装しようとする試みを示している可能性があります。

TP、B-TP、または FP?

1. TP: アプリに誤解を招く発行元があることを確認できる場合。

   推奨されるアクション: このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。

2. FP: アプリに誤解を招く発行元名があるが、正当な発行元であることを確認する場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. [アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、アプリを選択して [アプリ ドロワー] を開き、[関連アクティビティ] を選択します。 これにより、そのアプリで実行されたアクティビティ用にフィルター処理した [アクティビティ ログ] ページが開きます。 一部のアプリで実行されるアクティビティは、ユーザーが実行したものとして登録されることに留意してください。 これらのアクティビティは、アクティビティ ログの結果から自動的に除外されます。 アクティビティ ログを使ったさらなる調査については、アクティビティ ログに関するページをご覧ください。
2. アプリが疑わしいと考えられる場合は、異なるアプリ ストアでそのアプリの名前と発行元を調査することをお勧めします。 アプリ ストアを確認するときは、以下の種類のアプリに注目してください。
   • ダウンロード数が少ないアプリ。
   • 評価や点数が低い、または否定的なコメントがあるアプリ。
   • 発行元や Web サイトが疑わしいアプリ。
   • 最近更新されていないアプリ。 これは、サポートされなくなったアプリを示している場合があります。
   • 関係のないアクセス許可を持っているアプリ。 これは、アプリが危険であることを示している場合があります。
3. アプリがまだ疑わしい場合は、オンラインでアプリの名前、発行元、URL を調査することができます。

実行アラート

このセクションでは、悪意のあるアクターが組織内で悪意のあるコードを実行しようとしている可能性があることを示すアラートについて説明します。

複数のストレージ削除アクティビティ

学習したベースラインと比較して、ユーザーが Azure BLOB、AWS S3 バケット、Cosmos DB などのリソースから異常な数のクラウド ストレージまたはデータベースの削除を実行したことを示す 1 回のセッションでのアクティビティ。 これは、組織の侵害が試行されたことを示している可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: 削除が承認されていなかったことを確認する場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーのパスワードをリセットし、すべてのデバイスで悪意のある脅威をスキャンします。 他の侵害インジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。

2. FP: 調査後に、管理者がこれらの削除アクティビティを実行することを承認されていたことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. ユーザーに連絡し、アクティビティを確認します。
2. アクティビティ ログで他の侵害インジケーターを確認し、変更を行ったユーザーを調べます。
3. そのユーザーのアクティビティで他のサービスに対する変更を確認します。

複数の VM 作成アクティビティ

学習したベースラインと比較して、ユーザーが異常な数の VM 作成アクションを実行したことを示す 1 回のセッションのアクティビティ。 侵害されたクラウド インフラストラクチャで複数の VM が作成されている場合、組織内からクリプト マイニング操作を実行しようとしている可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

侵害の強い兆候がある場合にのみ精度とアラートを向上させるために、この検出は組織内の各環境にベースラインを確立して、管理者が確立されたベースラインよりも多くの VM を正当に作成した場合などの B-TP インシデントを減らし、異常な動作が検出されたときにのみアラートを生成します。

• TP: 作成アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

  推奨されるアクション: ユーザーを一時停止し、ユーザーのパスワードをリセットし、すべてのデバイスで悪意のある脅威をスキャンします。 他の侵害インジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。 さらに、ユーザーに連絡し、正当なアクションを確認してから、侵害された VM を必ず無効にするか削除します。

• B-TP: 調査後に、管理者がこれらの作成アクティビティを実行することを承認されていたことを確認できる場合。

  推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. すべてのユーザー アクティビティで、侵害のその他のインジケーターを確認します。
2. ユーザーによって作成または変更されたリソースを確認し、それらが組織のポリシーに準拠していることを確認します。

クラウド リージョンに対する疑わしい作成アクティビティ (プレビュー)

学習したベースラインと比較して、ユーザーが一般的でない AWS リージョンで異常なリソース作成アクションを実行したことを示すアクティビティ。 一般的でないクラウド リージョンでのリソースの作成は、組織内からクリプト マイニング操作などの悪意のあるアクティビティを実行しようとする試みを示している可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

侵害の強い兆候がある場合にのみ精度とアラートを向上させるために、この検出は組織内の各環境にベースラインを確立して、B-TP インシデントを削減しています。

• TP: 作成アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

  推奨されるアクション: ユーザーを一時停止し、ユーザーのパスワードをリセットし、すべてのデバイスで悪意のある脅威をスキャンします。 他の侵害インジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。 さらに、ユーザーに連絡し、正当なアクションを確認してから、侵害されたクラウド リソースを必ず無効にするか削除します。

• B-TP: 調査後に、管理者がこれらの作成アクティビティを実行することを承認されていたことを確認できる場合。

  推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. すべてのユーザー アクティビティで、侵害のその他のインジケーターを確認します。
2. 作成されたリソースを確認し、それらが組織のポリシーに準拠していることを確認します。

永続化アラート

このセクションでは、悪意のあるアクターが組織内で足掛かりを維持しようとしている可能性があることを示すアラートについて説明します。

終了させられたユーザーによって実行されたアクティビティ

終了させられたユーザーによって実行されるアクティビティは、会社のリソースにまだアクセスできる退職した従業員が悪意のあるアクティビティを実行しようとしていることを示している可能性があります。 Defender for Cloud Apps では、組織内のユーザーのプロファイリングが行われて、解雇されたユーザーがアクティビティを実行しているときはアラートがトリガーされます。

TP、B-TP、または FP?

1. TP: 終了させられたユーザーが引き続き特定の企業リソースにアクセスでき、アクティビティを実行していることを確認できる場合。

   推奨されるアクション: ユーザーを無効にします。

2. B-TP: ユーザーが一時的に無効になっていたか、削除されて再登録されたと判断できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. HR レコードを相互参照して、ユーザーが終了させられたことを確認します。
2. Microsoft Entra ユーザー アカウントがあることを確認します。

   Note

   Microsoft Entra Connect を使用している場合は、オンプレミスの Active Directory オブジェクトを検証し、正常な同期サイクルを確認します。

3. 終了させられたユーザーがアクセスできたすべてのアプリを特定し、アカウントの使用を停止します。
4. 使用停止の手順を更新します。

CloudTrail ログ サービスの疑わしい変更

ユーザーが AWS CloudTrail ログ サービスに対して疑わしい変更を実行したことを示す 1 回のセッションでのアクティビティ。 これは、組織の侵害が試行されたことを示している可能性があります。 CloudTrail を無効にすると、運用変更はログに記録されなくなります。 攻撃者は、S3 バケットをプライベートからパブリックに変更するなど、CloudTrail 監査イベントを回避しながら悪意のあるアクティビティを実行できる可能性があります。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーのパスワードをリセットし、CloudTrail アクティビティを元に戻します。

2. FP: ユーザーが CloudTrail サービスを正当に無効にしたことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. アクティビティ ログでその他の侵害インジケーターを確認し、CloudTrail サービスに変更を加えたユーザーを調べます。
2. 省略可能: Power Automate を使用してプレイブックを作成して、ユーザーとそのマネージャーに連絡し、ユーザーのアクティビティを確認します。

疑わしいメール削除アクティビティ (ユーザーごと)

ユーザーが疑わしいメール削除を実行したことを示す 1 回のセッションでのアクティビティ。 削除の種類は "物理的な削除" であって、電子メール アイテムは削除され、ユーザーのメールボックスでは使用できません。 削除が、ISP、国/地域、ユーザー エージェントなどの一般的でない基本設定を含む接続から行われました。 これは、攻撃者がスパム アクティビティに関連する電子メールを削除して操作をマスクしようとしたなど、組織の侵害の試行を示している可能性があります。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP: ユーザーがメッセージを削除するルールを正当に作成したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

• 疑わしい受信トレイ転送アラートの後にあり得ない移動アラートが続くなど、その他の侵害インジケーターについてすべてのユーザー アクティビティを確認します。 以下のものを探します。

  1. 新しい SMTP 転送ルールを次に示します。
     • 悪意のある転送ルール名を確認します。 ルール名は、"すべてのメールの転送" や "自動転送" などの単純な名前や、ほとんど表示されない "." などの詐欺的な名前とは異なる場合があります。 転送ルール名は空にすることもでき、転送先の受信者は 1 つのメール アカウントまたはリスト全体にすることができます。 悪意のあるルールは、ユーザー インターフェイスで非表示にすることもできます。 検出されたら、メールボックスから非表示のルールを削除する方法に関するこの役に立つブログ投稿を参照できます。
     • 内部または外部の不明な電子メール アドレスへの認識できない転送ルールを検出した場合は、受信トレイ アカウントが侵害されたと見なすことができます。
  2. "すべて削除"、"別のフォルダーにメッセージを移動する" や、名前付け規則が不明なルール ("..." など) などの新しい受信トレイ ルール。
  3. 送信済みメールの増加。

受信トレイに対する疑わしい操作ルール

攻撃者がユーザーの受信トレイにアクセスし、疑わしいルールを作成したことを示すアクティビティ。 ユーザーの受信トレイからのメッセージやフォルダーの削除や移動などの操作ルールは、組織から情報を持ち出そうとする試みである可能性があります。 同様に、ユーザーに表示される情報を操作しようとしたり、ユーザーの受信トレイを使用してスパム、フィッシング メール、マルウェアを配布しようとしたりする試みである可能性があります。 Defender for Cloud Apps により、環境のプロファイリングが行われて、ユーザーの受信トレイで疑わしい受信トレイ操作ルールが検出されると、アラートがトリガーされます。 これは、ユーザーのアカウントが侵害されたことを示している可能性があります。

TP、B-TP、または FP?

1. TP: 悪意のある受信トレイ ルールが作成され、アカウントが侵害されたことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーのパスワードをリセットして、転送ルールを削除します。

2. FP: ユーザーがルールを正当に作成したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. 疑わしい受信トレイ転送アラートの後にあり得ない移動アラートが続くなど、その他の侵害インジケーターについてすべてのユーザー アクティビティを確認します。 以下のものを探します。
   • 新しい SMTP 転送ルール。
   • "すべて削除"、"別のフォルダーにメッセージを移動する" や、名前付け規則が不明なルール ("..." など) などの新しい受信トレイ ルール。
2. アクションの IP アドレスと場所の情報を収集します。
3. 他の侵害されたユーザーを検出するためのルールの作成に使用された IP アドレスから実行されたアクティビティを確認します。

権限昇格アラート

このセクションでは、悪意のあるアクターが組織内のより高いレベルのアクセス許可を取得しようとしている可能性があることを示すアラートについて説明します。

異常な管理アクティビティ (ユーザーごと)

攻撃者がユーザー アカウントを侵害し、そのユーザーに一般的でない管理アクションを実行したことを示すアクティビティ。 たとえば、攻撃者は一般的なユーザーにとって比較的まれな操作である、ユーザーのセキュリティ設定の変更を試みる可能性があります。 Defender for Cloud Apps では、ユーザーの動作に基づいてベースラインが作成され、異常な動作が検出されるとアラートがトリガーされます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当な管理者によって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP: 管理者が異常な量の管理アクティビティを正当に実行したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. 疑わしい受信トレイ転送やあり得ない移動など、その他の侵害インジケーターについてすべてのユーザー アクティビティを確認します。
2. 永続化に使用される可能性のあるユーザー アカウントの作成など、他の構成の変更を確認します。

資格情報アクセス アラート

このセクションでは、悪意のあるアクターが組織からアカウント名とパスワードを盗もうとしている可能性があることを示すアラートについて説明します。

複数回失敗したログイン試行

ログイン試行の失敗は、アカウントを侵害しようとしたことを示している可能性があります。 ただし、失敗したログインも通常の動作である可能性があります。 たとえば、ユーザーが誤って間違ったパスワードを入力した場合などです。 精度を向上させ、侵害の試みが強く示されているときにのみアラートが出るようにするため、Defender for Cloud Apps では、組織内の各ユーザーに対するログイン習慣のベースラインが確立され、異常な動作が検出された場合にのみアラートが生成されます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

このポリシーは、ユーザーの通常のログイン動作の学習に基づいています。 標準からの逸脱が検出されると、アラートがトリガーされます。 検出で同じ動作が継続していることが分かり始めた場合、アラートは 1 回だけ発生します。

1. TP (MFA が失敗): MFA が正常に動作していることを確認できる場合、これはブルート フォース攻撃の試行の兆候である可能性があります。

   推奨アクション:

   1. ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。
   2. 失敗した認証を実行したアプリを見つけて再構成します。
   3. アクティビティの前後にログインしていた他のユーザーも侵害されている可能性があるため、ユーザーを探します。 ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. B-TP (MFA が失敗): アラートが MFA の問題によって発生していることを確認できる場合。

   推奨されるアクション: Power Automate を使用してプレイブックを作成してユーザーに連絡し、MFA に問題があるかどうかを確認します。

3. B-TP (不適切に構成されたアプリ): 正しく構成されていないアプリが、有効期限が切れた資格情報を使用してサービスに複数回接続しようとしていることを確認できる場合。

   推奨アクション: アラートを無視します。

4. B-TP (パスワードの変更): ユーザーが最近パスワードを変更したが、ネットワーク共有全体の資格情報に影響していないことを確認できる場合。

   推奨アクション: アラートを無視します。

5. B-TP (セキュリティ テスト): セキュリティ アナリストが組織に代わってセキュリティ テストまたは侵入テストを実施していることを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. アラートに続いて、あり得ない移動、匿名 IP アドレスからのアクティビティ、頻度の低い国からのアクティビティのいずれかのアラートが発生する場合など、その他の侵害インジケーターについて、すべてのユーザー アクティビティを確認します。
2. 次のユーザー デバイス情報を確認し、既知のデバイス情報と比較します。
   • オペレーティング システムとバージョン
   • ブラウザーとバージョン
   • IP アドレスと場所
3. 認証試行が発生した送信元 IP アドレスまたは場所を特定します。
4. ユーザーが最近パスワードを変更したかどうかを特定し、すべてのアプリとデバイスに更新されたパスワードがあることを確認します。

OAuth アプリへの通常とは異なる資格情報の追加

この検出により、OAuth アプリへの特権資格情報の疑わしい追加が識別されます。 これは、攻撃者によってアプリが侵害され、悪意のあるアクティビティに使用されていることを示している可能性があります。

学習期間

組織の環境を学習するには、大量のアラートが発生することを予測できる 7 日間が必要です。

OAuth アプリの通常とは異なる ISP

検出により、OAuth アプリでは一般的ではない ISP からクラウド アプリケーションに接続されているアプリが識別されます。 これは、攻撃者が正当な侵害されたアプリを使用して、クラウド アプリケーションで悪意のあるアクティビティを実行しようとしたことを示している可能性があります。

学習期間

この検出の学習期間は 30 日です。

TP、B-TP、または FP?

1. TP: アクティビティが OAuth アプリの正当なアクティビティではなかったこと、またはこの ISP が正当な OAuth アプリによって使用されていないことを確認できる場合。

   推奨されるアクション: OAuth アプリのすべてのアクセス トークンを取り消し、攻撃者に OAuth アクセス トークンを生成するアクセス権があるかどうかを調査します。

2. FP: アクティビティが正規の OAuth アプリによって正当に行われたことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. OAuth アプリによって実行されたアクティビティを確認します。

2. 攻撃者に OAuth アクセス トークンを生成するアクセス権があるかどうかを調査します。

収集アラート

このセクションでは、悪意のあるアクターが目標達成のための目的のデータを組織から収集しようとしている可能性があることを示すアラートについて説明します。

複数の Power BI レポート共有アクティビティ

学習したベースラインと比較して、ユーザーが Power BI で異常な数の共有レポート アクティビティを実行したことを示す 1 回のセッションのアクティビティ。 これは、組織の侵害が試行されたことを示している可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: Power BI からの共有アクセスを削除します。 アカウントが侵害されたことを確認できる場合は、ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP: ユーザーがこれらのレポートを共有する業務上の正当な理由があったことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. アクティビティ ログを確認して、ユーザーが実行した他のアクティビティについて理解を深めます。 ログインしている IP アドレスとデバイスの詳細を確認します。
2. Power BI チームまたは Information Protection チームにお問い合わせて、レポートを内部および外部で共有するためのガイドラインを理解してください。

不審な Power BI レポートの共有

ユーザーがレポートのメタデータを分析するために、NLP を使用して特定された機密情報を含む可能性がある Power BI レポートを共有したことを示すアクティビティ。 レポートが外部の電子メール アドレスと共有されたか、Web に公開されたか、またはスナップショットが外部でサブスクライブされている電子メール アドレスに配信されました。 これは、組織の侵害が試行されたことを示している可能性があります。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: Power BI からの共有アクセスを削除します。 アカウントが侵害されたことを確認できる場合は、ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP: ユーザーがこれらのレポートを共有する業務上の正当な理由があったことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. アクティビティ ログを確認して、ユーザーが実行した他のアクティビティについて理解を深めます。 ログインしている IP アドレスとデバイスの詳細を確認します。
2. Power BI チームまたは Information Protection チームにお問い合わせて、レポートを内部および外部で共有するためのガイドラインを理解してください。

異常な偽装アクティビティ (ユーザーごと)

一部のソフトウェアでは、他のユーザーが他のユーザーを偽装できるオプションがあります。 たとえば、メール サービスを使用すると、ユーザーは自分に代わって他のユーザーがメールを送信することを承認できます。 このアクティビティは、組織に関する情報を抽出しようとして、フィッシング メールを作成するために攻撃者によって一般的に使用されます。 Defender for Cloud Apps により、ユーザーの動作に基づいてベースラインが作成され、異常な偽装アクティビティが検出されるとアクティビティが作成されます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP (異常な動作): ユーザーが異常なアクティビティを正当に実行したか、確立されたベースラインよりも多くのアクティビティを実行したことを確認できる場合。

   推奨アクション: アラートを無視します。

3. FP: Teams などのアプリがユーザーを正当に偽装したことを確認できる場合。

   推奨されるアクション: アクションを確認し、必要に応じてアラートを無視します。

侵害の範囲を理解する

1. その他の侵害インジケーターについては、すべてのユーザー アクティビティとアラートを確認します。
2. 偽装アクティビティを確認して、潜在的な悪意のあるアクティビティを特定します。
3. 委任されたアクセス構成を確認します。

流出アラート

このセクションでは、悪意のあるアクターが組織からデータを盗もうとしている可能性があることを示すアラートについて説明します。

受信トレイからの疑わしい転送

攻撃者がユーザーの受信トレイにアクセスし、疑わしいルールを作成したことを示すアクティビティ。 すべてまたは特定の電子メールを別の電子メール アカウントに転送するなどの操作ルールは、組織から情報を持ち出そうとする試みである可能性があります。 Defender for Cloud Apps により、環境のプロファイリングが行われて、ユーザーの受信トレイで疑わしい受信トレイ操作ルールが検出されると、アラートがトリガーされます。 これは、ユーザーのアカウントが侵害されたことを示している可能性があります。

TP、B-TP、または FP?

1. TP: 悪意のある転送ルールが作成され、アカウントが侵害されたことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーのパスワードをリセットして、転送ルールを削除します。

2. FP: ユーザーが正当な理由で新規または個人の外部電子メール アカウントへの転送ルールを作成したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. アラートの後にあり得ない移動アラートが続くなど、その他の侵害インジケーターについてすべてのユーザー アクティビティを確認します。 以下のものを探します。

   1. 新しい SMTP 転送ルールを次に示します。
      • 悪意のある転送ルール名を確認します。 ルール名は、"すべてのメールの転送" や "自動転送" などの単純な名前や、ほとんど表示されない "." などの詐欺的な名前とは異なる場合があります。 転送ルール名は空にすることもでき、転送先の受信者は 1 つのメール アカウントまたはリスト全体にすることができます。 悪意のあるルールは、ユーザー インターフェイスで非表示にすることもできます。 検出されたら、メールボックスから非表示のルールを削除する方法に関するこの役に立つブログ投稿を参照できます。
      • 内部または外部の不明な電子メール アドレスへの認識できない転送ルールを検出した場合は、受信トレイ アカウントが侵害されたと見なすことができます。
   2. "すべて削除"、"別のフォルダーにメッセージを移動する" や、名前付け規則が不明なルール ("..." など) などの新しい受信トレイ ルール。

2. 他の侵害されたユーザーを検出するためのルールの作成に使用された IP アドレスから実行されたアクティビティを確認します。

3. Exchange Online メッセージ追跡を使用して、転送されたメッセージの一覧を確認します。

異常なファイルのダウンロード (ユーザーごと)

学習したベースラインと比較して、ユーザーがクラウド ストレージ プラットフォームから異常な数のファイル ダウンロードを実行したことを示すアクティビティ。 これは、組織に関する情報を取得しようとしていることを示している可能性があります。 Defender for Cloud Apps では、ユーザーの動作に基づいてベースラインが作成され、異常な動作が検出されるとアラートがトリガーされます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP (異常な動作): ユーザーが確立されたベースラインよりも多くのファイル ダウンロード アクティビティを正当に実行したことを確認できる場合。

   推奨アクション: アラートを無視します。

3. FP (ソフトウェア同期): OneDrive などのソフトウェアが、アラートの原因になった外部バックアップと同期されたことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. ダウンロード アクティビティを確認し、ダウンロードされたファイルの一覧を作成します。
2. リソース所有者と共にダウンロードされたファイルの秘密度を確認し、アクセス レベルを検証します。

異常なファイル アクセス (ユーザーごと)

ユーザーが、学習したベースラインと比較して、財務データまたはネットワーク データを含むファイルに対して SharePoint または OneDrive で異常な数のファイル アクセスを実行したことを示すアクティビティ。 これは、財務目的の場合でも資格情報へのアクセスと横移動の場合でも、組織に関する情報を取得しようとする試みを示している可能性があります。 Defender for Cloud Apps では、ユーザーの動作に基づいてベースラインが作成され、異常な動作が検出されるとアラートがトリガーされます。

学習期間

学習期間は、ユーザーのアクティビティによって異なります。 一般に、ほとんどのユーザーの場合、学習期間は 21 日から 45 日です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP (異常な動作): ユーザーが確立されたベースラインよりも多くのファイル アクセス アクティビティを正当に実行したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. アクセス アクティビティを確認し、アクセスされたファイルの一覧を作成します。
2. リソース所有者と共にアクセスされたファイルの秘密度を確認し、アクセス レベルを検証します。

異常なファイル共有アクティビティ (ユーザーごと)

学習したベースラインと比較して、ユーザーがクラウド ストレージ プラットフォームから異常な数のファイル共有アクションを実行したことを示すアクティビティ。 これは、組織に関する情報を取得しようとしていることを示している可能性があります。 Defender for Cloud Apps では、ユーザーの動作に基づいてベースラインが作成され、異常な動作が検出されるとアラートがトリガーされます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP (異常な動作): ユーザーが確立されたベースラインよりも多くのファイル共有アクティビティを正当に実行したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. 共有アクティビティを確認し、共有されたファイルの一覧を作成します。
2. リソース所有者と共に共有されたファイルの秘密度を確認し、アクセス レベルを検証します。
3. 今後の機密ファイルの共有を検出するために、同様のドキュメントのファイル ポリシーを作成します。

影響アラート

このセクションでは、悪意のあるアクターが組織内のシステムやデータを操作、中断、または破壊しようとしている可能性があることを示すアラートについて説明します。

複数の VM 削除アクティビティ

学習したベースラインと比較して、ユーザーが異常な数の VM 削除を実行したことを示す 1 回のセッションのアクティビティ。 複数の VM の削除は、環境を中断または破壊しようとする試みを示している可能性があります。 ただし、VM が削除される通常のシナリオは多数あります。

TP、B-TP、または FP?

侵害の強い兆候がある場合にのみ精度とアラートを向上させるために、この検出は組織内の各環境にベースラインを確立して、B-TP インシデントを削減し、異常な動作が検出されたときにのみアラートを生成します。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

• TP: 削除が承認されていなかったことを確認できる場合。

  推奨されるアクション: ユーザーを一時停止し、ユーザーのパスワードをリセットし、すべてのデバイスで悪意のある脅威をスキャンします。 他の侵害インジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。

• B-TP: 調査後に、管理者がこれらの削除アクティビティを実行することを承認されていたことを確認できる場合。

  推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. ユーザーに連絡し、アクティビティを確認します。
2. アラートに続いて、あり得ない移動、匿名 IP アドレスからのアクティビティ、頻度の低い国からのアクティビティのいずれかのアラートが発生する場合など、その他の侵害インジケーターについて、すべてのユーザー アクティビティを確認します。

ランサムウェアのアクティビティ

ランサムウェアは、攻撃者がデバイスから被害者をロックしたり、被害者が身代金を支払うまでファイルへのアクセスをブロックしたりするサイバー攻撃です。 ランサムウェアは、悪意のある共有ファイルや侵害されたネットワークによって拡散される可能性があります。 Defender for Cloud Apps では、セキュリティ研究の専門知識、脅威インテリジェンス、学習された行動パターンを使用して、ランサムウェア アクティビティが特定されます。 たとえば、ファイル アップロードやファイル削除が多い場合は、ランサムウェア操作で一般的な暗号化プロセスを表している可能性があります。

この検出により、ユーザーがクラウドにアクセスしたときや、クラウドで通常行う操作など、組織内の各ユーザーの通常の作業パターンのベースラインが確立されます。

Defender for Cloud Apps の自動脅威検出ポリシーの実行は、ユーザーが接続した瞬間から、バックグラウンドで開始されます。 Microsoft によるセキュリティ研究の専門知識を使用して、ランサムウェアのアクティビティを反映する組織での行動パターンを識別することで、Defender for Cloud Apps により高度なランサムウェア攻撃に対する包括的なカバレッジが提供されます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP (異常な動作): ユーザーは、短期間に複数の削除と類似ファイルのアップロード アクティビティを正当に実行しました。

   推奨されるアクション: アクティビティ ログを確認し、ファイル拡張子が疑わしいものではないことを確認したら、アラートを無視します。

3. FP (一般的なランサムウェア ファイル拡張子): 影響を受けたファイルの拡張子が既知のランサムウェア拡張子と一致していることを確認できる場合。

   推奨されるアクション: ユーザーに連絡し、ファイルが安全であることを確認してから、アラートを無視します。

侵害の範囲を理解する

1. アクティビティ ログで、ファイルの大量ダウンロードや大量削除など、他の侵害インジケーターを確認します。
2. Microsoft Defender for Endpoint を使用している場合は、ユーザーのコンピューターのアラートを確認して、悪意のあるファイルが検出されたかどうかを調べます。
3. アクティビティ ログで、悪意のあるファイルのアップロードおよび共有アクティビティを検索します。

異常なファイル削除アクティビティ (ユーザーごと)

学習したベースラインと比較して、ユーザーが異常なファイル削除アクティビティを実行したことを示すアクティビティ。 これは、ランサムウェア攻撃を示している可能性があります。 たとえば、攻撃者はユーザーのファイルを暗号化し、元のファイルをすべて削除し、被害者に身代金の支払いを強制するために使用できる暗号化されたバージョンのみを残すことができます。 Defender for Cloud Apps では、ユーザーの通常の動作に基づいてベースラインが作成され、異常な動作が検出されるとアラートがトリガーされます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. FP: ユーザーが確立されたベースラインよりも多くのファイル削除アクティビティを正当に実行したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. 削除アクティビティを確認し、削除されたファイルの一覧を作成します。 必要に応じて、削除されたファイルを回復します。
2. 必要に応じて、Power Automate を使用してプレイブックを作成して、ユーザーとそのマネージャーに連絡し、アクティビティを確認します。

調査優先度スコアの上昇 (プレビュー)

異常なアクティビティとアラートをトリガーしたアクティビティには、重大度、ユーザーへの影響、ユーザーの動作分析に基づいてスコアが与えられます。 分析は、テナント内の他のユーザーに基づいて行われます。

特定のユーザーの調査優先度スコアが大幅かつ異常に増加すると、アラートがトリガーされます。

このアラートを使用すると、特定のアラートを必ずしもトリガーしないが、ユーザーの疑わしい動作に蓄積されるアクティビティによって特徴付けされる潜在的な侵害を検出できます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、スコアの増加に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TP、B-TP、または FP?

1. TP: ユーザーのアクティビティが正当でないことを確認できる場合。

   推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、ユーザーのパスワードをリセットします。

2. B-TP: 通常の動作からは大きく逸脱しているものの、潜在的な違反がないことを確認できる場合。

3. FP (異常な動作): ユーザーが異常なアクティビティを正当に実行したか、確立されたベースラインよりも多くのアクティビティを実行したことを確認できる場合。

   推奨アクション: アラートを無視します。

侵害の範囲を理解する

1. その他の侵害インジケーターについては、すべてのユーザー アクティビティとアラートを確認します。

関連項目

危険性の高いユーザーを調査する