方法: リスクの調査
組織では、Identity Protection によって提供されるレポートを使って、環境の ID リスクを調査できます。 これらのレポートには、危険なユーザー、危険なサインイン、危険なワークロード ID、リスク検出が含まれます。 イベントの調査は、セキュリティ戦略の弱点を理解して識別するための鍵です。 これらのレポートはすべて、CSV 形式でのイベントのダウンロード、または詳細な分析のための、専用 SIEM ツールなどの他のセキュリティ ソリューションとの統合に対応しています。
組織は、Microsoft Graph API 統合を利用して、組織としてアクセスできる他のソースを使用してデータを集約できます。
3 つのレポートは、Microsoft Entra 管理センター>Protection>Identity Protection にあります。
レポート内の移動
各レポートは、レポートの上部に表示されている期間のすべての検出の一覧と共に起動します。 各レポートでは、管理者の設定に基づいて列を追加または削除できます。 管理者は、データを .CSV または .JSON 形式でダウンロードすることを選択できます。 レポートは、レポートの上部にあるフィルターを使用してフィルター処理できます。
個々のエントリを選択すると、レポートの上部でさらにエントリを有効にすることができます (サインインが侵害されているまたは安全であると確認する、ユーザーが侵害されていると確認する、ユーザー リスクを無視する機能など)。
個々のエントリを選択すると、検出の下に [詳細] ウィンドウが展開されます。 詳細ビューで、管理者は、各検出を調査してアクションを実行できます。
危険なユーザー
危険なユーザー レポートには、現在または過去に、アカウントが侵害のリスクがあるとみなされたすべてのユーザーが一覧表示されます。 リソースへの不正アクセスを防ぐために、危険なユーザーを調査して修復する必要があります。
ユーザーがリスクにさらされるのはなぜですか?
次の場合、ユーザーは危険なユーザーになります。
- 1 つ以上の危険なサインインがある場合。
- 漏洩した資格情報など、ユーザーのアカウントで検出されたリスクが 1 つ以上ある場合。
危険なユーザーを調査する方法
ユーザーの危険なサインインを表示して調査するには、[最近の危険なサインイン] タブまたは [ユーザーの危険なサインイン] リンクを選択します。
ユーザーのアカウントのリスクを表示して調査するには、[サインインにリンクされていない検出] タブまたは [ユーザーのリスク検出] リンクを選択します。
[リスク履歴] タブには、過去 90 日間にユーザーのリスクの変更につながったすべてのイベントも表示されます。 この一覧には、ユーザーのリスクを増加させたリスク検出と、ユーザーのリスクを低下させた管理者の修復アクションが含まれます。 表示して、ユーザーのリスクがどのように変化したかを確認します。
危険なユーザー レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。
- どのユーザーにリスクにさらされているか、リスクが改善されたか、またはリスクから解放されたか
- 検出の詳細
- すべての危険なサインインの履歴
- リスクの履歴
管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。
- ユーザー パスワードをリセットする
- ユーザーの侵害を確認する
- ユーザー リスクを無視する
- ユーザーによるサインインをブロックする
- Microsoft Defender for Identity を使用してさらに調査する
スコープを理解する
- 更新された組織の出張レポートのための既知の出張者データベースの作成を検討し、それを使って出張アクティビティを相互参照します。
- 会社の VPN と IP アドレス範囲をネームド ロケーションに追加して、誤検知の検出を減らします。
- ログを確認し、同じ特性を持つ類似アクティビティを特定します。 このシグナルは、より多くのアカウントが侵害されたことを示している可能性があります。
- IP アドレス、地域、成功/失敗などの共通の特性がある場合は、条件付きアクセス ポリシーを使ってこれらの条件をブロックすることを検討します。
- 可能性があるデータのダウンロードや管理上の変更など、侵害された可能性のあるリソースを確認します。
- 条件付きアクセスを使用して自己修復ポリシーを有効にする
- ユーザーが新しい場所から大量のファイルをダウンロードするなど、他の危険なアクティビティを実行したことがわかる場合、これは侵害の可能性を強く示しています。
リスクの高いサインイン
危険なサインイン レポートには、最長で過去 30 日間 (1 か月) のフィルター可能なデータが含まれています。
危険なサインイン レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。
- どのサインインが、危険である、侵害が確認された、安全であると確認された、無視された、または修復されたと分類されているか
- サインイン試行に関連付けられ、リアルタイムで集計されたリスク レベル
- トリガーされた検出の種類
- 適用された条件付きアクセス ポリシー
- MFA の詳細
- デバイス情報
- アプリケーション情報
- 場所情報
管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。
- サインインを侵害ありと確認
- サインインを安全と確認
注意
Identity Protection では、対話型または非対話型にかかわらず、すべての認証フローについてリスクを評価します。 危険なサインイン レポートには、対話型および非対話型サインインの両方が表示されます。このビューを変更するには、"サインインの種類" フィルターを使用します。
リスク検出
リスク検出レポートには、最長で過去 90 日間 (3 か月) のフィルター可能なデータが含まれています。
リスク検出レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。
- 各リスク検出についての種類を含む情報
- 同時にトリガーされたその他のリスク
- サインインが試行された場所
- Microsoft Defender for Cloud Apps から得られた情報をさらに詳しく確認するためのリンク
管理者は、ユーザーのリスク レポートまたはサインイン レポートに戻り、収集された情報に基づいてアクションを実行できます。
Note
リスクのあるユーザーのリスク スコアに影響を与えたリスク イベントが誤検知であること、または MFA プロンプトの実行やセキュリティで保護されたパスワードの変更など、ポリシーを適用することによってユーザーのリスクが修復されたことがシステムによって検出される場合があります。 その場合、リスクの状態は無視され、「AI によってサインインが安全であることが確認されました」というリスクの詳細が表示されます。また、ユーザーのリスクには影響しなくなります。
調査フレームワーク
組織は、次のフレームワークを使用して、疑わしいアクティビティについて調査を開始できます。 調査には、問題のユーザーとの会話、サインイン ログの確認、または監査ログの確認を行う必要があります。
- ログを確認し、特定のユーザーに対して疑わしいアクティビティが正常であるかどうかを検証します。
- 少なくとも次のプロパティを含むユーザーの過去のアクティビティを調べて、それらが特定のユーザーにとって正常なことであるかどうかを確認します。
- Application
- デバイス - デバイスは登録または準拠していますか?
- 場所 - ユーザーは別の場所に移動したり、複数の場所からデバイスにアクセスしたりしますか?
- IP アドレス
- ユーザー エージェント文字列
- Microsoft Sentinel などの他のセキュリティツールにアクセスできる場合は、より大きな問題を示すアラートがあるかどうかを確認してください。
- Microsoft 365 Defender にアクセスできる組織は、他の関連するアラートやインシデント、MITRE ATT&CK チェーンを通じてユーザー リスク イベントを追跡できます。
- [危険なユーザー] レポートでユーザーを選択します。
- ツール バーの省略記号 (...) を選択し、[Microsoft 365 Defender で調査する] を選択します。
- 少なくとも次のプロパティを含むユーザーの過去のアクティビティを調べて、それらが特定のユーザーにとって正常なことであるかどうかを確認します。
- ユーザーに連絡して、サインインが認識されているかどうかを確認します。 電子メールや Teams などのメソッドが侵害される可能性があります。
- 次のような情報を確認します。
- アプリケーション
- Device
- 場所
- IP アドレス
- 次のような情報を確認します。
重要
攻撃者がユーザーを偽装し、パスワードをリセットして、MFA を実行できると思われる場合は、ユーザーをブロックし、すべての更新トークンとアクセス トークンを取り消す必要があります。
Microsoft Entra 脅威インテリジェンスの検出を調査する
Microsoft Entra 脅威インテリジェンスのリスク検出を調査するには、次の手順を実行します。
検出に関する詳細情報を次に示します。
- 疑わしい IP アドレスからのサインイン:
- IP アドレスが環境内で疑わしい動作を示しているかどうかを確認します。
- ディレクトリ内でユーザーまたはユーザーのセットに対して、IP によって多数のエラーが生成されていますか?
- IP のトラフィックが予期しないプロトコルまたはアプリケーションから送信されていますか (従来のプロトコル Exchange など)?
- IP アドレスがクラウド サービス プロバイダーに対応している場合は、同じ IP から実行される正当なエンタープライズ アプリケーションが存在しないことをルールによって除外します。
- このアカウントは、パスワード スプレー攻撃の被害者でした。
- ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。
- 他のユーザーに、同じ期間内に検出されたサインインで似たような特殊なパターンを持つサインインがありますか? パスワード スプレー攻撃では、次のような特殊なパターンが表示されることがあります。
- ユーザー エージェント文字列
- Application
- Protocol
- IP/ASN の範囲
- サインインの時刻と頻度
- この検出はリアルタイム ルールによってトリガーされました。
- ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。 これは、ルールに割り当てられている TI_RI_#### 番号で確認できます。
- リアルタイム ルールは、Microsoft の脅威インテリジェンスによって識別される新しい攻撃から保護します。 ディレクトリ内の複数のユーザーが同じ攻撃のターゲットであった場合は、サインインの他の属性で異常なパターンを調査します。
Microsoft 365 Defender でリスクを調査する
Microsoft 365 Defender と Microsoft Defender for Identity をデプロイした組織は、Identity Protection シグナルから追加の価値を得ることができます。 この価値は、組織の他の部署から得た他のデータとの相関関係の強化と、追加の自動調査と応答の形で得ることができます。
Microsoft 365 Defender で、セキュリティ プロフェッショナルと管理者は、次のような領域から不審なアクティビティへの接続を行うことができます。
- Defender for Identity でのアラート
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
Microsoft 365 Defender を使用して疑わしいアクティビティを調査する方法の詳細については、「Microsoft Defender for Identity で資産を調査する」および「Microsoft 365 Defender でインシデントを調査する」の記事をご覧ください。
これらのアラートとその構造の詳細については、「セキュリティ アラートを理解する」の記事をご覧ください。
調査の状態
セキュリティ担当者が Microsoft 365 Defenderと Defender for Identity でリスクを調査すると、次の状態と理由がポータルと API の Identity Protection に返されます。
Microsoft 365 Defender での状態 | Microsoft 365 Defender での分類 | Microsoft Entra ID Protection リスク状態 | Microsoft Entra ID Protection のリスク詳細 |
---|---|---|---|
新しい | 偽陽性 | 安全であるとの確認済み | M365DAdminDismissedDetection |
新規 | 問題のない真陽性 | 安全であるとの確認済み | M365DAdminDismissedDetection |
新規 | 真陽性 | セキュリティ侵害の確認済み | M365DAdminDismissedDetection |
進行中 | 未設定 | 危険 | |
進行中 | 偽陽性 | 安全であるとの確認済み | M365DAdminDismissedDetection |
進行中 | 問題のない真陽性 | 安全であるとの確認済み | M365DAdminDismissedDetection |
進行中 | 真陽性 | セキュリティ侵害の確認済み | M365DAdminDismissedDetection |
解決済み | 未設定 | 無視 | M365DAdminDismissedDetection |
解決済み | 偽陽性 | 安全であるとの確認済み | M365DAdminDismissedDetection |
解決済み | 問題のない真陽性 | 安全であるとの確認済み | M365DAdminDismissedDetection |
解決済み | 真陽性 | 修復された | M365DAdminDismissedDetection |