Share via


Microsoft Defender XDR を使用した人間によるランサムウェア攻撃の検出

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

ランサムウェアは、ファイルやフォルダーを破棄または暗号化し、重要なデータへのアクセスを防いだり、重要なビジネス システムを中断したりする強要攻撃の一種です。 ランサムウェアには次の 2 種類があります。

  • コモディティ ランサムウェアは、フィッシングやデバイス間に広がり、身代金を要求する前にファイルを暗号化するマルウェアです。
  • 人間が操作するランサムウェアは、複数の攻撃方法を使用するアクティブなサイバー犯罪者による計画的かつ協調的な攻撃です。 多くの場合、既知の手法やツールを使用して、organizationに侵入し、強要する価値のある資産やシステムを見つけ、身代金を要求します。 ネットワークを侵害すると、攻撃者は、暗号化または強要できる資産とシステムの偵察を実行します。 攻撃者は身代金を要求する前に、データを暗号化または流出させます。

この記事では、次のセキュリティ サービス用の拡張検出および応答 (XDR) ソリューションである Microsoft Defender ポータルを使用した、新規または進行中の人間が操作するランサムウェア攻撃の事前検出について説明します。

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps (アプリ ガバナンス アドオンを含む)
  • Microsoft Entra ID 保護
  • Microsoft Defender for IoT
  • Microsoft 365 Business Premium
  • Microsoft Defender for Business

ランサムウェア攻撃の防止については、「 ランサムウェア防止の迅速な展開 - フェーズ 3: 侵入を困難にする」を参照してください。

プロアクティブ検出の重要性

通常、人間が操作するランサムウェアはアクティブな攻撃者によって実行され、最も貴重なデータやシステムにリアルタイムで侵入して検出する手順を実行している可能性があるため、ランサムウェア攻撃の検出に要する時間が重要です。

身代金前活動が迅速に検出されると、重大な攻撃の可能性が低下します。 身代金前ステージには、通常、初期アクセス、偵察、資格情報の盗難、横移動、永続化という手法が含まれます。 これらの手法は、最初は無関係に見え、多くの場合、レーダーの下を飛ぶことができます。 これらの手法が身代金の段階につながる場合は、多くの場合、手遅れになります。 Microsoft Defender XDRは、大規模なランサムウェア キャンペーンの一部として、これらの小さくて一見無関係なインシデントを特定するのに役立ちます。

  • 身代金前の段階で検出されると、感染したデバイスやユーザー アカウントの分離などの小規模な軽減策を使用して、攻撃を中断および修復できます。
  • ファイルの暗号化に使用されるマルウェアが展開されている場合など、検出が後の段階で行われる場合は、ダウンタイムを引き起こす可能性のあるより積極的な修復手順を使用して、攻撃を中断して修復する必要があります。

ランサムウェア攻撃に対応すると、ビジネス操作の中断が発生する可能性があります。 ランサムウェア攻撃の最終段階は、多くの場合、主要なリスクを伴う攻撃者によるダウンタイムか、ネットワークの安全性を確保し、完全に調査する時間を提供するための制御されたダウンタイムのどちらかを選択します。 身代金の支払いはお勧めしません。 ランサムウェア復号化キーを取得するためにサイバー犯罪者に支払うと、暗号化されたデータが復元される保証はありません。 「ランサムウェアの応答 - Microsoft セキュリティ ブログ」を参照してください。

ランサムウェア攻撃の影響と、検出なしとプロアクティブな検出と対応に対応する時間の質的な関係を次に示します。

ランサムウェア攻撃の影響と、検出に対応する時間とプロアクティブな検出と対応の時間の定性的な関係により、ビジネスへの影響が減り、迅速に対応できます。

一般的なマルウェア ツールと手法を使用したプロアクティブな検出

多くの場合、人間が操作するランサムウェア攻撃者は、既知の、フィールドでテストされたマルウェアの戦術、手法、ツール、およびフィッシング、ビジネス メール侵害 (BEC)、資格情報の盗難などの手順を使用します。 セキュリティ アナリストは、攻撃者が一般的なマルウェアやサイバー攻撃方法を使用して、organizationの足掛かりを得る方法を認識し、理解する必要があります。

ランサムウェア攻撃が一般的なマルウェアの使用を開始する方法の例については、次のリソースを参照してください。

身代金前のマルウェア、ペイロード、アクティビティに精通していることは、アナリストが攻撃の後の段階を防ぐために何を探すべきかを知るのに役立ちます。

人が操作するランサムウェア攻撃の戦術

人間が操作するランサムウェアは既知の攻撃手法とツールを使用できるため、アナリストの既存の攻撃手法とツールに関する理解と経験は、焦点を絞ったランサムウェア検出プラクティスのために SecOps チームを準備する際に貴重な資産になります。

攻撃の戦術と方法

次の MITRE ATT&CK 戦術でランサムウェア攻撃者が使用する一般的な手法とツールを次に示します。

初期アクセス:

  • RDP ブルート フォース
  • 脆弱なインターネット接続システム
  • 弱いアプリケーション設定
  • フィッシング詐欺メール

資格情報の盗難:

  • Mimikatz
  • LSA シークレット
  • 資格情報コンテナー
  • プレーンテキストの資格情報
  • サービス アカウントの悪用

横移動:

  • コバルトストライキ
  • WMI
  • 管理ツールの悪用
  • Psexec

永続 化:

  • 新しいアカウント
  • GPO の変更
  • シャドウ IT ツール
  • タスクをスケジュールする
  • サービス登録

防御回避:

  • セキュリティ機能の無効化
  • ログ ファイルの消去
  • 攻撃成果物ファイルの削除
  • 変更されたファイルのタイムスタンプをリセットする

流出:

  • 機密データの流出影響 (財務レバレッジ):
  • 所定の場所とバックアップ内のデータの暗号化
  • 所定のデータとバックアップの削除。これは、先行する流出と組み合わされる可能性があります
  • 流出した機密データの公開漏えいの脅威

検索対象

セキュリティ アナリストにとっての課題は、機密データや重要なシステムを強要することを目標に、アラートが大規模な攻撃チェーンの一部である場合を認識することです。 たとえば、検出されたフィッシング攻撃は次のようになります。

  • organizationの財務部門の誰かの電子メール メッセージを急増させる 1 回限りの攻撃。
  • 侵害されたユーザー アカウント資格情報を使用してユーザー アカウントで使用可能なリソースを検出し、より高いレベルの特権とアクセス権を持つ他のユーザー アカウントを侵害する攻撃チェーンの身代金前部分。

このセクションでは、セキュリティ分析のために複数の関連アラートで構成されるアラートとインシデントを作成する、中央のMicrosoft Defender ポータルに送られる一般的な攻撃フェーズと方法とシグナル ソースについて説明します。 場合によっては、攻撃データを表示する代替のセキュリティ ポータルがあります。

エントリを取得するための初期攻撃

攻撃者がユーザー アカウント、デバイス、またはアプリを侵害しようとしています。

攻撃方法 信号源 代替セキュリティ ポータル
RDP ブルート フォース Defender for Endpoint Defender for Cloud Apps
脆弱なインターネット接続システム Windows セキュリティ機能、サーバーのMicrosoft Defender
弱いアプリケーション設定 Defender for Cloud Apps、アプリ ガバナンス アドオンを使用した Defender for Cloud Apps Defender for Cloud Apps
悪意のあるアプリアクティビティ Defender for Cloud Apps、アプリ ガバナンス アドオンを使用した Defender for Cloud Apps Defender for Cloud Apps
フィッシング詐欺メール Defender for Office 365
Microsoft Entra アカウントに対するパスワード スプレー Defender for Cloud Apps を使用したMicrosoft Entra ID 保護 Defender for Cloud Apps
オンプレミス アカウントに対するパスワード スプレー Microsoft Defender for Identity
デバイス侵害 Defender for Endpoint
資格情報の盗用 Microsoft Defender for Identity
特権のエスカレーション Microsoft Defender for Identity

それ以外の場合の一般的な動作の最近のスパイク

攻撃者は、侵害する追加のエンティティを調査しようとしています。

スパイク カテゴリ 信号源 代替セキュリティ ポータル
サインイン: 多数の失敗した試行、短期間の複数のデバイスへのログオンの試行、複数の初回ログオンなど。 Defender for Cloud Apps を使用したMicrosoft Entra ID 保護、Microsoft Defender for Identity Defender for Cloud Apps
最近アクティブなユーザー アカウント、グループ、コンピューター アカウント、アプリ Defender for Cloud Apps 経由のMicrosoft Entra ID 保護 (Microsoft Entra ID)、Defender for Identity (Active Directory Domain Services [AD DS]) Defender for Cloud Apps
データ アクセスなどの最近のアプリ アクティビティ アプリ ガバナンス アドオンを使用した Defender for Cloud Apps を使用したアプリ Defender for Cloud Apps

新しいアクティビティ

攻撃者は、新しいエンティティを作成して、その範囲をさらに広げる、マルウェア エージェントをインストールする、または検出を回避しています。

アクティビティ 信号源 代替セキュリティ ポータル
インストールされている新しいアプリ アプリ ガバナンス アドオンを使用した Defender for Cloud Apps Defender for Cloud Apps
新しいユーザー アカウント Azure Identity Protection Defender for Cloud Apps
ロールの変更 Azure Identity Protection Defender for Cloud Apps

疑わしい動作

攻撃者は機密情報のダウンロード、ファイルの暗号化、またはorganization資産の収集や破損を行っています。

動作 信号源
マルウェアが複数のデバイスに拡散される Defender for Endpoint
リソーススキャン Defender for Endpoint、Defender for Identity
メールボックス転送ルールの変更 Defender for Office 365
データ流出と暗号化 Defender for Office 365

-*敵対者の監視 セキュリティの無効化** – これは、多くの場合、人間が操作するランサムウェア (HumOR) 攻撃チェーンの一部であるため

  • イベント ログのクリア – 特にセキュリティ イベント ログと PowerShell 運用ログ
  • セキュリティ ツール/コントロールの無効化 (一部のグループに関連付けられている)

Microsoft Defender ポータルを使用してランサムウェア攻撃を検出する

Microsoft Defender ポータルでは、検出、影響を受ける資産、実行された自動アクション、および関連する証拠に関する情報を一元的に表示できます。

  • インシデント キュー。攻撃の関連アラートをグループ化して、攻撃スコープ全体、影響を受ける資産、自動修復アクションを提供します。
  • アラート キュー。Microsoft Defender XDRによって追跡されているすべてのアラートが一覧表示されます。

インシデントとアラートのソース

Microsoft Defenderポータルは、次からの信号を一元化します。

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps (アプリ ガバナンス アドオンを含む)
  • Microsoft Entra ID 保護
  • Microsoft Defender for IoT

次の表に、一般的な攻撃とそれに対応するMicrosoft Defender XDR信号ソースを示します。

攻撃とインシデント 信号源
クラウド ID: パスワード スプレー、多数の失敗した試行、短期間の複数のデバイスへのログオン試行、複数の初回ログオン、最近アクティブなユーザー アカウント Microsoft Entra ID 保護
オンプレミス ID (AD DS) の侵害 Defender for Identity
フィッシング詐欺 Defender for Office 365
悪意のあるアプリ Defender for Cloud Apps または Defender for Cloud Apps とアプリ ガバナンス アドオン
エンドポイント (デバイス) の侵害 Defender for Endpoint
IoT 対応デバイスの侵害 Defender for IoT

ランサムウェアで識別されたインシデントのフィルター処理

Microsoft Defender XDRによってランサムウェアとして分類されたインシデントのインシデント キューを簡単にフィルター処理できます。

  1. Microsoft Defender ポータルのナビゲーション ウィンドウで、[インシデントとアラート インシデント] を選択してインシデント キューに>移動します
  2. [ フィルター] を選択します
  3. [ カテゴリ] で [ ランサムウェア] を選択し、[ 適用] を選択し、[ フィルター ] ウィンドウを閉じます。

インシデント キューの各フィルター設定により、後でリンクとして保存およびアクセスできる URL が作成されます。 これらの URL は、1 回のクリックでブックマークしたり、保存したり、必要に応じて使用したりできます。 たとえば、次のブックマークを作成できます。

  • "ランサムウェア" カテゴリを含むインシデント。 対応する リンクを次に示します。
  • ランサムウェア攻撃を実行していることがわかっている、指定された アクター 名を持つインシデント。
  • ランサムウェア攻撃で使用することが知られている、指定された 関連付けられた脅威 名を持つインシデント。
  • SecOps チームが大規模で協調的なランサムウェア攻撃の一部として知られているインシデントに使用するカスタム タグを含むインシデント。

ランサムウェアで識別された脅威分析レポートのフィルター処理

インシデント キュー内のインシデントのフィルター処理と同様に、ランサムウェアを含むレポートの脅威分析レポートをフィルター処理できます。

  1. ナビゲーション ウィンドウで、[ 脅威分析] を選択します。
  2. [ フィルター] を選択します
  3. [ 脅威タグ] で [ ランサムウェア] を選択し、[ 適用] を選択し、[ フィルター ] ウィンドウを閉じます。

このリンクをクリックすることもできます。

多くの脅威分析レポートの [検出の詳細 ] セクションから、脅威に対して作成されたアラート名の一覧を確認できます。

Microsoft Defender XDR API

Microsoft Defender XDR API を使用して、テナント内のMicrosoft Defender XDR インシデントとアラート データに対してクエリを実行することもできます。 カスタム アプリでは、データをフィルター処理し、カスタム設定に基づいてフィルター処理し、アラートやインシデントへのリンクのフィルター処理された一覧を提供できます。これにより、そのアラートまたはインシデントに簡単にアクセスできます。 Microsoft Defender XDRでインシデント API を一覧表示する|Microsoft Docs。SIEM をMicrosoft Defenderと統合することもできます。「SIEM ツールをMicrosoft Defender XDRに統合する」を参照してください。

Microsoft Defender XDR Sentinel 統合

Microsoft Sentinel のMicrosoft Defender XDR インシデント統合を使用すると、すべてのMicrosoft Defender XDRインシデントを Microsoft Sentinel にストリーミングし、両方のポータル間で同期を維持できます。 インシデントには、関連付けられているすべてのアラート、エンティティ、関連情報が含まれます。 Sentinel に入ると、インシデントはMicrosoft Defender XDRと双方向に同期され、インシデント調査で両方のポータルの利点を利用できるようになります。 「Microsoft Sentinel との統合Microsoft Defender XDR」を参照してください。

高度なハンティングによるプロアクティブ スキャン

高度なハンティング は、クエリベースの脅威ハンティング ツールであり、ネットワーク内のイベントを探索して検査し、脅威インジケーターとエンティティを見つけることができます。 この柔軟でカスタマイズ可能な分析ツールは、既知の脅威と潜在的な脅威の両方に対して制約のない捜索を可能にします。 Microsoft Defender XDRでは、カスタム クエリを使用してカスタム検出ルールを作成することもサポートされています。これにより、クエリに基づいてアラートを作成し、自動的に実行するようにスケジュールできます。

ランサムウェア アクティビティを事前にスキャンするには、ID、エンドポイント、アプリ、データに対して一般的に使用されるランサムウェア攻撃方法の高度なハンティング クエリのカタログを作成する必要があります。 すぐに使用できる高度なハンティング クエリの主要なソースを次に示します。

自動ハンティング

高度なハンティング クエリを使用して、ランサムウェア攻撃方法の既知の要素 (通常とは異なる PowerShell コマンドの使用など) に基づいてカスタム検出ルールとアクションを作成することもできます。 カスタム検出ルールは、セキュリティ アナリストが確認および対処できるアラートを作成します。

カスタム検出ルールを作成するには、高度なハンティング クエリCreateページからカスタム検出ルールを選択します。 作成したら、次の項目を指定できます。

  • カスタム検出ルールを実行する頻度
  • ルールによって作成されたアラートの重大度
  • 作成されたアラートの MITRE 攻撃フェーズ
  • 影響を受けたエンティティ
  • 影響を受けるエンティティに対して実行するアクション

焦点を絞ったランサムウェア検出のために SecOps チームを準備する

プロアクティブランサムウェア検出のために SecOps チームを準備するには、次のものが必要です。

  • SecOps チームとorganizationの事前作業
  • 必要に応じてセキュリティ アナリストトレーニング
  • セキュリティ アナリストの最新の攻撃と検出エクスペリエンスを組み込むための継続的な運用作業

SecOps チームとorganizationの事前作業

SecOps チームを取得し、集中型ランサムウェア攻撃防止の準備をorganizationするには、次の手順を検討してください。

  1. ランサムウェア防止を 迅速に展開する - フェーズ 3: ガイダンスを入手しにくくすることで、ランサムウェア防止 用の IT およびクラウド インフラストラクチャを構成します。 このガイダンスのフェーズとタスクは、次の手順と並行して実行できます。
  2. Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、アプリ ガバナンス アドオン、Defender for IoT、Microsoft Entra ID 保護 サービスの適切なライセンスを取得します。
  3. 既知のランサムウェア攻撃方法または攻撃フェーズに合わせて調整された高度なハンティング クエリのカタログを作成します。
  4. Create、スケジュール、アラートの名前付け、自動アクションなど、既知のランサムウェア攻撃方法のアラートを作成する特定の高度なハンティング クエリのカスタム検出ルールのセットです。
  5. 大規模で協調的なランサムウェア攻撃の一部であることが知られているインシデントを特定するために、新しいタグまたは標準を作成する カスタム タグ または標準のセットを決定する
  6. ランサムウェア インシデントとアラート管理の運用タスクのセットを決定します。 以下に例を示します。
    • 階層 1 アナリストによる受信インシデントのスキャンと、調査のための階層 2 アナリストへのアラートと割り当てのプロセス。
    • 高度なハンティング クエリとそのスケジュールを手動で実行する (毎日、毎週、毎月)。
    • ランサムウェア攻撃の調査と軽減エクスペリエンスに基づく継続的な変更。

セキュリティ アナリストトレーニング

必要に応じて、セキュリティ アナリストに次の内部トレーニングを提供できます。

  • 一般的なランサムウェア攻撃チェーン (MITRE 攻撃戦術と一般的な脅威手法とマルウェア)
  • インシデントとアラートと、Microsoft Defender ポータルで次を使用してインシデントとアラートを検索して分析する方法:
    • Microsoft Defender XDRによって既に作成されたアラートとインシデント
    • Microsoft Defender ポータルの事前スキャンされた URL ベースのフィルター
    • インシデント API を使用したプログラムによる
  • 使用する高度なハンティング クエリとその手動スケジュール (毎日、毎週、毎月)
  • 使用するカスタム検出ルールとその設定
  • カスタム インシデント タグ
  • Microsoft Defender ポータルでのランサムウェア攻撃に関する最新の脅威分析レポート

運用学習と新しい脅威に基づく継続的な作業

SecOps チームの継続的なツールとプロセスのベスト プラクティスとセキュリティ アナリストのエクスペリエンスの一部として、次の操作を行う必要があります。

  • 次を使用して、高度なハンティング クエリのカタログを更新します。
    • Microsoft Defender ポータルまたは Advanced Hunting GitHub リポジトリの最新の脅威分析レポートに基づく新しいクエリ。
    • 脅威の識別またはアラート品質の向上のために最適化するために、既存のものに対する変更。
  • 新しいまたは変更された高度なハンティング クエリに基づいて、カスタム検出ルールを更新します。
  • ランサムウェア検出の運用タスクのセットを更新します。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします