Microsoft Defender XDRで最初のインシデントを分析する

適用対象:

• Microsoft Defender XDR

インシデントを取り巻くコンテキスト を 理解することは、攻撃の分析に不可欠です。 専門知識と経験をMicrosoft Defender XDRの機能と組み合わせることで、インシデントの迅速な解決とサイバー攻撃からのorganizationの安全性が確保されます。

データ セキュリティに対する今日の脅威 ( ビジネス メール侵害 (BEC)、バックドアや ランサムウェアなどのマルウェア、組織の侵害、 国家攻撃 など) には、インシデント対応者からの迅速でインテリジェントで決定的なアクションが必要です。 Microsoft Defender XDRなどのツールを使用すると、応答チームは、単一ウィンドウのエクスペリエンスを通じてインシデントを検出、トリアージ、調査し、これらのタイムリーな意思決定を行うために必要な情報を見つけることができます。

調査タスク

調査には通常、レスポンダーが複数のアプリを表示しながら、さまざまな脅威インテリジェンス ソースを同時に確認する必要があります。 場合によっては、調査が拡張され、他の脅威を追い詰めることができます。 攻撃調査で事実と解決策を文書化することは、他の調査員が使用したり、後で調査したりするための履歴とコンテキストを提供する追加の重要なタスクです。 これらの調査タスクは、次の方法でMicrosoft Defender XDRを使用する場合に簡略化されます。

• ピボット – ポータルは、organizationで有効になっている Defender ワークロード全体でコンテキスト化された重要な攻撃情報を集計します。 ポータルは、1 つの攻撃のコンポーネント (ファイル、URL、メールボックス、ユーザー アカウント、またはデバイス) 全体のすべての情報を統合し、アクティビティの関係とタイムラインを表示します。 ポータルでは、ページ内のすべての情報を使用して、インシデント対応者が関連するエンティティとイベント間でピボットし、意思決定に必要な情報を見つけることができます。

• ハンティング – 脅威ハンターは、Kusto クエリを使用してポータルの高度なハンティング機能を使用して、organization内で既知および考えられる脅威を見つけることができます。 Kusto を初めて使用する場合は、 ガイド付きモード を使用して脅威を探します。

• 分析情報 – 該当する場合、インシデント対応者は、以前に検出されたイベントとアラートに対するアクションを表示して、現在の調査を支援できます。 さらに、Microsoft 独自の脅威インテリジェンスの取り組みや 、MITRE ATT&CK® フレームワークや VirusTotal などのソースから、イベントやアラートにも追加の分析情報が自動的に追加されます。

• コラボレーション – セキュリティ運用チームは、コメント、タグ付け、フラグ付け、割り当てなどのポータル機能を使用して、過去および現在のインシデントとアラートに関する各チーム メンバーの決定とアクションを表示できます。 Organizationに拡張応答が必要な場合は、Defender Experts for XDR とDefender エキスパートによる追求を通じて Microsoft のマネージド検出および応答サービスとのさらにコラボレーションを行うこともできます。

攻撃の概要

攻撃ストーリーは、インシデント 対応者に、攻撃で何が起こったかを完全にコンテキスト化した概要を提供します。 レスポンダーは、攻撃を軽減するためにMicrosoft Defender XDRによって実行された自動修復アクションを含め、関連するすべてのアラートとイベントを表示できます。

攻撃のストーリーから、 インシデント ページで使用可能なタブを調べれば、攻撃の詳細について詳しく調べることができます。 ポータル内でアクセスできる インシデント対応プレイブック を通じて、フィッシング、パスワード スプレー、悪意のあるアプリの侵害などの一般的な攻撃をすばやく修復できます。 これらのプレイブックには、インシデント調査をサポートする検出、対応、軽減のガイダンスが含まれています。

このビデオでは、Microsoft Defender XDRでの攻撃を調査する方法と、調査でポータルの機能を使用する方法について説明し、攻撃のストーリーとインシデント ページについて説明します。

脅威の調査

敵対者の中間攻撃やランサムウェアなどの複雑な脅威には、多くの場合、手動で調査する必要があります。 これらの複雑な攻撃に取り組むインシデント 対応者は、次の重要な情報を探します。

• マルウェアの存在またはツールとアプリの疑わしい使用
• 悪意のあるエンティティまたは疑わしいエンティティによって使用される通信チャネルまたはエントリ ポイントに関する手がかり
• ID 侵害の可能性を示す手掛かり
• organizationのデータとセキュリティ体制に与える影響を特定する

次のセクションでは、インシデント対応チームがさまざまな複雑な攻撃を調査するのを支援するMicrosoft Defender XDR機能のチュートリアルとビデオについて説明します。

ランサムウェアの調査

ランサムウェアは、組織にとって引き続き重大な脅威です。 Microsoft には、ランサムウェア攻撃の調査と対応に役立つ次のリソースがあります。

• ガイド: 検出から保護まで: Microsoft のガイドからランサムウェア攻撃への対処
• チュートリアル: ランサムウェア調査プレイブック
• ビデオ: Microsoft Defender XDRでのランサムウェア攻撃の調査 (パート 1)
• ビデオ: Microsoft Defender XDRでのランサムウェア攻撃の調査 (パート 2)

Emailベースの攻撃分析

フィッシング攻撃や BEC 攻撃を調査するには、変更、作成、または盗まれた ID の特定と追跡が不可欠です。 これらの攻撃を調査するときは、次のリソースを使用します。

• チュートリアル: 悪意のあるメールを調査する
• チュートリアル: ユーザーを調査する
• チュートリアル: ユーザー アカウントを調査する
• ブログ: 完全な ID 侵害: Active Directory ID 侵害のセキュリティ保護に関する Microsoft インシデント対応のレッスンは、Defender for Identity シグナルを使用して調査することもできます。
• チュートリアル: フィッシングメール攻撃の例
• チュートリアル: ID ベースの攻撃の例

次のビデオでは、Microsoft Defender XDRでフィッシング攻撃と BEC 攻撃を調査する方法について説明します。

• ビデオ: Microsoft Defender XDRでの BEC と AiTM フィッシングの調査
• ビデオ: Defender for Office 365を使用したスピアフィッシングやフィッシングからの防御

ID 侵害を調査し、このビデオを通じて攻撃を封じ込めるために何ができるかを把握します。

• Defender for Identity を使用した ID の脅威の調査

マルウェア分析

悪意のあるファイルの情報と機能は、マルウェアを調査する上で重要です。 Microsoft Defender XDR、ほとんどの場合、ファイルを爆発させ、ハッシュ、メタデータ、organization内の有病率、MITRE ATT&CK® 手法に基づくファイル機能などの重要なデータを表示できます。 これにより、ブラックボックステストやファイルの静的分析を行う必要がなくなります。 インシデント グラフからファイル情報を表示したり、アラート プロセス ツリー、成果物タイムライン、デバイス タイムラインを表示したりできます。

次のリソースは、ファイルの調査でポータルの機能を使用する方法の詳細を提供します。

• チュートリアル: ファイルを調査する
• ビデオ: Microsoft Defender XDRでのマルウェアの調査

危険なアプリ分析とクラウドベースの脅威防止

悪意のあるアクターは、クラウドベースのアプリを悪用する可能性があります。 アプリは、悪用や誤用によって機密情報が誤って漏洩する可能性があります。 クラウド環境でアプリを調査および保護するインシデント対応者は、Defender for Cloud Apps が組織にデプロイされている次のリソースを使用できます。

• チュートリアル: 悪意のあるアプリと侵害されたアプリを調査する
• チュートリアル: 危険な OAuth アプリを調査する
• チュートリアル: クラウド アプリを保護する
• チュートリアル: リアルタイムでアプリを保護する

Defender for Cloud Apps ワークロードのこのビデオを使用して、クラウド アプリをリアルタイムで保護する方法について説明します。

• ビデオ: Defender for Cloud Apps を使用したクラウド アプリと関連ファイルの保護

侵害分析

国家攻撃、重要なインフラストラクチャに対する攻撃、組織の侵害では、多くの場合、ネットワークに入ったら、攻撃者が通信ポイントを確立する必要があります。 インシデント対応者は、ソースと宛先の間の疑わしいトラフィックや交換を特定することで、手がかりを探します。 Microsoft には、通信コンポーネントを調査するための次のチュートリアルがあります。

• ドメインと URL を調査する
• IP アドレスの調査
• 転送プロキシの背後で発生する接続イベントの調査
• Defender for Identity を使用して疑わしいユーザーとデバイスのアクティビティを調査する
• Defender for Identity で横移動パスを特定して調査する
• Defender for Endpoint デバイスの一覧でデバイスを調査する

攻撃者は、多くの場合、脆弱性を使用してorganizationにアクセスします。 一部のランサムウェア攻撃では、最初は 、Log4Shell の脆弱性のようなパッチが適用されていない脆弱性を利用します。 次のリソースは、インシデント対応者が Defender for Vulnerability Management サービスを通じて、organization内の脆弱性と脆弱なデバイスを特定するのに役立ちます。

• チュートリアル: organizationの脆弱性を特定する
• チュートリアル: 公開されているデバイスの検索
• チュートリアル: 露出スコアを使用してorganizationのリスクを評価する
• ビデオ: Defender 脆弱性管理を使用した脅威と脆弱性の管理

侵害は、organizationのネットワークに接続する電話やタブレットなどのさまざまなデバイスを介して発生します。 インシデント対応者は、ポータル内でこれらのデバイスをさらに調査できます。 次のビデオでは、モバイル デバイスからの上位の脅威と、これらを調査する方法について説明します。

• Microsoft Defender XDRでのモバイル脅威防御

脅威インテリジェンスとハンティングのためのリソース

Microsoft Defender XDRの組み込みの脅威インテリジェンス機能とハンティングは、新たな脅威や攻撃に対するプロアクティブな保護を実行するインシデント対応チームを支援します。 ポータルの脅威分析を通じて、新たな脅威と攻撃に関する最新情報に直接アクセス できます。

脅威分析のインテリジェンスを使用して、次のビデオを使用して新しい脅威を詳しく調べることができます。

ポータルの組み込みの高度なハンティング機能を使用して、organization内の脅威を事前に検出します。

次のリソースは、高度なハンティングを使用する方法の詳細を提供します。

• Kusto クエリ言語について学習する
• ガイド付きモードを使用してハンティング クエリを構築する
• エンティティ間で脅威を探す

最新のセキュリティ調査と Microsoft セキュリティ調査チームからの変更を使用して、脅威インテリジェンスを拡張します。

• Microsoft セキュリティ ブログ
• Microsoft 脅威アクター情報

インシデント対応と脅威ハンティングについて Microsoft の専門家と協力して、セキュリティ運用チームの機能を強化します。 エキスパートの詳細と、次のリソースに関与する方法について説明します。

• XDR 用 Defender Experts
• 脅威ハンティングとDefender エキスパートによる追求

次の手順

• 最初のインシデントの修復を行う
• Microsoft Defender XDR Virtual Ninja Training のビデオ デモを通じてポータルの機能を調べる

関連項目

• インシデントを理解する
• インシデントの調査
• アラートの調査
• Microsoft Defender XDR Ninja トレーニングを通じてポータルの機能を学習する

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。