次の方法で共有

リスク検出とは

Microsoft Entra ID Protection は、組織内の疑わしいアクティビティを識別するために使用できる、幅広いリスク検出を提供できます。 この記事に含まれる表は、ライセンス要件を含むサインインとユーザー リスク検出の一覧、または検出がリアルタイムまたはオフラインで行われるかどうかをまとめたものです。 各リスク検出の詳細については、次の表を参照してください。

  • ほとんどのリスク検出の詳細については、Microsoft Entra ID P2 が必要です。
    • Microsoft Entra ID P2 ライセンスを持たないお客様は、リスク検出の詳細なしで 検出された追加のリスク というタイトルの検出を受け取ります。
    • For more information, see the license requirements.
  • ワークロード ID リスク検出の詳細については、「 ワークロード ID のセキュリティ保護」を参照してください。

Note

リアルタイムとオフラインの検出とリスク レベルの詳細については、「 リスク検出の種類とレベル」を参照してください。

riskEventType にマップされたサインイン リスク検出

一覧からリスク検出を選択して、リスク検出の説明、動作方法、およびライセンス要件を表示します。 In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license. Nonpremium indicates the detection is available with Microsoft Entra ID Free. riskEventType列は、Microsoft Graph API クエリに表示される値を示します。

サインイン リスク検出 Detection type タイプ riskEventType
匿名 IP アドレスからのアクティビティ Offline Premium riskyIPAddress
検出された追加のリスク (サインイン) リアルタイムまたはオフライン Nonpremium generic ^
ユーザーに対するセキュリティ侵害を管理者が確認しました Offline Nonpremium adminConfirmedUserCompromised
異常なトークン (サインイン) リアルタイムまたはオフライン Premium anomalousToken
匿名 IP アドレス Real-time Nonpremium anonymizedIPAddress
Atypical travel Offline Premium unlikelyTravel
Impossible travel Offline Premium mcasImpossibleTravel
悪意のある IP アドレス Offline Premium maliciousIPAddress
機密ファイルへの大量アクセス Offline Premium mcasFinSuspiciousFileAccess
Microsoft Entra の脅威インテリジェンス (サインイン) リアルタイムまたはオフライン Nonpremium investigationsThreatIntelligence
New country Offline Premium newCountry
Password spray リアルタイムまたはオフライン Premium passwordSpray
Suspicious browser Offline Premium suspiciousBrowser
受信トレイからの疑わしい転送 Offline Premium suspiciousInboxForwarding
受信トレイに対する疑わしい操作ルール Offline Premium mcasSuspiciousInboxManipulationRules
トークン発行者の異常 Offline Premium tokenIssuerAnomaly
通常とは異なるサインイン プロパティ Real-time Premium unfamiliarFeatures
検証済み脅威アクター IP Real-time Premium nationStateIP

^ 追加のリスク検出 の riskEventType は、Microsoft Entra ID Free または Microsoft Entra ID P1 を持つテナントの 汎用 です。 危険なものが検出されましたが、Microsoft Entra ID P2 ライセンスがないと詳細は利用できません。

riskEventType にマップされたユーザー リスク検出

一覧からリスク検出を選択して、リスク検出の説明、動作方法、およびライセンス要件を表示します。

ユーザー リスク検出 Detection type タイプ riskEventType
検出された追加のリスク (ユーザー) リアルタイムまたはオフライン Nonpremium generic ^
異常なトークン (ユーザー) リアルタイムまたはオフライン Premium anomalousToken
異常なユーザー アクティビティ Offline Premium anomalousUserActivity
中間攻撃者 Offline Premium attackerinTheMiddle
Leaked credentials Offline Nonpremium leakedCredentials
Microsoft Entra の脅威インテリジェンス (ユーザー) リアルタイムまたはオフライン Nonpremium investigationsThreatIntelligence
プライマリ更新トークン (PRT) へのアクセス試行の可能性 Offline Premium attemptedPrtAccess
疑わしい API トラフィック Offline Premium suspiciousAPITraffic
不審な送信パターン Offline Premium suspiciousSendingPatterns
ユーザーからの疑わしいアクティビティの報告 Offline Premium userReportedSuspiciousActivity

^ 追加のリスク検出 の riskEventType は、Microsoft Entra ID Free または Microsoft Entra ID P1 を持つテナントの 汎用 です。 危険なものが検出されましたが、Microsoft Entra ID P2 ライセンスがないと詳細は利用できません。

サインイン リスク検出

匿名 IP アドレスからのアクティビティ

この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、匿名プロキシ IP アドレスとして識別されている IP アドレスからユーザーがアクティブだったことを示します。

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

検出された追加のリスク (サインイン)

この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Microsoft Entra ID Premium P2 のお客様にのみ表示されるため、Microsoft Entra ID P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。

  • リアルタイムまたはオフラインで計算
  • ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1

ユーザーに対する管理者確認済みのセキュリティ侵害

この検出は、管理者が "危険なユーザー" UI で、または riskyUsers API を使用して、[ユーザーに対するセキュリティ侵害を確認しますか?] を選択したことを示します。 このユーザーに対するセキュリティが侵害されたことを確認した管理者を調べるには、ユーザーのリスク履歴を (UI または API 経由で) 確認します。

  • Calculated offline
  • ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1

異常なトークン (サインイン)

これが検出されたことは、通常とは異なる有効期間や、これまでと違う場所からのトークンなど、トークンの異常な特性を示しています。 この検出では、"セッション トークン" と "更新トークン" が対象となります。

異常なトークンは、同じリスク レベルの他の検出よりも多くのノイズが発生するように調整されます。 このトレードオフは、他の方法では見過ごされる可能性のある再生されたトークンを検出する可能性を高めるために選択されています。 この検出によってフラグが設定されたセッションの一部が誤検知である可能性が通常よりも高くなります。 この検出によってフラグが設定されたセッションを、ユーザーからの他のサインインのコンテキストで調査することをお勧めします。 場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が、ユーザーにとって予期しないものである場合、管理者はこのリスクを潜在的なトークン再生のインジケーターと見なす必要があります。

匿名 IP アドレス

このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにサインイン情報 (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。

  • リアルタイムで計算
  • ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1

通常とは異なる移動

このリスク検出の種類では、地理的に離れた場所で行われた 2 つのサインインを識別します。少なくとも 1 つの場所は、ユーザーの過去の行動から考えて、ユーザーにそぐわない可能性がある場所でもあります。 このアルゴリズムでは、2 回のサインインの間隔や、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間など、複数の要因が考慮されます。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。

このアルゴリズムは、組織内の他のユーザーによって普通に使用される VPN や場所など、不可能な移動状況の原因になる明らかな "誤検知" を無視します。 システムには、最短で 14 日間または 10 回のログインの初期学習期間があり、その間に新しいユーザーのサインイン行動が学習されます。

あり得ない移動

この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出では、地理的に離れている場所で、最初の場所から 2 番目の場所に移動するのに要する時間より短い時間内に発生したユーザー アクティビティ (単一または複数のセッションにおける) を特定します。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

悪意のある IP アドレス

この検出は、悪意のある IP アドレスからのサインインを示します。 IP アドレスは、その IPアドレスまたはその他の IP 評価ソースから受信した無効な資格情報によるエラー率の高さに基づいて、悪意があるとみなされます。 場合によっては、この検出は以前の悪意のあるアクティビティでトリガーされます。

機密ファイルへの大量アクセス

この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、ユーザーが Microsoft SharePoint Online または Microsoft OneDrive から複数のファイルにアクセスするときに、環境を調べて、アラートをトリガーします。 アラートがトリガーされるのは、アクセスされるファイルの数がこのユーザーにとって一般的ではなく、ファイルに機密情報が含まれている可能性がある場合のみです。

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Microsoft Entra の脅威インテリジェンス (サインイン)

このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。

初めての国

この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。 異常検出エンジンにより、組織内のユーザーが以前に使用したことのある場所に関する情報が格納されます。

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

パスワード スプレー

パスワード スプレー攻撃では、一般的なパスワードを使用して統一されたブルート フォース方式で複数の ID が攻撃されます。 リスク検出は、アカウントのパスワードが有効であり、サインインが試行されたときにトリガーされます。 この検出は、ユーザーのパスワードがパスワード スプレー攻撃によって正しく識別されたことを示します。攻撃者がリソースにアクセスできなかったというわけではありません。

Suspicious browser

疑わしいブラウザー検出は、同じブラウザー内の異なる国/地域の複数のテナントにわたる疑わしいサインイン アクティビティに基づく異常な動作を示します。

受信トレイからの疑わしい転送

この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイ ルールを作成した場合などの疑わしいメール転送ルールを探します。

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

受信トレイに対する疑わしい操作ルール

この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合、この検出によって環境が調べられ、アラートがトリガーされます。 この検出は、ユーザー アカウントが侵害されていること、メッセージが意図的に非表示にされていること、組織内でスパムまたはマルウェアを配信するためにメールボックスが使用されていることを示唆している可能性があります。

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

トークン発行者異常

このリスクの検出は、関連する SAML トークンの SAML トークン発行者が侵害された恐れがあることを意味しています。 トークンに含まれるクレームが、通常とは異なるか、既知の攻撃者パターンと一致しています。

見慣れないサインイン プロパティ

このリスク検出の種類では、過去のサインイン履歴を考慮して異常なサインインを探します。システムによって、以前のサインインに関する情報が保存され、そのユーザーになじみのないプロパティでサインインが発生したときにリスク検出がトリガーされます。 これらのプロパティには、IP、ASN、場所、デバイス、ブラウザー、テナント IP サブネットが含まれます。 新しく作成されたユーザーは、"学習モード" 期間に置かれ、そのユーザーの行動がアルゴリズムによって学習される間、見慣れないサインイン プロパティのリスク検出は停止されます。 学習モードの期間は動的であり、ユーザーのサインイン パターンに関する十分な情報をアルゴリズムが収集するためにかかる時間によって決まります。 最小期間は 5 日です。 無活動状態が長期間続いた場合、ユーザーは学習モードに戻る可能性があります。

この検出は、基本認証 (または従来のプロトコル) に対しても実行されます。 これらのプロトコルには、クライアント ID などの最新のプロパティがないため、誤検知を減らすためのデータが限られています。 お客様には、最新の認証に移行することをお勧めしています。

通常とは異なるサインイン プロパティは、対話型サインインと非対話型サインインの両方で検出できます。この検出が非対話型サインインで行われた場合、トークン リプレイ攻撃のリスクがあるため精査を増やす必要があります。

見慣れないサインイン プロパティのリスクを選択すると、このリスクがトリガーされた理由の詳細を示す情報を表示できます。

  • リアルタイムで計算
  • ライセンス要件: Microsoft Entra ID P2

検証済み脅威アクター IP

リアルタイムで計算されます。 この種類のリスク検出では、Microsoft Threat Intelligence Center (MSTIC) からのデータに基づいて、国家的なアクターまたはサイバー犯罪グループに関連付けられている既知の IP アドレスと一致するサインイン アクティビティが示されます。

  • リアルタイムで計算
  • ライセンス要件: Microsoft Entra ID P2

ユーザー リスク検出

検出された追加のリスク (ユーザー)

この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Microsoft Entra ID Premium P2 のお客様にのみ表示されるため、Microsoft Entra ID P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。

  • リアルタイムまたはオフラインで計算
  • ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1

異常なトークン (ユーザー)

これが検出されたことは、通常とは異なる有効期間や、これまでと違う場所からのトークンなど、トークンの異常な特性を示しています。 この検出では、"セッション トークン" と "更新トークン" が対象となります。

異常なトークンは、同じリスク レベルの他の検出よりも多くのノイズが発生するように調整されます。 このトレードオフは、他の方法では見過ごされる可能性のある再生されたトークンを検出する可能性を高めるために選択されています。 この検出によってフラグが設定されたセッションの一部が誤検知である可能性が通常よりも高くなります。 この検出によってフラグが設定されたセッションを、ユーザーからの他のサインインのコンテキストで調査することをお勧めします。 場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が、ユーザーにとって予期しないものである場合、管理者はこのリスクを潜在的なトークン再生のインジケーターと見なす必要があります。

異常なユーザー アクティビティ

このリスク検出により、Microsoft Entra ID の通常の管理ユーザーの行動をベースラインとして設定し、ディレクトリに対する疑わしい変更などの異常な行動パターンを検出することができます。 検出は、変更を行った管理者または変更されたオブジェクトに対してトリガーされます。

  • Calculated offline
  • ライセンス要件: Microsoft Entra ID P2

中間攻撃者

中間の敵対者とも呼ばれるこの高精度検出は、認証セッションが悪意のあるリバース プロキシにリンクされたときにトリガーされます。 この種の攻撃では、敵対者はユーザーに発行されたトークンを含むユーザーの資格情報をインターセプトできます。 The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. 管理者は、この検出がトリガーされたときにユーザーを手動で調査し、リスクを確実にクリアすることをお勧めします。 このリスクをクリアするには、セキュリティで保護されたパスワードのリセットや既存のセッションの取り消しが必要になる可能性があります。

  • Calculated offline
  • ライセンス要件: Microsoft Entra ID P2

漏洩した資格情報

このリスク検出の種類は、ユーザーの有効な資格情報が漏洩したことを示します。 サイバー犯罪者が正規ユーザーの有効なパスワードを侵害すると、多くの場合、これらの収集した認証情報を共有します。 この共有は、一般に、闇サイトや貼り付けサイトに公開したり、資格情報を闇市場で取引したり販売したりすることで行われます。 Microsoft の漏洩した資格情報サービスで、ダーク ウェブ、貼り付けサイト、またはその他のソースからユーザー資格情報が取得された場合は、有効な一致を見つけるために Microsoft Entra ユーザーの現在の有効な資格情報に対してチェックされます。 For more information about leaked credentials, see FAQs.

Microsoft Entra の脅威インテリジェンス (ユーザー)

このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。

プライマリ更新トークン (PRT) へのアクセス試行の可能性

このリスク検出の種類は、Microsoft Defender for Endpoint (MDE) によって提供される情報を使用して検出されます。 プライマリ更新トークン (PRT) は、Windows 10、Windows Server 2016 以降のバージョン、iOS、および Android デバイスでの Microsoft Entra 認証のキー アーティファクトです。 PRT は、これらのデバイスで使用されるアプリケーション間でシングル サインオン (SSO) を有効にするために、マイクロソフトのファースト パーティ トークン ブローカーに向けて発行される JSON Web トークン (JWT) です。 攻撃者は、このリソースにアクセスして、組織への侵入や資格情報の盗難を試みる可能性があります。 これが検出されると、ユーザーは高いリスクに移行されます。これは MDE が展開されている組織でのみ実行されます。 この検出は高リスクであるため、これらのユーザーを速やかに修復することをお勧めします。 そのボリュームは小さいため、ほとんどの組織ではあまり現れません。

  • Calculated offline
  • ライセンス要件: Microsoft Entra ID P2

疑わしい API トラフィック

このリスク検出は、異常な GraphAPI トラフィックまたはディレクトリの列挙が観察されたときに報告されます。 疑わしい API トラフィックは、ユーザーが侵害され、環境内で偵察を行っていることを示唆している可能性があります。

  • Calculated offline
  • ライセンス要件: Microsoft Entra ID P2

不審な送信パターン

このリスク検出の種類は、Microsoft Defender for Office 365 (MDO) によって提供される情報を使用して検出されます。 このアラートは、組織内の誰かが疑わしい電子メールを送信し、電子メールの送信にリスクがあるか、または制限されている場合に生成されます。 これが検出されると、ユーザーは中程度のリスクに移行されます。これは MDO が展開されている組織でのみ実行されます。 この検出は頻度が低く、ほとんどの組織ではあまり見られません。

  • Calculated offline
  • ライセンス要件: Microsoft Entra ID P2

ユーザーからの疑わしいアクティビティの報告

このリスク検出は、ユーザーが多要素認証 (MFA) のプロンプトを拒否し、それを疑わしいアクティビティと報告した場合に報告されます。 ユーザーによって開始されていない MFA プロンプトは、資格情報が侵害されていることを意味する可能性があります。

  • Calculated offline
  • ライセンス要件: Microsoft Entra ID P2