次の方法で共有

異常検出アラートを調査する方法

  • [アーティクル]

Microsoft Defender for Cloud Appsは、悪意のあるアクティビティに対するセキュリティ検出とアラートを提供します。 このガイドの目的は、調査と修復のタスクを支援するために、各アラートについての一般的で実用的な情報を提供することです。 このガイドに記載されているのは、アラートがトリガーされる条件に関する一般的な情報です。 ただし、異常検出は本質的に非決定的であるため、標準から逸脱した動作がある場合にのみトリガーされることに注意してください。 最後に、一部のアラートはプレビュー段階にある可能性があるため、更新されたアラートの状態については、公式ドキュメントを定期的に確認してください。

MITRE ATT&CK

Defender for Cloud Appsアラートと使い慣れた MITRE ATT&CK マトリックスの関係を説明し、マップしやすくするために、対応する MITRE ATT&CK 戦術によってアラートを分類しました。 この追加リファレンスにより、Defender for Cloud Apps アラートがトリガーされたときに使用される可能性がある攻撃の可能性がある手法を簡単に理解できます。

このガイドでは、次のカテゴリのDefender for Cloud Appsアラートの調査と修復に関する情報を提供します。

セキュリティ アラートの分類

適切な調査の後、すべてのDefender for Cloud Appsアラートを次のアクティビティの種類のいずれかに分類できます。

  • 真陽性 (TP): 確認された悪意のあるアクティビティに関するアラート。
  • 問題のない真陽性 (B-TP): 侵入テストやその他の承認された疑わしいアクションなど、疑わしいが悪意のないアクティビティに関するアラート。
  • 誤検知 (FP): 非マルウェアアクティビティに関するアラート。

一般的な調査手順

推奨されるアクションを適用する前に、潜在的な脅威をより明確に理解するために、任意の種類のアラートを調査する場合は、次の一般的なガイドラインを使用する必要があります。

  • ユーザーの調査優先度スコアを確認し、organizationの残りの部分と比較します。 これにより、organizationのどのユーザーが最大のリスクをもたらすかを特定するのに役立ちます。
  • TP を特定する場合は、すべてのユーザーのアクティビティを確認して、影響を理解します。
  • 他の侵害のインジケーターについてすべてのユーザー アクティビティを確認し、影響の原因と範囲を調べます。 たとえば、次のユーザー デバイス情報を確認し、既知のデバイス情報と比較します。
    • オペレーティング システムとバージョン
    • ブラウザーとバージョン
    • IP アドレスと場所

初期アクセス アラート

このセクションでは、悪意のあるアクターがorganizationに最初の足掛かりを得ようとしている可能性があることを示すアラートについて説明します。

匿名 IP アドレスからのアクティビティ

説明

Microsoft Threat Intelligence またはorganizationによって匿名プロキシ IP アドレスとして識別された IP アドレスからのアクティビティ。 これらのプロキシは、デバイスの IP アドレスを非表示にするために使用でき、悪意のあるアクティビティに使用される可能性があります。

TPB-TP、または FP?

この検出では、B-TP インシデントを減らす機械学習アルゴリズムが使用されます。たとえば、organizationのユーザーによって広く使用されている誤ったタグ付けされた IP アドレスなどです。

  1. TP: アクティビティが匿名または TOR IP アドレスから実行されたことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. B-TP: ユーザーが職務の範囲で匿名 IP アドレスを使用することがわかっている場合。 たとえば、セキュリティ アナリストが、organizationに代わってセキュリティまたは侵入テストを実行する場合などです。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  • すべてのユーザー アクティビティと、侵害のその他のインジケーターに関するアラートを確認します。 たとえば、異常な ファイルのダウンロード (ユーザー別)不審な受信トレイ転送 アラートなど、アラートの後に別の不審なアラートが続いた場合、多くの場合、攻撃者がデータを流出させようとしていることを示します。

ほとんどアクセスがない国からのアクティビティ

悪意のあるアクティビティを示す可能性がある国/地域からのアクティビティ。 このポリシーは、環境をプロファイルし、organization内のユーザーが最近アクセスしなかった場所またはアクセスしたことがない場所からアクティビティが検出されたときにアラートをトリガーします。

このポリシーは、ユーザーのサブセットにさらにスコープを設定することも、リモートの場所に移動することが知られているユーザーを除外することもできます。

学習期間

異常な場所を検出するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション:

    1. ユーザーを一時停止し、パスワードをリセットし、アカウントを安全に再度有効にするための適切なタイミングを特定します。
    2. 省略可能: Power Automate を使用してプレイブックを作成し、頻度の低い場所からの接続として検出されたユーザーとそのマネージャーに連絡して、アクティビティを確認します。

  2. B-TP: ユーザーがこの場所にいることがわかっている場合。 たとえば、頻繁に移動し、現在指定した場所にいるユーザー。

    推奨されるアクション:

    1. アラートを閉じ、ポリシーを変更してユーザーを除外します。
    2. 頻繁に旅行するユーザー グループを作成し、グループをDefender for Cloud Appsにインポートし、このアラートからユーザーを除外する
    3. 省略可能: Power Automate を使用してプレイブックを作成し、頻度の低い場所からの接続として検出されたユーザーとそのマネージャーに連絡して、アクティビティを確認します。

攻撃対象を理解する

  • 潜在的なデータのダウンロードなど、侵害された可能性のあるリソースを確認します。

疑わしい IP アドレスからのアクティビティ

Microsoft 脅威インテリジェンスまたはorganizationによって危険であると識別された IP アドレスからのアクティビティ。 これらの IP アドレスは、パスワード スプレー、botnet コマンドと制御 (C&C) の実行など、悪意のあるアクティビティに関与していると識別され、侵害されたアカウントを示している可能性があります。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. B-TP: ユーザーが職務の範囲で IP アドレスを使用することがわかっている場合。 たとえば、セキュリティ アナリストが、organizationに代わってセキュリティまたは侵入テストを実行する場合などです。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アクティビティ ログを確認し、同じ IP アドレスからアクティビティを検索します。
  2. 潜在的なデータのダウンロードや管理上の変更など、侵害された可能性のあるリソースを確認します。
  3. これらのアラートを自発的にトリガーするセキュリティ アナリスト向けのグループを作成し、ポリシーから除外します。

不可能な旅行

2 つの場所間の予想される移動時間よりも短い期間内に、異なる場所にある同じユーザーからのアクティビティ。 これは資格情報の侵害を示している可能性がありますが、VPN を使用するなどして、ユーザーの実際の場所がマスクされている可能性もあります。

侵害の強い兆候がある場合にのみ精度とアラートを向上させるために、Defender for Cloud Appsは、organization内の各ユーザーにベースラインを確立し、異常な動作が検出された場合にのみアラートを生成します。 不可能な旅行ポリシーは、要件に合わせて微調整できます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

この検出では、旅行の両側の IP アドレスが安全と見なされる場合など、明らかな B-TP 条件を無視する機械学習アルゴリズムが使用され、旅行は信頼され、不可能な移動検出のトリガーから除外されます。 たとえば、企業 としてタグ付けされている場合、両側は安全と見なされます。 ただし、旅行の一方の側のみの IP アドレスが安全と見なされる場合、検出は通常どおりトリガーされます。

  1. TP: 不可能な旅行アラート内の場所がユーザーにとって可能性が低いことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP (検出されないユーザーの移動): ユーザーがアラートに詳しく記載されている宛先に最近移動したことを確認できる場合。 たとえば、機内モードのユーザーの電話が、会社のネットワーク上のExchange Onlineなどのサービスに接続されたままで、別の場所に移動している場合などです。 ユーザーが新しい場所に到着すると、電話は、不可能な移動アラートをトリガー Exchange Onlineに接続します。

    推奨されるアクション: アラートを無視します。

  3. FP (タグなし VPN): IP アドレス範囲が承認された VPN からであることを確認できる場合。

    推奨されるアクション: アラートを無視し、VPN の IP アドレス範囲をDefender for Cloud Appsに追加し、それを使用して VPN の IP アドレス範囲にタグを付けます。

攻撃対象を理解する

  1. アクティビティ ログを確認して、同じ場所と IP アドレス内の同様のアクティビティについて理解します。
  2. 新しい場所から大量のファイルをダウンロードするなど、ユーザーが他の危険なアクティビティを実行した場合、これは侵害の可能性を強く示します。
  3. 企業 VPN と IP アドレスの範囲を追加します。
  4. Power Automate を使用してプレイブックを作成し、ユーザーのマネージャーに連絡して、ユーザーが正当に旅行しているかどうかを確認します。
  5. 最大分単位の組織の旅行レポート用の既知の旅行者データベースを作成し、それを使用して旅行アクティビティを相互参照することを検討してください。

誤解を招く OAuth アプリ名

この検出は、ラテン文字に似た文字 (外部文字など) を持つアプリを識別します。 これは、悪意のあるアプリを既知の信頼できるアプリとして偽装し、攻撃者がユーザーを欺いて悪意のあるアプリをダウンロードしようとする試みを示している可能性があります。

TPB-TP、または FP?

  1. TP: アプリに誤解を招く名前があることを確認できる場合。

    推奨されるアクション: このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。

アプリへのアクセスを禁止するには、[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、禁止するアプリが表示される行で禁止アイコンを選択します。 - インストールされ、承認されたアプリが禁止されていることをユーザーに伝えるかどうかを選択できます。 通知を使用すると、ユーザーはアプリが無効になっており、接続されているアプリにアクセスできないことを知ることができます。 ユーザーに知られたくない場合は、ダイアログで [ この禁止アプリへのアクセスを許可したユーザーに通知 する] をオフにします。 - アプリユーザーに、アプリの使用が禁止されていることを知らせることをお勧めします。

  1. FP: アプリに誤解を招く名前が付いているが、organizationで正当なビジネス上の使用があることを確認する場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

OAuth アプリの誤解を招く発行元名

この検出は、ラテン文字に似た文字 (外部文字など) を持つアプリを識別します。 これは、悪意のあるアプリを既知の信頼できるアプリとして偽装し、攻撃者がユーザーを欺いて悪意のあるアプリをダウンロードしようとする試みを示している可能性があります。

TPB-TP、または FP?

  1. TP: アプリに誤解を招く発行元名があることを確認できる場合。

    推奨されるアクション: このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。

  2. FP: アプリに誤解を招く発行元名があるが、正当な発行元であることを確認する場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. [アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、アプリを選択してアプリ ドロワーを開き、[関連アクティビティ] を選択します。 これにより、アプリによって実行されたアクティビティに対してフィルター処理された [アクティビティ ログ ] ページが開きます。 一部のアプリでは、ユーザーによって実行されたものとして登録されたアクティビティが実行されます。 これらのアクティビティは、アクティビティ ログの結果から自動的に除外されます。 アクティビティ ログを使用した詳細な調査については、「 アクティビティ ログ」を参照してください。
  2. アプリが疑わしいと思われる場合は、アプリの名前と発行元を別のアプリ ストアで調査することをお勧めします。 アプリ ストアを確認するときは、次の種類のアプリに注目します。
    • ダウンロード数が少ないアプリ。
    • 低い評価またはスコアまたは不適切なコメントを持つアプリ。
    • 疑わしい発行元または Web サイトを持つアプリ。
    • 最近更新されていないアプリ。 これは、サポートされなくなったアプリを示している可能性があります。
    • 無関係なアクセス許可を持つアプリ。 これは、アプリが危険であることを示している可能性があります。
  3. それでもアプリが疑わしいと思われる場合は、アプリ名、発行元、URL をオンラインで調べることができます。

実行アラート

このセクションでは、悪意のあるアクターがorganizationで悪意のあるコードを実行しようとしている可能性があることを示すアラートについて説明します。

複数のストレージ削除アクティビティ

学習したベースラインと比較して、ユーザーが Azure BLOB、AWS S3 バケット、Cosmos DB などのリソースから異常な数のクラウド ストレージまたはデータベース削除を実行したことを示す 1 つのセッションでのアクティビティ。 これは、organizationの侵害が試行されたことを示している可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: 削除が承認されなかったことを確認する場合。

    推奨されるアクション: ユーザーを一時停止し、パスワードをリセットし、すべてのデバイスで悪意のある脅威がないかスキャンします。 他の侵害のインジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。

  2. FP: 調査後に、管理者がこれらの削除アクティビティを実行する権限を持っていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. ユーザーに連絡し、アクティビティを確認します。
  2. 侵害の他のインジケーターについては、アクティビティ ログを確認し、変更を行ったユーザーを確認します。
  3. そのユーザーのアクティビティで他のサービスに対する変更を確認します。

複数の VM 作成アクティビティ

学習したベースラインと比較して、ユーザーが異常な数の VM 作成アクションを実行したことを示す 1 つのセッション内のアクティビティ。 侵害されたクラウド インフラストラクチャ上の複数の VM 作成は、organization内から暗号化マイニング操作を実行しようとする試みを示している可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

この検出では、侵害の強い兆候がある場合にのみ精度とアラートを向上させるために、管理者が確立されたベースラインよりも多くの VM を正当に作成し、異常な動作が検出された場合にのみアラートを生成するなど、B-TP インシデントを減らすために、organization内の各環境にベースラインを確立します。

  • TP: 作成アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、パスワードをリセットし、すべてのデバイスで悪意のある脅威がないかスキャンします。 他の侵害のインジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。 さらに、ユーザーに連絡し、正当なアクションを確認してから、侵害された VM を無効または削除してください。

  • B-TP: 調査後に、管理者がこれらの作成アクティビティの実行を承認されたことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 侵害の他のインジケーターについて、すべてのユーザー アクティビティを確認します。
  2. ユーザーによって作成または変更されたリソースを確認し、organizationのポリシーに準拠していることを確認します。

クラウド リージョンの不審な作成アクティビティ (プレビュー)

学習したベースラインと比較して、ユーザーが一般的でない AWS リージョンで異常なリソース作成アクションを実行したことを示すアクティビティ。 一般的でないクラウドリージョンでのリソースの作成は、organization内から暗号マイニング操作などの悪意のあるアクティビティを実行しようとする試みを示している可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

この検出は、侵害の強い兆候がある場合にのみ精度とアラートを向上させるために、B-TP インシデントを減らすために、organization内の各環境にベースラインを確立します。

  • TP: 作成アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、パスワードをリセットし、すべてのデバイスで悪意のある脅威がないかスキャンします。 他の侵害のインジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。 さらに、ユーザーに連絡し、正当なアクションを確認してから、侵害されたクラウド リソースを無効または削除してください。

  • B-TP: 調査後に、管理者がこれらの作成アクティビティの実行を承認されたことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 侵害の他のインジケーターについて、すべてのユーザー アクティビティを確認します。
  2. 作成されたリソースを確認し、organizationのポリシーに準拠していることを確認します。

永続性アラート

このセクションでは、悪意のあるアクターがorganizationの足掛かりを維持しようとしている可能性があることを示すアラートについて説明します。

使用を終了したユーザーによって実行されたアクティビティ

終了したユーザーによって実行されるアクティビティは、会社のリソースにまだアクセスできる終了した従業員が悪意のあるアクティビティを実行しようとしていることを示すことができます。 Defender for Cloud Appsは、organization内のユーザーをプロファイルし、終了したユーザーがアクティビティを実行したときにアラートをトリガーします。

TPB-TP、または FP?

  1. TP: 終了したユーザーが引き続き特定の企業リソースにアクセスし、アクティビティを実行していることを確認できる場合。

    推奨されるアクション: ユーザーを無効にします。

  2. B-TP: ユーザーが一時的に無効にされたか、削除されて再登録されたと判断できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. ユーザーが終了したことを確認するための相互参照 HR レコード。
  2. Microsoft Entra ユーザー アカウントの存在を検証します。

    注:

    Microsoft Entra Connect を使用している場合は、オンプレミスの Active Directory オブジェクトを検証し、正常な同期サイクルを確認します。

  3. 終了したユーザーがアクセス権を持っていたすべてのアプリを特定し、アカウントの使用を停止します。
  4. 使用停止手順を更新します。

CloudTrail ログ サービスの疑わしい変更

ユーザーが AWS CloudTrail ログ サービスに対して疑わしい変更を実行したことを示す 1 つのセッションでのアクティビティ。 これは、organizationの侵害が試行されたことを示している可能性があります。 CloudTrail を無効にすると、運用上の変更はログに記録されなくなります。 攻撃者は、プライベートからパブリックへの S3 バケットの変更など、CloudTrail 監査イベントを回避しながら、悪意のあるアクティビティを実行する可能性があります。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、パスワードをリセットし、CloudTrail アクティビティを元に戻します。

  2. FP: ユーザーが CloudTrail サービスを正当に無効にしたことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 侵害のその他のインジケーターのアクティビティ ログを確認し、CloudTrail サービスに変更を加えたユーザーを確認します。
  2. 省略可能: Power Automate を使用してプレイブックを作成し、ユーザーとそのマネージャーに連絡してアクティビティを確認します。

疑わしいメール削除アクティビティ (ユーザー別)

ユーザーが疑わしい電子メールの削除を実行したことを示す 1 つのセッションでのアクティビティ。 削除の種類は "ハード削除" の種類でした。これにより、電子メール アイテムが削除され、ユーザーのメールボックスでは使用できません。 削除は、ISP、国/地域、ユーザー エージェントなどの一般的でない設定を含む接続から行われました。 これは、攻撃者がスパム アクティビティに関連するメールを削除して操作をマスクしようとするなど、organizationの侵害が試行されたことを示している可能性があります。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP: ユーザーがメッセージを削除するルールを正当に作成したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  • 不審な受信トレイ転送アラートの後に、不可能な移動アラートなど、侵害の他のインジケーターについて、すべてのユーザー アクティビティを確認します。 次のものを探します。

    1. 新しい SMTP 転送規則を次に示します。
      • 悪意のある転送ルール名を確認します。 ルール名は、"すべてのメールの転送" や "自動転送" などの単純な名前や、ほとんど表示されない "" などの詐欺的な名前とは異なる場合があります。 転送ルール名は空にすることもでき、転送先は 1 つのメール アカウントまたはリスト全体にすることができます。 悪意のあるルールは、ユーザー インターフェイスから非表示にすることもできます。 検出されると、メールボックスから非表示のルールを削除する方法に関するこの役立つ ブログ投稿 を使用できます。
      • 不明な内部または外部のメール アドレスへの認識されない転送ルールを検出した場合は、受信トレイ アカウントが侵害されたと見なすことができます。
    2. "すべて削除"、"メッセージを別のフォルダーに移動する"、名前付け規則が不明なルール ("... など) などの新しい受信トレイ ルール。
    3. 送信済みメールの増加。

疑わしい受信トレイ操作ルール

攻撃者がユーザーの受信トレイにアクセスし、疑わしいルールを作成したことを示すアクティビティ。 ユーザーの受信トレイからメッセージやフォルダーを削除または移動するなどの操作ルールは、organizationから情報を流出させる試みである可能性があります。 同様に、ユーザーが表示する情報を操作しようとしたり、受信トレイを使用してスパム、フィッシングメール、またはマルウェアを配布しようとしたりすることを示すことができます。 Defender for Cloud Appsは環境をプロファイルし、ユーザーの受信トレイで疑わしい受信トレイ操作ルールが検出されたときにアラートをトリガーします。 これは、ユーザーのアカウントが侵害されていることを示している可能性があります。

TPB-TP、または FP?

  1. TP: 悪意のある受信トレイルールが作成され、アカウントが侵害されたことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、パスワードをリセットし、転送ルールを削除します。

  2. FP: ユーザーが規則を正当に作成したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 不審な受信トレイ転送アラートの後に、不可能な移動アラートなど、侵害の他のインジケーターについて、すべてのユーザー アクティビティを確認します。 次のものを探します。
    • 新しい SMTP 転送ルール。
    • "すべて削除"、"メッセージを別のフォルダーに移動する"、名前付け規則が不明なルール ("... など) などの新しい受信トレイ ルール。
  2. アクションの IP アドレスと位置情報を収集します。
  3. 他の侵害されたユーザーを検出するためのルールの作成に使用される IP アドレスから実行されたアクティビティを確認します。

特権エスカレーション アラート

このセクションでは、悪意のあるアクターがorganizationで高レベルのアクセス許可を取得しようとしている可能性があることを示すアラートについて説明します。

異常な管理アクティビティ (ユーザー別)

攻撃者がユーザー アカウントを侵害し、そのユーザーに共通しない管理アクションを実行したことを示すアクティビティ。 たとえば、攻撃者は、一般的なユーザーにとって比較的まれな操作であるユーザーのセキュリティ設定を変更しようとする可能性があります。 Defender for Cloud Appsは、ユーザーの動作に基づいてベースラインを作成し、異常な動作が検出されたときにアラートをトリガーします。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティが正当な管理者によって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP: 管理者が通常とは異なる量の管理アクティビティを正当に実行したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 疑わしい受信トレイ転送不可能な旅行など、他の侵害のインジケーターについて、すべてのユーザー アクティビティを確認します。
  2. 永続化に使用される可能性があるユーザー アカウントの作成など、他の構成の変更を確認します。

資格情報アクセス アラート

このセクションでは、悪意のあるアクターがorganizationからアカウント名とパスワードを盗もうとする可能性があることを示すアラートについて説明します。

複数回のログイン試行の失敗

サインイン試行の失敗は、アカウントへの侵害の試行を示している可能性があります。 ただし、失敗したログインは通常の動作にもなります。 たとえば、ユーザーが誤って間違ったパスワードを入力した場合などです。 侵害が試みられたことを強く示す場合にのみ正確さとアラートを実現するために、Defender for Cloud Appsでは、organization内の各ユーザーのサインイン習慣のベースラインを確立し、異常な動作が検出されたときにのみアラートを生成します。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

このポリシーは、ユーザーの通常のサインイン動作の学習に基づいています。 標準からの逸脱が検出されると、アラートがトリガーされます。 検出が同じ動作を続けるのを確認し始めた場合、アラートは 1 回だけ発生します。

  1. TP (MFA が失敗する): MFA が正しく動作していることを確認できる場合は、ブルート フォース攻撃が試行された兆候である可能性があります。

    推奨されるアクション:

    1. ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。
    2. 失敗した認証を実行したアプリを見つけて再構成します。
    3. アクティビティが侵害される可能性があるため、アクティビティの前後にログインしている他のユーザーを探します。 ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. B-TP (MFA が失敗する): アラートが MFA の問題によって引き起こされていることを確認できる場合。

    推奨されるアクション: Power Automate を使用してプレイブックを作成してユーザーに連絡し、MFA に問題がある場合はチェックします。

  3. B-TP (不適切に構成されたアプリ): 誤って構成されたアプリが、有効期限が切れた資格情報でサービスに複数回接続しようとしていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

  4. B-TP (パスワードの変更): ユーザーが最近パスワードを変更したが、ネットワーク共有全体の資格情報に影響を与えなかったことを確認できる場合。

    推奨されるアクション: アラートを無視します。

  5. B-TP (セキュリティ テスト): organizationに代わってセキュリティ アナリストによってセキュリティまたは侵入テストが実施されていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アラートの後に、次のいずれかのアラートが続くなど、侵害のその他のインジケーターについてすべてのユーザー アクティビティを確認します。次のいずれかのアラートが表示されます。 "不可能な旅行"、 "匿名 IP アドレスからのアクティビティ"、または " 頻度の低い国からのアクティビティ" です。
  2. 次のユーザー デバイス情報を確認し、既知のデバイス情報と比較します。
    • オペレーティング システムとバージョン
    • ブラウザーとバージョン
    • IP アドレスと場所
  3. 認証試行が発生したソース IP アドレスまたは場所を特定します。
  4. ユーザーが最近パスワードを変更したかどうかを確認し、すべてのアプリとデバイスに更新されたパスワードがあることを確認します。

通常と異なる OAuth アプリへの認証情報の追加

この検出により、OAuth アプリへの特権資格情報の疑わしい追加が識別されます。 これは、攻撃者がアプリを侵害し、悪意のあるアクティビティに使用していることを示している可能性があります。

学習期間

organizationの環境を学習するには、大量のアラートが発生する可能性がある 7 日間が必要です。

OAuth アプリの通常とは異なる ISP

この検出により、アプリでは珍しい ISP からクラウド アプリケーションに接続する OAuth アプリが識別されます。 これは、攻撃者が正当な侵害されたアプリを使用して、クラウド アプリケーションで悪意のあるアクティビティを実行しようとしたことを示している可能性があります。

学習期間

この検出の学習期間は 30 日間です。

TPB-TP、または FP?

  1. TP: アクティビティが OAuth アプリの正当なアクティビティではなかったか、この ISP が正当な OAuth アプリによって使用されていないことを確認できる場合。

    推奨されるアクション: OAuth アプリのすべてのアクセス トークンを取り消し、攻撃者が OAuth アクセス トークンの生成にアクセスできるかどうかを調査します。

  2. FP: アクティビティが正規の OAuth アプリによって正当に行われたかどうかを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. OAuth アプリによって実行されたアクティビティを確認します。

  2. 攻撃者が OAuth アクセス トークンの生成にアクセスできるかどうかを調査します。

コレクションのアラート

このセクションでは、悪意のあるアクターが目的のデータをorganizationから収集しようとしている可能性があることを示すアラートについて説明します。

複数の Power BI レポート共有アクティビティ

学習したベースラインと比較して、ユーザーが Power BI で通常とは異なる数の共有レポート アクティビティを実行したことを示す 1 つのセッションのアクティビティ。 これは、organizationの侵害が試行されたことを示している可能性があります。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: Power BI から共有アクセスを削除します。 アカウントが侵害されていることを確認できる場合は、ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP: ユーザーがこれらのレポートを共有するビジネス上の正当な理由があることを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アクティビティ ログを確認して、ユーザーが実行した他のアクティビティについて理解を深めます。 ログイン元の IP アドレスとデバイスの詳細を確認します。
  2. レポートを内部および外部で共有するためのガイドラインを理解するには、Power BI チームまたは Information Protection チームに問い合わせてください。

疑わしい Power BI レポート共有

ユーザーが、レポートのメタデータを分析するために NLP を使用して特定された機密情報を含む可能性がある Power BI レポートを共有したことを示すアクティビティ。 レポートは、外部メール アドレスと共有され、Web に発行されたか、外部サブスクライブされた電子メール アドレスにスナップショットが配信されました。 これは、organizationの侵害が試行されたことを示している可能性があります。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: Power BI から共有アクセスを削除します。 アカウントが侵害されていることを確認できる場合は、ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP: ユーザーがこれらのレポートを共有するためのビジネス上の正当な理由を持っていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アクティビティ ログを確認して、ユーザーが実行した他のアクティビティについて理解を深めます。 ログイン元の IP アドレスとデバイスの詳細を確認します。
  2. レポートを内部および外部で共有するためのガイドラインを理解するには、Power BI チームまたは Information Protection チームに問い合わせてください。

通常とは異なる偽装アクティビティ (ユーザー別)

一部のソフトウェアでは、他のユーザーが他のユーザーの偽装を許可するオプションがあります。 たとえば、電子メール サービスを使用すると、ユーザーは他のユーザーが自分の代わりに電子メールを送信することを承認できます。 このアクティビティは、organizationに関する情報を抽出するために、攻撃者がフィッシングメールを作成するために一般的に使用されます。 Defender for Cloud Appsは、ユーザーの動作に基づいてベースラインを作成し、異常な偽装アクティビティが検出されたときにアクティビティを作成します。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP (異常な動作): ユーザーが通常とは異なるアクティビティを正当に実行したか、確立されたベースラインよりも多くのアクティビティを実行したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

  3. FP: Teams などのアプリがユーザーを正当に偽装したことを確認できる場合。

    推奨されるアクション: アクションを確認し、必要に応じてアラートを無視します。

攻撃対象を理解する

  1. すべてのユーザー アクティビティとアラートで、侵害の追加のインジケーターを確認します。
  2. 偽装アクティビティを確認して、潜在的な悪意のあるアクティビティを特定します。
  3. 委任されたアクセス構成を確認します。

流出アラート

このセクションでは、悪意のあるアクターがorganizationからデータを盗もうとする可能性があることを示すアラートについて説明します。

疑わしい受信トレイの転送

攻撃者がユーザーの受信トレイにアクセスし、疑わしいルールを作成したことを示すアクティビティ。 すべてのメールや特定のメールを別のメール アカウントに転送するなどの操作ルールは、organizationから情報を流出させようとする可能性があります。 Defender for Cloud Appsは環境をプロファイルし、ユーザーの受信トレイで疑わしい受信トレイ操作ルールが検出されたときにアラートをトリガーします。 これは、ユーザーのアカウントが侵害されていることを示している可能性があります。

TPB-TP、または FP?

  1. TP: 悪意のある受信トレイ転送ルールが作成され、アカウントが侵害されたことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、パスワードをリセットし、転送ルールを削除します。

  2. FP: 正当な理由で、ユーザーが新しいまたは個人用の外部メール アカウントに転送ルールを作成したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. すべてのユーザー アクティビティで、警告の後に [不可能な移動 ] アラートが続くなど、侵害の追加のインジケーターを確認します。 次のものを探します。

    1. 新しい SMTP 転送規則を次に示します。
      • 悪意のある転送ルール名を確認します。 ルール名は、"すべてのメールの転送" や "自動転送" などの単純な名前や、ほとんど表示されない "" などの詐欺的な名前とは異なる場合があります。 転送ルール名は空にすることもでき、転送先は 1 つのメール アカウントまたはリスト全体にすることができます。 悪意のあるルールは、ユーザー インターフェイスから非表示にすることもできます。 検出されると、メールボックスから非表示のルールを削除する方法に関するこの役立つ ブログ投稿 を使用できます。
      • 不明な内部または外部のメール アドレスへの認識されない転送ルールを検出した場合は、受信トレイ アカウントが侵害されたと見なすことができます。
    2. "すべて削除"、"メッセージを別のフォルダーに移動する"、名前付け規則が不明なルール ("... など) などの新しい受信トレイ ルール。

  2. 他の侵害されたユーザーを検出するためのルールの作成に使用される IP アドレスから実行されたアクティビティを確認します。

  3. Exchange Onlineメッセージ追跡を使用して、転送されたメッセージの一覧を確認します。

異常なファイルのダウンロード (ユーザー別)

学習したベースラインと比較して、ユーザーがクラウド ストレージ プラットフォームから異常な数のファイルダウンロードを実行したことを示すアクティビティ。 これは、organizationに関する情報を取得しようとしていることを示している可能性があります。 Defender for Cloud Appsは、ユーザーの動作に基づいてベースラインを作成し、異常な動作が検出されたときにアラートをトリガーします。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP (異常な動作): ユーザーが、確立されたベースラインよりも多くのファイル ダウンロード アクティビティを正当に実行したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

  3. FP (ソフトウェア同期): OneDrive などのソフトウェアが、アラートの原因となった外部バックアップと同期されていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. ダウンロード アクティビティを確認し、ダウンロードしたファイルの一覧を作成します。
  2. リソース所有者と共にダウンロードしたファイルの機密性を確認し、アクセス レベルを検証します。

異常なファイル アクセス (ユーザー別)

学習したベースラインと比較して、ユーザーが SharePoint または OneDrive で財務データまたはネットワーク データを含むファイルに異常な数のファイル アクセスを実行したことを示すアクティビティ。 これは、organizationに関する情報を取得しようとする試みを示している可能性があります。これは、財務目的でも、資格情報へのアクセスや横移動の場合でもです。 Defender for Cloud Appsは、ユーザーの動作に基づいてベースラインを作成し、異常な動作が検出されたときにアラートをトリガーします。

学習期間

学習期間は、ユーザーのアクティビティによって異なります。 一般に、ほとんどのユーザーの学習期間は 21 日から 45 日です。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP (異常な動作): ユーザーが確立されたベースラインよりも多くのファイル アクセス アクティビティを正当に実行したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アクセス アクティビティを確認し、アクセスされたファイルの一覧を作成します。
  2. リソース所有者と共にアクセスされたファイルの機密性を確認し、アクセス レベルを検証します。

異常なファイル共有アクティビティ (ユーザー別)

学習したベースラインと比較して、ユーザーがクラウド ストレージ プラットフォームから異常な数のファイル共有アクションを実行したことを示すアクティビティ。 これは、organizationに関する情報を取得しようとしていることを示している可能性があります。 Defender for Cloud Appsは、ユーザーの動作に基づいてベースラインを作成し、異常な動作が検出されたときにアラートをトリガーします。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP (異常な動作): ユーザーが、確立されたベースラインよりも多くのファイル共有アクティビティを正当に実行したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 共有アクティビティを確認し、共有ファイルの一覧を作成します。
  2. リソース所有者との共有ファイルの機密性を確認し、アクセス レベルを検証します。
  3. 機密ファイルの今後の共有を検出するために、同様のドキュメントのファイル ポリシーを作成します。

影響アラート

このセクションでは、悪意のあるアクターが、organization内のシステムとデータを操作、中断、または破棄しようとしている可能性があることを示すアラートについて説明します。

複数の VM 削除アクティビティ

学習したベースラインと比較して、ユーザーが異常な数の VM 削除を実行したことを示す 1 つのセッション内のアクティビティ。 複数の VM を削除すると、環境を中断または破棄しようとする可能性があります。 ただし、VM が削除される通常のシナリオは多数あります。

TPB-TP、または FP?

侵害の強い兆候がある場合にのみ精度とアラートを向上させるために、この検出では、B-TP インシデントを減らし、異常な動作が検出された場合にのみアラートを生成するために、organization内の各環境にベースラインを確立します。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

  • TP: 削除が承認されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、パスワードをリセットし、すべてのデバイスで悪意のある脅威がないかスキャンします。 他の侵害のインジケーターについてすべてのユーザー アクティビティを確認し、影響の範囲を調べます。

  • B-TP: 調査後に、管理者がこれらの削除アクティビティの実行を承認されたことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. ユーザーに連絡し、アクティビティを確認します。
  2. アラートの後に、次のいずれかのアラートが続くなど、侵害の追加のインジケーターについてすべてのユーザー アクティビティを確認します。次のいずれかのアラートが表示されます。 "不可能な旅行"、 "匿名 IP アドレスからのアクティビティ"、または " 頻度の低い国からのアクティビティ" です。

ランサムウェアのアクティビティ

ランサムウェアは、攻撃者がデバイスから被害者をロックしたり、被害者が身代金を支払うまでファイルへのアクセスをブロックしたりするサイバー攻撃です。 ランサムウェアは、悪意のある共有ファイルまたは侵害されたネットワークによって拡散される可能性があります。 Defender for Cloud Appsでは、セキュリティ調査の専門知識、脅威インテリジェンス、学習した行動パターンを使用してランサムウェア アクティビティを識別します。 たとえば、ファイルのアップロード率が高い場合や、ファイルが削除された場合は、ランサムウェア操作の間で一般的な暗号化プロセスを表している可能性があります。

この検出により、ユーザーがクラウドにアクセスしたときや、クラウドで一般的に実行される操作など、organization内の各ユーザーの通常の作業パターンのベースラインが確立されます。

Defender for Cloud Apps自動化された脅威検出ポリシーは、接続した時点からバックグラウンドで実行を開始します。 セキュリティ調査の専門知識を使用して、organizationのランサムウェア アクティビティを反映する行動パターンを特定Defender for Cloud Apps、高度なランサムウェア攻撃に対する包括的なカバレッジを提供します。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティがユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP (異常な動作): ユーザーは、同様のファイルの複数の削除とアップロードアクティビティを短期間で正当に実行しました。

    推奨されるアクション: アクティビティ ログを確認し、ファイル拡張子が疑わしいではないことを確認した後、アラートを無視します。

  3. FP (一般的なランサムウェア ファイル拡張子): 影響を受けるファイルの拡張子が既知のランサムウェア拡張機能と一致していることを確認できる場合。

    推奨されるアクション: ユーザーに連絡し、ファイルが安全であることを確認してから、アラートを無視します。

攻撃対象を理解する

  1. ファイルの一括ダウンロードや一括削除などの侵害の他のインジケーターについては、アクティビティ ログを確認します。
  2. Microsoft Defender for Endpointを使用している場合は、ユーザーのコンピューターアラートを確認して、悪意のあるファイルが検出されたかどうかを確認します。
  3. アクティビティ ログで、悪意のあるファイルのアップロードと共有アクティビティを検索します。

異常なファイル削除アクティビティ (ユーザー別)

学習したベースラインと比較して、ユーザーが異常なファイル削除アクティビティを実行したことを示すアクティビティ。 これはランサムウェア攻撃を示している可能性があります。 たとえば、攻撃者はユーザーのファイルを暗号化し、元のファイルをすべて削除することができ、被害者に身代金の支払いを強制するために使用できる暗号化されたバージョンのみを残すことができます。 Defender for Cloud Appsは、ユーザーの通常の動作に基づいてベースラインを作成し、異常な動作が検出されたときにアラートをトリガーします。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、新しい場所に対してアラートがトリガーされない 7 日間の初期学習期間が必要です。

TPB-TP、または FP?

  1. TP: アクティビティが正当なユーザーによって実行されなかったことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. FP: ユーザーが、確立されたベースラインよりも多くのファイル削除アクティビティを正当に実行したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 削除アクティビティを確認し、削除されたファイルの一覧を作成します。 必要に応じて、削除されたファイルを回復します。
  2. 必要に応じて、Power Automate を使用してプレイブックを作成し、ユーザーとそのマネージャーに連絡してアクティビティを確認します。

調査の優先度スコアの増加 (プレビュー)

アラートをトリガーした異常なアクティビティとアクティビティには、ユーザーの重大度、ユーザーへの影響、および行動分析に基づいてスコアが付与されます。 分析は、テナント内の他のユーザーに基づいて行われます。

特定のユーザーの調査優先度スコアが大幅かつ異常に増加すると、アラートがトリガーされます。

このアラートを使用すると、特定のアラートを必ずしもトリガーせず、ユーザーの疑わしい動作に蓄積するアクティビティによって特徴付ける潜在的な侵害を検出できます。

学習期間

新しいユーザーのアクティビティ パターンを確立するには、7 日間の初期学習期間が必要です。その間、スコアの増加に対してアラートはトリガーされません。

TPB-TP、または FP?

  1. TP: ユーザーのアクティビティが正当ではないことを確認できる場合。

    推奨されるアクション: ユーザーを一時停止し、ユーザーを侵害済みとしてマークし、パスワードをリセットします。

  2. B-TP: ユーザーが実際に通常の動作から大幅に逸脱していることを確認できるが、侵害の可能性がない場合。

  3. FP (異常な動作): ユーザーが通常とは異なるアクティビティを正当に実行したか、確立されたベースラインよりも多くのアクティビティを実行したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. すべてのユーザー アクティビティとアラートで、侵害の追加のインジケーターを確認します。

非推奨のタイムライン

2024 年 8 月までに、調査優先度スコアの引き上げアラートをMicrosoft Defender for Cloud Appsから徐々に廃止します。

慎重な分析と検討の後、このアラートに関連する誤検知率が高いため、非推奨にすることにしました。これは、organizationの全体的なセキュリティに効果的に貢献していないことが判明しました。

Microsoft の調査によると、この機能は重要な価値を追加する必要はなかったため、高品質で信頼性の高いセキュリティ ソリューションの提供に関する戦略的な焦点とは一致していません。

Microsoft は、サービスを継続的に改善し、お客様のニーズと期待を確実に満たすことを約束します。

このアラートを引き続き使用する場合は、代わりに次の高度なハンティング クエリを推奨テンプレートとして使用することをお勧めします。 ニーズに基づいてクエリを変更します。

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

関連項目

危険性のあるユーザーを調査する