セキュリティ アラート - リファレンス ガイド
この記事では、Microsoft Defender for Cloud から受け取る可能性があるセキュリティ アラートと、有効になっている Microsoft Defender プランの一覧を示すページへのリンクを示します。 環境内に表示されるアラートは、保護するリソースとサービス、およびカスタマイズされた構成によって異なります。
Note
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
このページには、 MITRE ATT&CK マトリックスのバージョン 9 に合わせた Microsoft Defender for Cloud キル チェーンについて説明する表も含。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
カテゴリ別のセキュリティ アラート ページ
- Windows マシンのアラート
- Linux マシンのアラート
- DNS のアラート
- Azure VM 拡張機能のアラート
- Azure App Service のアラート
- コンテナーのアラート - Kubernetes クラスター
- SQL Database と Azure Synapse Analytics のアラート
- オープンソース リレーショナル データベースのアラート
- Resource Manager のアラート
- Azure Storage のアラート
- Azure Cosmos DB のアラート
- Azure ネットワーク レイヤーのアラート
- Azure Key Vault のアラート
- Azure DDoS Protection のアラート
- Defender for API のアラート
- AI ワークロードのアラート
- 非推奨のセキュリティ アラート
MITRE ATT&CK の方針
攻撃の意図を理解することは、イベントをより簡単に調査して報告するのに役立ちます。 これらの作業を支援するために、Microsoft Defender for Cloud alerts には多くのアラートがある MITRE 戦術が含まれています。
偵察からデータ窃盗までのサイバー攻撃の流れを説明する一連の手順は、"キル チェーン" と呼ばれることがよくあります。
Defender for Cloud でサポートされているキル チェーンの意図は、MITRE ATT&CK マトリックスの version 9 に基づいており 次の表で説明します。
方針 | ATT&CK バージョン | 説明 |
---|---|---|
攻撃前 | 攻撃前とは、悪意のある目的に関係なく特定のリソースにアクセスしようとすること、または攻撃の前に情報を収集するためにターゲット システムにアクセスを試みて失敗することです。 通常、このステップは、ネットワークの外部から開始された、ターゲット システムをスキャンしてエントリ ポイントを識別するための試行として検出されます。 | |
初期アクセス | V7、V9 | 初期アクセスは、攻撃者がリソースを攻撃するために足掛かりを得ようとする段階です。 この段階は、コンピューティング ホストと、ユーザー アカウントや証明書などのリソースに関連しています。多くの場合、脅威アクターは、この段階の後でリソースを制御できます。 |
永続化 | V7、V9 | 永続化とは、脅威アクターにシステムでの永続的プレゼンスを与える、システムに対するアクセス、操作、構成の変更です。 多くの場合、脅威アクターは、アクセスを回復するための代替バックドアを再起動または提供するためにリモート アクセス ツールを必要とする、システムの再起動、資格情報の損失、その他の障害などの中断によって、システムへのアクセスを維持する必要があります。 |
特権エスカレーション | V7、V9 | 特権エスカレーションとは、敵対者がシステムまたはネットワークの高レベルのアクセス許可を取得できるようにする操作の結果です。 特定のツールまたはアクションは、動作するためにより高いレベルの特権を必要とし、操作全体の多くのポイントで必要になる可能性があります。 特定のシステムにアクセスしたり、敵対者が目的を達成するために必要な特定の機能を実行したりするためのアクセス許可を持つユーザー アカウントも、特権のエスカレーションと見なされる場合があります。 |
防御回避 | V7、V9 | 防御回避は、敵対者が検出を回避したり、他の防御を回避したりするために使用する可能性のある手法で構成されます。 これらのアクションは、特定の防御または軽減策を破壊する追加の利点がある他のカテゴリの手法と同じ (またはそのバリエーション) である場合があります。 |
資格情報へのアクセス | V7、V9 | 資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、サービスの資格情報にアクセスしたり制御したりするための技法を表します。 敵対者は、ネットワーク内で使用するために、ユーザーまたは管理者のアカウント (管理者アクセス権を持つローカル システム管理者またはドメイン ユーザー) から正当な資格情報を取得しようとする可能性があります。 ネットワーク内の十分なアクセス権があれば、敵対者は、後で環境内で使用するアカウントを作成できます。 |
検出 | V7、V9 | 検出には、敵対者がシステムと内部ネットワークに関する知識を得られるようにする技法が含まれます。 敵対者は、新しいシステムへのアクセスを取得するとき、制御できるようになったもの、およびそのシステムから操作する利点から、侵入の間の現在の目標または全体的な目標が得られるものを確認する必要があります。 オペレーティング システムには、この侵害後の情報収集フェーズを支援する多くのネイティブ ツールが用意されています。 |
横移動 | V7、V9 | 横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成されており、リモート システムでのツールの実行が含まれることがありますが、必ず含まれるわけではありません。 横移動の手法により、敵対者は、リモート アクセス ツールなどの他のツールを必要とせずに、システムから情報を収集することができます。 敵対者は、ツールのリモート実行、他のシステムへのピボット、特定の情報やファイルへのアクセス、より多くの資格情報へのアクセス、影響の実現など、さまざまな目的に横移動を使用できます。 |
実行 | V7、V9 | 実行手段は、ローカルまたはリモート システムで敵対者によって制御されたコードを実行するための手法を表します。 この戦術は、ネットワーク上のリモート システムへのアクセスを拡張するために、横移動と組み合わせて使用されることがよくあります。 |
コレクション | V7、V9 | コレクションは、窃盗の前に、対象ネットワークから、機密ファイルなどの情報を識別および収集するための手法で構成されます。 このカテゴリでは、敵対者が流出する情報を探す可能性があるシステムまたはネットワーク上の場所についても説明します。 |
コマンドとコントロール | V7、V9 | 指揮統制の手段は、ターゲット ネットワーク内で攻撃者の管理下にあるシステムと攻撃者が通信する方法を表します。 |
窃盗 | V7、V9 | 窃盗は、敵対者が対象ネットワークからファイルや情報を削除したり、削除するのに役立てたりする技法と属性を指します。 このカテゴリでは、敵対者が流出する情報を探す可能性があるシステムまたはネットワーク上の場所についても説明します。 |
影響 | V7、V9 | 影響イベントでは、主として、システム、サービス、ネットワークの可用性や整合性を直接低下させることが試みられます。ビジネスまたは運用プロセスに影響を与えるデータの操作が含まれます。 多くの場合、ランサムウェア、改ざん、データ操作などの手法が使用されます。 |
注意
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。