次の方法で共有

リスクを調査する方法

Microsoft Entra ID Protection には、環境内の ID リスクを調査するために使用できる複数のリスク レポート が用意されています。 イベントの調査は、セキュリティ戦略の弱点を理解して識別するための鍵です。 ID Protection レポートは、ストレージ用にアーカイブすることも、セキュリティ情報およびイベント管理 (SIEM) ツールと統合してさらに分析することもできます。 組織は、Microsoft Defender、Microsoft Sentinel、および Microsoft Graph API の統合を利用して、他のソースとデータを集計することもできます。

環境内のリスクを調査する方法は多数あり、調査中に考慮すべきさらに詳細があります。 この記事では、作業の開始に役立つフレームワークについて説明し、最も一般的なシナリオと推奨されるアクションの概要を示します。

[前提条件]

  • Microsoft Entra ID Protection 機能へのフル アクセスには、Microsoft Entra ID P2 または Microsoft Entra Suite ライセンスが必要です。
  • グローバル閲覧者 は、 リスク レポートを表示するために必要な最小限の特権ロールです。
  • レポート閲覧者 は、 サインイン ログと監査ログを表示するために必要な最小限の特権ロールです。

初期トリアージ

最初のトリアージを開始するときは、次のアクションをお勧めします。

  1. ID Protection ダッシュボードを確認して、環境内の検出に基づいて、攻撃の数、リスクの高いユーザーの数、およびその他の重要なメトリックを視覚化します。

  2. リスク レポートを確認して、最近危険なユーザー、サインイン、または検出の詳細を確認します。

  3. 影響分析ブックを確認して、環境内でリスクが明らかになるシナリオと、リスクの高いユーザーとサインインを管理するために有効にする必要があるリスクベースのアクセス ポリシーを理解します。

  4. サインイン ログを確認して、同じ特性を持つ同様のアクティビティを特定します。 このアクティビティは、より多くのアカウントが侵害されたことを示している可能性があります。

    1. IP アドレス、地域、成功/失敗などの共通の特性がある場合は、条件付きアクセス ポリシーを使ってそれらをブロックすることを検討します。
    2. 可能性があるデータのダウンロードや管理上の変更など、侵害された可能性のあるリソースを確認します。
    3. 条件付きアクセスを使用して自己修復ポリシーを有効にします。

  5. Microsoft Purview を使用した Insider Risk Management を使用すると、ユーザーが他の危険なアクティビティ (新しい場所から大量のファイルをダウンロードするなど) を実行したかどうかを確認できます。 この動作は、侵害の可能性を強く示しています。

攻撃者がユーザーを偽装していると思われる場合は、ユーザにパスワードをリセットするよう要求し、MFAを実行するか、偽装しているユーザーをブロックして、すべての更新トークンとアクセス トークンを取り消す必要があります。

調査とリスク修復フレームワーク

組織は、次のフレームワークを使用して、疑わしいアクティビティを調査できます。 リスクが検出された場合、推奨される最初の手順は自己修復です (オプションの場合)。 自己修復は、セルフサービスパスワードリセットまたは リスクベースの条件付きアクセス ポリシーの修復フローを通じて行うことができます。

自己修復がオプションでない場合、管理者はリスクを修復する必要があります。 修復は、パスワード リセットを呼び出し、ユーザーに MFA の再登録、ユーザーのブロック、またはユーザー セッションの取り消しを要求することで行われます。 次のフローチャートは、リスクが検出された後の推奨フローを示しています。

リスク修復フローを示す図。

リスクが封じ込められたら、リスクを「安全」、「損なわれた」、または「問題なし」としてマークするために、さらに調査が必要になる場合があります。

  1. サインイン ログを確認し、特定のユーザーのアクティビティが正常かどうかを検証します。

    1. 次のプロパティを含むユーザーの過去のアクティビティを調べて、それらが特定のユーザーにとって正常なことであるかどうかを確認します。
      • アプリケーション - アプリはユーザーによって一般的に使用されますか?
      • デバイス - デバイスは登録または準拠していますか?
      • 場所 - ユーザーは別の場所に移動したり、複数の場所からデバイスにアクセスしたりしますか?
      • IP アドレス
      • [ユーザ エージェント文字列]

  2. 使用可能な場合は、他のセキュリティ ツールを使用して調査します。

    • Microsoft Sentinel がある場合は、より大きな問題を示す可能性のある対応するアラートを確認します。
    • Microsoft Defender XDR を使用している場合は、他の関連するアラートやインシデントを通じてユーザー リスク イベントに従うことができます。
    • Microsoft Defender XDR の Microsoft Sentinel を介した MITRE ATT&CK チェーンも分析情報を提供する場合があります。 Microsoft Defender ポータルで、インシデントとアラート>Alerts>を参照し、製品名フィルターを AAD Identity Protection に設定して、Microsoft Entra ID Protection からアラートを検索します。

  3. サインインが認識されているかどうかを確認するには、ユーザーに問い合わせてください。ただし、メールまたは Teams が侵害される可能性があることに注意してください。

    1. 次のような情報をお持ちの場合は確認してください。
      • タイムスタンプ
      • アプリケーション
      • デバイス
      • 場所
      • IP アドレス

  4. 調査の結果に応じて、ユーザーまたはサインインを侵害の確認済み、安全確認済み、またはリスクの無視としてマークします。

  5. リスクベースの条件付きアクセス ポリシーを設定し 同様の攻撃を防いだり、カバレッジのギャップに対処したりします。

特定の検出を調査する

特定のリスク検出には、特定の調査手順が必要です。 次のセクションでは、最も一般的なリスク検出と推奨されるアクションの一部について説明します。

Microsoft Entra の脅威インテリジェンス

Microsoft Entra 脅威インテリジェンス リスク検出を調査するには、[リスク検出の詳細] ウィンドウの [追加情報] フィールドに表示される情報に基づいて、次の手順に従います。

  • サインインが疑わしい IP アドレスからの場合:

    1. IP アドレスが環境内で疑わしい動作を示しているかどうかを確認します。
    2. ディレクトリ内でユーザーまたはユーザーのセットに対して、IP によって多数のエラーが生成されていますか?
    3. IP のトラフィックが予期しないプロトコルまたはアプリケーションから送信されていますか (従来のプロトコル Exchange など)?
    4. IP アドレスがクラウド サービス プロバイダーに対応している場合は、同じ IP から実行される正当なエンタープライズ アプリケーションが存在しないことをルールによって除外します。

  • アカウントはパスワード スプレー攻撃の被害者でした

    1. ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。
    2. 他のユーザーが、同じ期間内に検出されたサインインに似た非定型パターンのサインインを持っているかどうかを判断します。 パスワード スプレー攻撃では、次のような特殊なパターンが表示されることがあります。
      • ユーザー エージェント文字列
      • アプリケーション
      • プロトコル
      • IP/ASN の範囲
      • サインインの時刻と頻度

  • 検出はリアルタイム ルールによってトリガーされました

    1. ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。 これは、ルールに割り当てられている TI_RI_#### 番号で確認できます。
    2. リアルタイム ルールは、Microsoft の脅威インテリジェンス調査によって特定された新しい攻撃から保護します。 ディレクトリ内の複数のユーザーが同じ攻撃のターゲットであった場合は、サインインの他の属性で異常なパターンを調査します。

非定型旅行の検出

  • アクティビティが正当なユーザーによって実行 されなかった ことが確認された場合:
    1. サインインを侵害済みとしてマークし、自己修復によってまだ実行されていない場合はパスワード リセットを呼び出します。
    2. 攻撃者がパスワードをリセットしたり、MFA とパスワードのリセットを実行したりするためのアクセス権を持っている場合は、ユーザーをブロックします。
  • ユーザーが職務の範囲で IP アドレスを使用することがわかっている場合は、サインインが安全であることを確認します。
  • ユーザーがアラートに詳しく記載されている宛先に最近移動したことを確認した場合は、サインインが安全であることを確認します。
  • IP アドレス範囲が承認された VPN からの場合は、サインインが安全であることを確認し、Microsoft Entra ID と Microsoft Defender for Cloud Apps の名前付き場所に VPN IP アドレス範囲を追加します。

異常なトークンとトークン発行者の異常検出

  • リスク アラート、場所、アプリケーション、IP アドレス、ユーザー エージェント、またはユーザーにとって予期しないその他の特性の組み合わせを使用して、正当なユーザーによってアクティビティが実行 されなかった ことを確認した場合:

    1. サインインを侵害済みとしてマークし、自己修復によってまだ実行されていない場合はパスワード リセットを呼び出します。
    2. 攻撃者がパスワード リセットのアクセス権を持ってたり、パスワード セットを実行したりする場合は、ユーザーをブロックします。
    3. リスクベースの条件付きアクセス ポリシーを設定 して、パスワードのリセットを要求したり、MFA を実行したり、リスクの高いすべてのサインインのアクセスをブロックしたりします。

  • ユーザーに対して場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が想定されていることを確認し、他の侵害の兆候がない場合は、ユーザーがリスクベースの条件付きアクセス ポリシーを使用して自己修復できるようにするか、管理者にサインインが安全であることを確認させます。

トークン ベースの検出の詳細な調査については、ブログ記事の「トークンの戦術: クラウド トークンの盗難の防止、検出、対応を行う方法」と「トークン盗難の調査プレイブック」をご覧ください。

疑わしいブラウザーの検出

この検出は、ユーザーがブラウザーを一般的に使用していないか、ブラウザー内のアクティビティがユーザーの通常の動作と一致しないことを示します。

  • サインインが侵害されていることを確認し、自己修復によってまだ実行されていない場合はパスワード リセットを呼び出します。 攻撃者がパスワード リセットのアクセス権を持ってたり、MFA を実行したりする場合は、ユーザーをブロックします。
  • リスクベースの条件付きアクセス ポリシーを設定 して、パスワードのリセットを要求したり、MFA を実行したり、リスクの高いすべてのサインインのアクセスをブロックしたりします。

悪意のある IP アドレスの検出

  • アクティビティが正当なユーザーによって実行 されなかった ことを確認した場合:

    1. サインインが侵害されていることを確認し、自己修復によってまだ実行されていない場合はパスワード リセットを呼び出します。
    2. 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
    3. リスクベースの条件付きアクセス ポリシーを設定して、 パスワードのリセットを要求するか、リスクの高いすべてのサインインに対して MFA を実行します。

  • ユーザーが職務の範囲で IP アドレスを使用 することを 確認した場合は、サインインが安全であることを確認します。

パスワード スプレーの検出

パスワード スプレー検出とは、攻撃者がスプレー攻撃を実行し、テナント内のユーザーに対して資格情報の検証が成功したことを Microsoft が観察したことを意味します。 スプレー攻撃は、多くのテナント間でユーザーを標的にしている可能性があります。検出は、パスワードの一致が成功したことが確認されたテナントでのみ発生します。 スプレー試行が失敗しても検出は生成されません。

  • アクティビティが正当なユーザーによって実行 されなかった ことを確認した場合:

    1. サインインを侵害済みとしてマークし、自己修復によってまだ実行されていない場合はパスワード リセットを呼び出します。
    2. 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。

  • ユーザーが職務の範囲で IP アドレスを使用 することを 確認した場合は、サインインが安全であることを確認します。

  • アカウントが侵害されていないことを確認し、アカウントに対するブルート フォースまたはパスワード スプレー インジケーターが表示されない場合:

    1. ユーザーがリスクベースの条件付きアクセス ポリシーを使用して自己修復することを許可するか、管理者にサインインが安全であることを確認させます。
    2. 不要なアカウントロックアウトを回避するために、Microsoft Entra スマート ロックアウト 適切に構成されていることを確認します。

パスワード スプレーのリスク検出の詳細な調査については、「パスワード スプレー調査に」の記事をご覧ください。

漏洩した資格情報の検出

漏洩した資格情報の検出は、確認された資格情報の公開を表すので、常に高リスクです。 この検出が発生したら、すぐに調査してください。

この検出でユーザーの資格情報が漏洩した場合:

  1. 露出の範囲を評価します。 ユーザーのリスク履歴とサインイン ログを確認して、漏洩した資格情報が未承認のアクセスに使用されたかどうかを判断します。 未知の場所からのサインイン、匿名 IP アドレス、非定型旅行など、関連するサインイン リスク イベントを探します。
  2. パスワードが既に変更されているかどうかを確認します。 漏洩が検出された日付以降にユーザーがパスワードを変更したかどうかを確認します。 Microsoft Entra 条件付きアクセス ポリシーによってトリガーされるクラウドベースのパスワード リセットは、この検出のユーザー リスクを完全に修復します。 パスワードが変更された場合、リスクは既に自己修復されている可能性があります。 そうでない場合は、ユーザーが侵害されていることを確認し、パスワードのリセットを開始します。
  3. 攻撃者がアクティブな場合はアクセスをブロックします。 サインイン ログに未承認のアクセスが表示されている場合、または攻撃者がパスワードをリセットまたは MFA を実行する機能がある場合は、ユーザーをブロックし、パスワードをリセットし、すべての更新トークンを取り消します。 セッションの取り消しは、アクティブな侵害の証拠がある場合に重要です。
  4. 横移動を確認します。 ユーザーの最近のアクティビティで、特権エスカレーションの兆候、新しいアプリの登録、メールボックス ルールの変更、侵害後のアクティビティを示す可能性がある機密性の高いリソースへのアクセスを確認します。
  5. 接続されているアカウントを確認します。 ユーザーが複数のサービスでパスワードを再利用する場合は、テナントを超えて侵害された資格情報を検討してください。 同じ資格情報を使用する他のサービスでパスワードを変更するようユーザーに勧めます。

将来のリスクを軽減する

  • 条件付きアクセス ポリシーの 名前付き場所 に企業 VPN と IP アドレス範囲を追加して、誤検知を減らします。
  • 更新された組織の出張レポートのための既知の出張者データベースの作成を検討し、それを使って出張アクティビティを相互参照します。
  • ID Protection でフィードバックを提供 して、検出精度を向上させ、誤検知を減らします。

次のステップ

  • Last updated on