行動分析と異常検出を取得する

[アーティクル]
09/23/2022

注意

Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。今後数週間以内に、こちらと関連ページのスクリーンショットと手順を更新します。変更の詳細については、こちらの発表を参照してください。最近の Microsoft セキュリティサービスの名称変更に関する詳細については、Microsoft Ignite のセキュリティに関するブログを参照してください。
Microsoft Defender for Cloud Apps は Microsoft 365 Defender に統合されました。セキュリティ管理者は、そのセキュリティタスクを Microsoft 365 Defender ポータルで一元的に行うことができます。これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Microsoft Defender for Cloud Apps の異常検出ポリシーにより、すぐに使用できるユーザー/エンティティ行動分析 (UEBA) と機械学習 (ML) が提供されるため、クラウド環境全体で高度な脅威検出を最初から実行できます。それらは自動的に有効になるため、ネットワークに接続されているユーザー、コンピューター、デバイスのさまざまな動作の異常を対象として、新しい異常検出ポリシーにより結果の検出と照合のプロセスが開始されます。さらに、これらのポリシーでは、Defender for Cloud Apps 検出エンジンからより多くのデータが公開され、調査プロセスの高速化と、進行中の脅威の阻止に役立ちます。

異常検出ポリシーは自動的に有効になりますが、Defender for Cloud Apps には 7 日間の初期学習期間があり、その間はすべての異常検出アラートが発生されるわけではありません。この期間が過ぎると、構成されている API コネクタからデータが収集されるため、前の月に検出されたアクティビティ (ユーザーがアクティブになっていた時間、IP アドレス、デバイスなど) とこれらのアクティビティのリスクスコアが、各セッションと比較されます。 API コネクタからのデータが使用可能になるまでに数時間かかる場合があることに注意してください。これらの検出は、組織のアクティビティで学習されたベースラインに関して環境のプロファイリングを行ってアラートをトリガーするヒューリスティック異常検出エンジンの一部です。また、これらの検出では、ユーザーとサインインパターンのプロファイリングを行って偽陽性を減らすように設計された機械学習アルゴリズムも使用されます。

異常は、ユーザーのアクティビティをスキャンすることによって検出します。リスクを評価するには、30 以上のリスクインジケーターが調べられて、次のようなリスク要因にグループ化されます。

危険な IP アドレス
ログイン失敗
管理者アクティビティ
非アクティブなアカウント
場所
あり得ない移動
デバイスとユーザーエージェント
アクティビティ率

ポリシーの結果に基づいて、セキュリティアラートがトリガーされます。 Defender for Cloud Apps によってクラウド上のすべてのユーザーセッションが監視され、組織のベースラインまたはユーザーの通常のアクティビティとは異なる状況が発生するとアラートで通知されます。

ネイティブの Defender for Cloud Apps アラートに加えて、Azure Active Directory (AD) Identity Protection から受信した情報に基づいて、次の検出アラートも取得します。

漏洩した資格情報: ユーザーの有効な資格情報が漏洩したときにトリガーされます。詳細については、Azure AD の漏洩した資格情報の検出に関するページを参照してください。
危険なサインイン: Azure AD Identity Protection の複数のサインイン検出が 1 つの検出に結合されます。詳細については、Azure AD のサインインリスク検出に関するページを参照してください。

これらのポリシーは、Defender for Cloud Apps のポリシーページに表示され、有効または無効にすることができます。

異常検出ポリシー

ポータルで異常検出ポリシーを確認するには、 [制御] をクリックし、 [ポリシー] をクリックします。ポリシーの種類として [異常検出ポリシー] を選択します。

新しい異常検出ポリシー。

次の異常検出ポリシーを使用できます。

あり得ない移動

この検出は、ユーザーが地理的に離れた 1 番目の場所から 2 番目の場所に移動するのにかかるはずの時間よりも短い時間内に (単一または複数のセッションで) 2 つのユーザーアクティビティが生じたことを示しています。これは、別のユーザーが同じ資格情報を使用しているということになります。この検出では、組織内の他のユーザーが定期的に使用している VPN や場所など、あり得ない移動状態に寄与する明らかな "擬陽性" を無視する機械学習アルゴリズムが使用されます。検出には 7 日間の初期学習期間があり、その間に新しいユーザーのアクティビティパターンが学習されます。あり得ない移動検出では、2 つの場所の間での通常とは異なるあり得ないユーザーアクティビティが識別されます。このアクティビティは、侵害の指標でありアラートする価値があるものとみなされるのに十分に異常である必要があります。この機能を実現するために、検出ロジックには、VPN アクティビティなどの擬陽性をトリガーする可能性のあるシナリオや、物理的な場所を示していないクラウドプロバイダーからのアクティビティに対処するためのさまざまなレベルの抑制が含まれています。機密性スライダーを使用すると、アルゴリズムに影響を与え、検出ロジックをどれだけ厳密にするかを定義できます。機密性のレベルが高いほど、検出ロジックの一部として抑制されるアクティビティは少なくなります。このようにして、カバレッジのニーズと SNR ターゲットに応じて検出を調整できます。
注意
- 移動の両側の IP アドレスが安全であると見なされると、移動は信頼され、あり得ない移動検出のトリガーから除外されます。たとえば、両方の側が会社としてタグ付けされている場合は、両方とも安全であると見なされます。一方、移動の 1 つの側の IP アドレスのみが安全と見なされる場合は、検出は通常どおりにトリガーされます。
- 場所は国レベルで計算されます。つまり、同じ国または国境を接する国で発生した 2 つのアクションにはアラートはありません。

頻度の低い国からのアクティビティ

この検出は、新しい場所と頻度が低い場所を特定するために過去のアクティビティの場所を考慮します。異常検出エンジンでは、組織内のユーザーによって使用された以前の場所に関する情報が格納されます。組織内のどのユーザーも最近または一度も行ったことのない場所からアクティビティが発生すると、アラートがトリガーされます。

[マルウェア検出]

この検出では、Microsoft アプリまたはサードパーティ製アプリに基づく、クラウドストレージ内の悪意のあるファイルが識別されます。 Microsoft Defender for Cloud Apps では、Microsoft の脅威インテリジェンスを使用して、特定のファイルが既知のマルウェア攻撃に関連付けられているかどうか、および悪意を持つ可能性があるかどうかが認識されます。この組み込みポリシーは、既定では無効になっています。ヒューリスティックによっては危険である可能性があるファイルもサンドボックススキャンされます。悪意のあるファイルが検出されたら、[感染したファイル] の一覧を表示できます。ファイルドロワーでマルウェアファイルの名前を選択して、マルウェアレポートを開きます。このレポートでは、ファイルが感染しているマルウェアの種類に関する情報が提供されます。

セッションポリシーを使用してリアルタイムでこの検出を使用し、ファイルのアップロードとダウンロードを制御できます。

Defender for Cloud Apps では、次のアプリのマルウェア検出がサポートされています。
- ボックス
- ドロップボックス
- Google Workspace
- Office 365 (Microsoft Defender for Office 365 P1 の有効なライセンスが必要)
Note

Office 365 アプリで検出されたマルウェアはアプリによって自動的にブロックされ、ユーザーはファイルに到達できません。アプリの管理者のみがアクセス権を持っています。

Box、Dropbox、Google Workspace では、Defender for Cloud Apps ではファイルのブロックは行われませんが、アプリの機能と、顧客によって設定されたアプリの構成に従ってブロックが行われることはあります。

匿名 IP アドレスからのアクティビティ

この検出は、匿名プロキシ IP アドレスとして識別された IP アドレスからユーザーがアクティブだったことを示します。これらのプロキシは、デバイスの IP アドレスを隠ぺいしたいユーザーによって使用され、悪意のある目的で使用される場合があります。この検出では、組織内のユーザーによって広く使用されている誤ってタグ付けされた IP アドレスなど、"擬陽性" を減らす機械学習アルゴリズムが使用されます。

ランサムウェアのアクティビティ

Defender for Cloud Apps のランサムウェア検出機能が異常検出によって強化され、高度なランサムウェア攻撃に対していっそう包括的なカバレッジが保証されるようになりました。セキュリティ研究の専門知識を活用して、ランサムウェアのアクティビティを反映する行動パターンを識別することにより、Defender for Cloud Apps では包括的で堅牢な保護が実現されます。たとえば、ファイルのアップロードまたはファイルの削除アクティビティの比率が高いことが Defender for Cloud Apps によって特定された場合は、悪影響を及ぼす暗号化プロセスを表している可能性があります。このデータは、接続された API からから受信したログに収集され、その後、学習した動作パターンと脅威インテリジェンス (既知のランサムウェア拡張機能など) と組み合わされます。 Defender for Cloud Apps によるランサムウェアの検出方法の詳細については、ランサムウェアからの組織の保護に関するページを参照してください。

解雇されたユーザーによって実行されたアクティビティ

この検出では、解雇された従業員が SaaS アプリに対するアクションを引き続き実行していることを識別できます。データは会社に不満を持っていた従業員からの、内部的な脅威のリスクに晒されるため、解雇された従業員のアカウントでのアクティビティを監視することが重要です。従業員が退職すると、会社のアプリからそれらのアカウントがプロビジョニング解除されることもありますが、多くの場合、会社の特定のリソースにアクセスできる状態のままになります。これは、特権アカウントを考慮する場合にさらに重要です。以前の管理者が行う可能性のある損害が本質的に大きくなるためです。この検出では、アプリ間でユーザーの動作を監視するための Defender for Cloud Apps の機能が利用されます。これにより、ユーザーの通常のアクティビティ、アカウントが削除された事実、他のアプリでの実際のアクティビティを識別できます。たとえば、Azure AD アカウントは削除されたが、依然として企業の AWS インフラストラクチャにアクセスできる従業員は、大規模な損害をもたらす可能性があります。

この検出では、Azure AD ではアカウントを削除されたけれども、他のプラットフォーム (AWS や Salesforce など) ではまだアクティビティを実行できるユーザーが検索されます。これは、リソースを管理するために (プライマリシングルサインオンアカウントではなく) 別のアカウントを使用するユーザーに特に関連します。これは、これらのアカウントは、ユーザーが退職しても削除されないことが多いためです。

不審な IP アドレスからのアクティビティ

この検出では、Microsoft 脅威インテリジェンスによって危険であると識別された IP アドレスからユーザーのアクティビティがあったことが識別されます。これらの IP アドレスは、パスワードスプレーの実行、Botnet C&C などの悪意のあるアクティビティに関係し、侵害されたアカウントを示す可能性があります。この検出では、組織内のユーザーによって広く使用されている誤ってタグ付けされた IP アドレスなど、"擬陽性" を減らす機械学習アルゴリズムが使用されます。

受信トレイからの疑わしい転送

この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイルールを作成した場合などの疑わしいメール転送ルールを探します。

注意

Defender for Cloud Apps では、ユーザーの一般的な動作に基づいて、疑わしいと識別された各転送ルールについてのみアラートが生成されます。

受信トレイに対する疑わしい操作ルール

この検出は、ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合に、環境をプロファイルし、アラートをトリガーします。これは、ユーザーのアカウントが侵害されていること、メッセージが意図的に隠ぺいされていること、および組織内でスパムやマルウェアを配信するためにメールボックスが使用されていることを示している可能性があります。

疑わしいメール削除アクティビティ (プレビュー)

このポリシーを使用すると、環境のプロファイリングが行われ、ユーザーが 1 回のセッション中に疑わしいメール削除アクティビティを実行した場合にアラートがトリガーされます。このポリシーでは、メールを使ったコマンドアンドコントロール通信 (C&C または C2) などの潜在的な攻撃ベクトルによってユーザーのメールボックスが侵害された可能性があることが示される場合があります。

注意

Defender for Cloud Apps には、Microsoft Defender for Office 365 が統合されており、URL デトネーション、マルウェア対策など、Exchange Online 用の保護が提供されます。 Defender for Office 365 を有効にすると、Defender for Cloud Apps アクティビティログにアラートが表示されるようになります。

疑わしい OAuth アプリファイルのダウンロードアクティビティ

お使いの環境に接続されている OAuth アプリがスキャンされ、あるアプリによってユーザーにとって異常な方法で Microsoft SharePoint または Microsoft OneDrive から複数のファイルがダウンロードされると、アラートがトリガーされます。これは、ユーザーのアカウントが侵害されたことを示している可能性があります。

OAuth アプリの通常とは異なる ISP

このポリシーを使用すると、環境のプロファイリングが行われ、一般的でない ISP から OAuth アプリがクラウドアプリケーションに接続するときにアラートがトリガーされます。このポリシーは、攻撃者が正当な侵害されたアプリを使用して、クラウドアプリケーションで悪意のあるアクティビティを実行しようとしたことを示している可能性があります。

異常なアクティビティ (ユーザーによるもの)

これらの検出では、以下のことを実行するユーザーが識別されます。

複数ファイルの異常なダウンロードアクティビティ
異常なファイル共有アクティビティ
異常なファイル削除アクティビティ
異常な偽装アクティビティ
異常な管理アクティビティ
異常な Power BI レポート共有アクティビティ (プレビュー)
異常な複数の VM 作成アクティビティ (プレビュー)
異常な複数のストレージ削除アクティビティ (プレビュー)
クラウドリソースの異常なリージョン (プレビュー)
異常なファイルアクセス

これらのポリシーでは、学習済みベースラインに関して、1 回のセッションでのアクティビティが検出されます。これは、侵害の試みを示している可能性があります。これらの検出では、ユーザーのログオンパターンのプロファイリングを行って擬陽性を減らす機械学習アルゴリズムが利用されます。これらの検出は、組織のアクティビティで学習されたベースラインに関して環境のプロファイリングを行ってアラートをトリガーするヒューリスティック異常検出エンジンの一部です。

この検出では、学習されたベースラインに関して、1 回のセッションで複数のログイン試行を失敗したユーザーが識別されます。これは、侵害の試行を示している可能性があります。

承認されていないアプリへのデータ抜き取り

ユーザーまたは IP アドレスが、組織からの情報流出の試みに似たアクティビティを実行することを承認されていないアプリを使用すると、このポリシーは自動的に有効になって、アラートを発します。

複数の VM 削除アクティビティ

このポリシーでは、ユーザーの環境のプロファイリングが行われ、組織内のベースラインを基準として、ユーザーが 1 つのセッションで複数の VM を削除すると、アラートがトリガーされます。これは、侵害の試行を示している可能性があります。

自動ガバナンスを有効にする

異常検出ポリシーによって生成されたアラートに対する自動修復アクションを有効にすることができます。

[ポリシー] ページで、検出ポリシーの名前を選択します。
開いた [異常検出ポリシーの編集] ウィンドウの [ガバナンス] で、接続されている各アプリまたはすべてのアプリに対して必要な修復アクションを設定します。
[更新] を選択します。

異常検出ポリシーを調整する

ユーザーの設定に応じて、異常検出エンジンでアラートを抑制または表示するには:

あり得ない移動ポリシーでは、感度スライダーを設定して、アラートがトリガーされるために必要な異常な動作のレベルを決定できます。たとえば、低または中に設定すると、ユーザーの一般的な場所からのあり得ない移動アラートが抑制されます。高に設定すると、そのようなアラートが表示されます。次の感度レベルから選択できます。

低:システム、テナント、およびユーザーの抑制
中: システムとユーザーの抑制

高: システム抑制のみ

この場合、

抑制の種類	[説明]
システム	常に抑制される組み込みの検出。
テナント	テナント内の以前のアクティビティに基づく一般的なアクティビティ。たとえば、組織内で以前にアラートが通知された ISP からのアクティビティを抑制します。
ユーザー	特定のユーザーの以前のアクティビティに基づく一般的なアクティビティ。たとえば、ユーザーがよく使用する場所からのアクティビティを抑制します。

注意

既定では、多要素認証 (WS-Trust など) を使用しないものなどの従来のサインインプロトコルは、あり得ない移動ポリシーでは監視されません。組織でレガシプロトコルを使用していて、関連するアクティビティの見落としを防ぐには、ポリシーを編集し、 [詳細構成] で [サインインアクティビティを分析する] を [すべてのサインイン] に設定します。

異常検出ポリシーのスコープを設定する

各異常検出ポリシーは、含めるユーザーとグループのみにポリシーが適用され、それ以外は除外されるように、個別にスコープを設定することができます。たとえば、頻度の低い地域の検出から、頻繁に移動する特定のユーザーを無視するように、アクティビティを設定できます。

異常検出ポリシーのスコープを設定するには:

[制御]>[ポリシー] を選択し、[種類] フィルターを [異常検出ポリシー] に設定します。
スコープ設定するポリシーを選択します。
[スコープ] で、ドロップダウンを既定の設定の [すべてのユーザーとグループ] から [特定のユーザーとグループ] に変更します。
[含める] を選択して、このポリシーを適用するユーザーとグループを指定します。ここで選択しないユーザーまたはグループは、脅威とは見なされず、アラートも生成されません。
このポリシーが適用されないユーザーを指定するには、[含まない] を選択します。ここで選択したすべてのユーザーは脅威とは見なされず、 [含める] で選択したグループのメンバーであってもアラートは生成されません。

異常検出アラートのトリアージ

新しい異常検出ポリシーによってトリガーされるさまざまなアラートを迅速にトリアージし、最初に対処する必要があるアラートを決定することができます。これを行うには、アラートのコンテキストが必要であるため、全体像を見て、有害なことが実際に発生しているかどうかを把握できます。

[アクティビティログ] では、アクティビティを開いてアクティビティドロワーを表示できます。 [ユーザー] を選択して [ユーザーの分析情報] タブを表示します。このタブには、アラートの数、アクティビティ、接続元の場所などの情報が表示されます。これは調査において重要です。
これにより、ユーザーが実行した疑わしいアクティビティを把握し、アカウントが侵害されたかどうかについての信頼度を高めることができます。たとえば、複数の失敗したログインに対するアラートは実際に疑わしく、ブルートフォース攻撃の可能性を示す場合がありますが、アプリケーションの構成の誤りである可能性もあり、問題のない真陽性のアラートが発生することもあります。ただし、複数の失敗したログインのアラートと共に他の疑わしいアクティビティが発生している場合は、アカウントが侵害されている可能性が高くなります。次の例では、複数回失敗したログイン試行アラートの後で、TOR の IP アドレスからのアクティビティとあり得ない移動アクティビティが発生しており、どちらもそれ自体が強い侵害のインジケーター (IOC) です。これで十分ではない場合は、同じユーザーが大量ダウンロードアクティビティを実行したことがわかります。これは、多くの場合、攻撃者がデータの取り出しを実行していることを示します。
マルウェアに感染したファイルの場合、ファイルが検出されたら [感染したファイル] の一覧を表示できます。ファイルドロワーでマルウェアファイルの名前を選択して、マルウェアレポートを開きます。このレポートでは、ファイルが感染しているマルウェアの種類に関する情報が提供されます。

脅威保護に関するウェビナー

次のステップ

クラウド環境を保護するための日常的な作業

問題が発生した場合は、こちらを参照してください。製品の問題について支援やサポートやを受けるには、サポートチケットを作成してください。