アセットの調査
Microsoft Defender XDR の Microsoft Defender for Identity は、ユーザー、コンピューター、デバイスが疑わしいアクティビティを実行した場合や、侵害の兆候を示した場合の証拠をユーザーに提供します。
この記事では、組織へのリスクの特定、修復方法の決定、および同様の将来の攻撃を防ぐための最善の方法の決定に役立つ提案を提供します。
疑わしいユーザーを調査する手順
Note
Microsoft Defender XDR でユーザー プロファイルを表示する方法については、Microsoft Defender XDR のドキュメントを参照してください。
アラートまたはインシデントによって、ユーザーが疑わしいまたは侵害された可能性があることを示す場合は、次の詳細とアクティビティについてユーザー プロファイルを確認して調査します。
ユーザー ID
- ユーザーは機密性の高いユーザー (管理者やウォッチリストなど) ですか。
- 組織内での役割は何ですか。
- 彼らは組織図で重要職ですか。
疑わしいアクティビティを調査する
- Defender for Identity 内、または Microsoft Defender for Endpoint、Microsoft Defender for Cloud、Microsoft Defender for Cloud Apps などの他のセキュリティ ツール内にその他のオープンなアラートはありますか?
- ユーザーはサインインに失敗しましたか。
- ユーザーはどのリソースにアクセスしましたか。
- ユーザーは価値の高いリソースにアクセスしましたか。
- ユーザーはアクセスしたリソースにアクセスするべきでしたか。
- ユーザーはどのデバイスにログインしましたか。
- ユーザーはこれらのデバイスにサインインするべきでしたか。
- ユーザーと機密性の高いユーザーの間にラテラル ムーブメント パス (LMP) はありますか。
これらの質問に対する回答を使用して、アカウントが侵害されたと思われるか、疑わしいアクティビティが悪意のあるアクションを意味しているかを判断します。
次の Microsoft Defender XDR 領域で ID 情報を検索します。
- 個々の ID の詳細ページ
- 個々のアラートまたはインシデントの詳細ページ
- [デバイスの詳細] ページ
- 高度なハンティング クエリ
- [アクション センター] ページ
たとえば、次の図は、ID の詳細ページの詳細を示しています。
ID の詳細
特定の ID を調査すると、ID の詳細ページに次の詳細が表示されます。
| ID の詳細ページの領域 | 説明 |
|---|---|
| [概要] タブ | Microsoft Entra ID のリスク レベル、ユーザーがサインインしているデバイスの数、ユーザーが最初と最後に確認された時刻、ユーザーのアカウント、その他の重要な情報などの全般的な ID データ。 [概要] タブを使用すると、インシデントとアラートのグラフ、調査の優先度スコア、組織ツリー、エンティティ タグ、スコア付けされたアクティビティ タイムラインも表示できます。 |
| インシデントとアラート | アラートの重大度やアラートが生成された時刻などの詳細を含む、過去 180 日間のユーザーに関連するアクティブなインシデントおよびアラートを一覧表示します。 |
| Observed in organization (組織内での観察状況) | 次のサブ領域が含まれます。 - デバイス - 過去 180 日間に最も多く使用され、最も少ないものを含む、ID がサインインしたデバイス。 - 場所 - 過去 30 日間の ID の監視対象の場所。 - グループ - ID に対して観察されたすべてのオンプレミス グループ。 - ラテラル ムーブメント パス - オンプレミス環境からプロファイリングされたすべてのラテラル ムーブメント パス。 |
| ID タイムライン | タイムラインは、ユーザーの ID から観察されたアクティビティとアラートを表します。これは、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps、および Microsoft Defender for Endpoint 全体でユーザーの ID エントリを統合します。 タイムラインを使用すると、特定の期間にユーザーが実行したアクティビティまたはユーザーに対して実行されたアクティビティに集中できます。 既定の [30 日] を選択して、時間の範囲を他の組み込み値、またはカスタム範囲に変更します。 |
| 修復アクション | 侵害されたユーザーに対応するには、アカウントを無効にするか、パスワードをリセットします。 ユーザーに対する操作を行った後は、Microsoft Defender XDR ** アクション センターでアクティビティの詳細を確認できます。 |
詳細については、「Microsoft Defender XDR のユーザーを調査する」の資料を参照してください。
疑わしいグループを調査する手順
アラートまたはインシデント調査が Active Directory グループに関連している場合は、次の詳細とアクティビティについてグループ エンティティをチェックします。
グループ エンティティ
- グループは、ドメイン管理など機密性の高いグループですか?
- グループには機密性の高いユーザーが含まれていますか?
疑わしいアクティビティを調査する
- グループには、Defender for Identity 内、または Microsoft Defender for Endpoint、Microsoft Defender for Cloud、Microsoft Defender for Cloud Apps などの他のセキュリティ ツール内にその他のオープンなアラートまたは関連するアラートはありますか?
- グループに最近追加または削除されたユーザーは何ですか?
- グループは最近クエリされましたか?された場合、誰がクエリを実行しましたか?
これらの質問に対する回答を使用して、調査に役立てます。
[グループ エンティティの詳細] ペインで、[ハントに移動] または [タイムラインを開く] を選択して調査します。 グループ情報は、次の Microsoft Defender XDR 領域でも確認できます。
- 個々のアラートまたはインシデントの詳細ページ
- [デバイス] または [ユーザーの詳細] ページ
- 高度なハンティング クエリ
たとえば、次の図は、過去 180 日間の関連アラートとアクティビティを含む、サーバーオペレーターのアクティビティ タイムラインを示しています。
![グループの [タイムライン] タブのスクリーンショット。](media/investigate-assets/group-timeline.png#lightbox)
疑わしいデバイスに対する調査の手順
Microsoft Defender XDR アラートには、それぞれの疑わしいアクティビティに接続されているすべてのデバイスとユーザーが一覧表示されます。 デバイスを選択してデバイスの詳細ページを表示し、次の詳細とアクティビティを調査します。
不審なアクティビティの時間の前後に何が起こりましたか。
- どのユーザーがデバイスにサインインしましたか。
- そのユーザーは通常、ソースデバイスまたは宛先デバイスにサインインするか、またはアクセスしますか。
- どのリソースにアクセスしましたか。 どのユーザーですか。 リソースにアクセスした場合、それらは価値の高いリソースでしたか。
- ユーザーはそれらのリソースにアクセスするべきでしたか。
- デバイスにアクセスしたユーザーは、他の疑わしいアクティビティを実行しましたか。
調査するさらなる疑わしいアクティビティ:
- Defender for Identity や Microsoft Defender for Endpoint、Microsoft Defender for Cloud、Microsoft Defender for Cloud Apps などの他のセキュリティ ツールで、このアラートと同じころに開かれたアラートは他にありましたか?
- 失敗したサインインがありますか?
- 新しいプログラムが展開またはインストールされましたか。
これらの質問に対する回答を使用して、デバイスが侵害されたと思われるか、疑わしいアクティビティが悪意のあるアクションを意味しているかを判断します。
たとえば、次の図はデバイスの詳細ページを示しています。
詳細については、「Investigate devices in the Microsoft Defender XDR (Microsoft Defender XDR のデバイスを調査する)」の資料を参照してください。
次のステップ
ヒント
対話型ガイドをお試しください: Microsoft Defender for Identity により攻撃への調査と対応を行う