高度な追求を使用した動作の調査 (プレビュー)
一部の異常検出は主に問題のあるセキュリティ シナリオの検出に焦点を当てていますが、その他の侵害を示しているとは限らない異常なユーザーの動作を特定して調査するのに役立ちます。 このような場合、Microsoft Defender for Cloud Apps では、「動作」と呼ばれる 別のデータ型が使用されます。
この記事では、Microsoft Defender XDR 高度なハンティングを使用して Defender for Cloud Apps の動作を調査する方法について説明します。
フィードバックをお寄せください。 こちらのフィードバック フォームに記入してください。
動作とは
動作は MITRE 攻撃のカテゴリと手法に関連付けられており、生のイベント データよりもイベントに関する深い理解をもたらします。 動作データは、生のイベント データとイベントによって生成されたアラートの間にあります。
動作はセキュリティ シナリオに関連している可能性がありますが、必ずしも悪意のあるアクティビティやセキュリティ インシデントの兆候であるとは限りません。 各動作は 1 つ以上の生のイベントに基づいており、Defender for Cloud Apps が学習または識別した情報を使用して、特定の時刻に発生した内容に関するコンテキスト分析情報を提供します。
サポートされている検出
動作では現在、低忠実度の Defender for Cloud Apps 検出がサポートされています。これは、アラートの標準を満たしていない可能性がありますが、調査中にコンテキストを提供する場合に引き続き役立ちます。 現在サポートされている検出は次のとおりです。
アラート名 | ポリシー名 |
---|---|
頻度の低い国からのアクティビティ | 頻度の低い国/地域からのアクティビティ |
Impossible travel activity (あり得ない移動アクティビティ) | あり得ない移動 |
一括削除 | 異常なファイル削除アクティビティ (ユーザーごと) |
大量ダウンロード | 異常なファイルのダウンロード (ユーザーごと) |
一括共有 | 異常なファイル共有アクティビティ (ユーザーごと) |
複数の VM 削除アクティビティ | 複数の VM 削除アクティビティ |
複数回失敗したログイン試行 | サインイン試行に複数回失敗しました |
複数の Power BI レポート共有アクティビティ | 複数の Power BI レポート共有アクティビティ |
複数の VM 作成アクティビティ | 複数の VM 作成アクティビティ |
不審な管理アクティビティ | 異常な管理アクティビティ (ユーザーごと) |
不審な偽装アクティビティ | 異常な偽装アクティビティ (ユーザーごと) |
疑わしい OAuth アプリ ファイルのダウンロード アクティビティ | 疑わしい OAuth アプリ ファイルのダウンロード アクティビティ |
不審な Power BI レポートの共有 | 不審な Power BI レポートの共有 |
OAuth アプリへの通常とは異なる資格情報の追加 | OAuth アプリへの通常とは異なる資格情報の追加 |
Defender for Cloud Apps のアラートから動作への移行
Defender for Cloud Apps によって生成されるアラートの品質を高め、誤検知の数を減らすために、Defender for Cloud Apps は現在、セキュリティ コンテンツを [アラート] から [動作] に移行しています。
このプロセスは、低品質の検出を提供するアラートからポリシーを削除すると同時に、すぐに使用できる検出に重点を置くセキュリティ シナリオを作成することを目的としています。 並行して、Defender for Cloud Apps は調査に役立つ動作を送信します。
アラートから動作への移行プロセスには、次のフェーズが含まれます。
(完了) Defender for Cloud Apps は、動作をアラートと並行して送信します。
(現在プレビュー段階) 動作を生成するポリシーが既定で無効になり、アラートは送信されません。
クラウド管理の検出モデルに移行し、顧客向けのポリシーを完全に削除します。 このフェーズでは、高忠実度でセキュリティに重点を置いたシナリオのために、カスタム検出と内部ポリシーによって生成された選択されたアラートの両方を提供する予定です。
動作への移行には、サポートされている動作の種類の機能強化と、最適な精度のためのポリシー生成アラートの調整も含まれます。
Note
最後のフェーズのスケジュール設定は未確定です。 お客様には、メッセージ センターの通知を通じて変更が通知されます。
詳細については、TechCommunity ブログを参照してください。
Microsoft Defender XDR の高度な追求での動作の使用
「Microsoft Defender XDR の高度な追求」ページの動作にアクセスし、動作テーブルにクエリを実行し、動作データを含むカスタム検出ルールを作成することで動作を使用します。
[高度な追求] ページの動作スキーマは、アラート スキーマに似ていますが、次の表が含まれています。
テーブル名 | 説明 |
---|---|
BehaviorInfo | 動作のタイトル、MITRE 攻撃カテゴリ、手法などを含む、メタデータを用いて動作ごとに記録します。 |
BehaviorEntities | 動作の一部であったエンティティに関する情報。 動作ごとに複数のレコードを指定できます。 |
動作とそのエンティティに関する完全な情報を取得するには、結合の主キーとして BehaviorId
を使用します。 次に例を示します。
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
サンプル事例
このセクションでは、「Microsoft Defender XDR の高度な追求」ページで動作データを使用するためのサンプル シナリオと、関連するコード サンプルについて説明します。
ヒント
アラートが既定で生成されなくなった場合に、アラートとして引き続き表示する検出用の [カスタム検出ルール] を作成します。
一括ダウンロードのアラートを取得する
シナリオ: 一括ダウンロードが特定のユーザーによって行われたり、侵害されたり、内部リスクが発生したりする可能性が高いユーザーの一覧でアラートを受け取る必要があります。
これを行うには、次のクエリに基づいてカスタム検出ルールを作成します。
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
詳細については、「Microsoft Defender XDR のカスタム検出ルールの作成および管理」を参照してください。
100 の最近の動作をクエリする
シナリオ: MITRE 攻撃手法の 有効なアカウント (T1078) に関連する 100 の最近の動作を照会する必要があります。
次のクエリを使用します。
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
特定のユーザーの行動を調査する
シナリオ: ユーザーが侵害された可能性があることを理解した後、特定のユーザーに関連するすべての動作を調査します。
次のクエリを使用します。ここでの ユーザー名 は調査するユーザーの名前です。
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
特定の IP アドレスの動作を調査する
シナリオ: いずれかのエンティティが不審な IP アドレスであるすべての動作を調査します。
次のクエリを使用します。ここでの 不審な IP は調査する IP です。
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
次のステップ
問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを開いてください。