チュートリアル: 危険なユーザーを調査する
セキュリティ運用チームは、多くの場合、接続されていない複数のセキュリティ ソリューションを使用して、ID 攻撃領域のすべての次元にわたって、疑わしいユーザー アクティビティを監視するか、その他の方法で監視することを課題とします。 現在、多くの企業には、環境の脅威を事前に特定するハンティング チームが存在していますが、膨大な量のデータで何を探すべきかを知ることは困難な場合があります。 Microsoft Defender for Cloud Appsでは、複雑な相関ルールを作成する必要がなくなります。これにより、クラウドとオンプレミスのネットワークにまたがる攻撃を探すことができます。
ユーザー ID に焦点を当てるのに役立つMicrosoft Defender for Cloud Appsは、クラウドでユーザー エンティティの行動分析 (UEBA) を提供します。 UEBA は、Microsoft Defender for Identityと統合することでオンプレミス環境に拡張でき、その後、Active Directory とのネイティブ統合からユーザー ID に関するコンテキストも得られます。
トリガーがDefender for Cloud Apps ダッシュボードに表示されるアラートであるか、サードパーティのセキュリティ サービスの情報を持っている場合でも、Defender for Cloud Apps ダッシュボードから調査を開始して、リスクの高いユーザーを詳しく調べます。
このチュートリアルでは、Defender for Cloud Appsを使用して危険なユーザーを調査する方法について説明します。
調査の優先順位スコアを理解する
調査の優先度スコアは、organization内の他のユーザーと比較して、ユーザーのリスクを知らせるDefender for Cloud Apps各ユーザーに与えるスコアです。 調査の優先順位スコアを使用して、最初に調査するユーザーを特定し、悪意のある内部関係者と外部の攻撃者の両方を、標準的な決定論的検出に依存することなく、組織内で横方向に移動することを検出します。
すべてのMicrosoft Entraユーザーは動的な調査の優先順位スコアを持っています。これは、Defender for Identity と Defender for Cloud Apps から評価されたデータから構築された最近の動作と影響に基づいて常に更新されます。
Defender for Cloud Appsは、セキュリティ アラートと異常なアクティビティを経時的に考慮する分析、ピア グループ、予想されるユーザー アクティビティ、および特定のユーザーがビジネスまたは会社の資産に与える可能性がある影響に基づいて、各ユーザーのユーザー プロファイルを構築します。
ユーザーのベースラインに異常なアクティビティが評価され、スコア付けされます。 スコアリングが完了すると、Microsoft 独自の動的ピア計算と機械学習がユーザー アクティビティで実行され、各ユーザーの調査優先度が計算されます。
調査の優先度スコアに従ってフィルター処理し、各ユーザーのビジネスへの影響を直接検証し、関連するすべてのアクティビティ (侵害されたデータの流出、インサイダーの脅威としての機能など) を調査することで、リスクの高い実際のユーザーがすぐに誰であるかを理解します。
Defender for Cloud Appsでは、次を使用してリスクを測定します。
アラート スコアリング: アラート スコアは、各ユーザーに対する特定のアラートの潜在的な影響を表します。 アラート スコアリングは、重大度、ユーザーへの影響、ユーザー間のアラートの人気、およびorganization内のすべてのエンティティに基づいています。
アクティビティ スコアリング: アクティビティ スコアは、ユーザーとそのピアの行動学習に基づいて、特定のユーザーが特定のアクティビティを実行する確率を決定します。 最も異常として識別されたアクティビティは、最高スコアを受け取ります。
アラートまたはアクティビティの調査優先度スコアを選択して、アクティビティDefender for Cloud Appsスコア付けする方法を説明する証拠を表示します。
注:
2024 年 8 月までに、調査優先度スコアの引き上げアラートをMicrosoft Defender for Cloud Appsから徐々に廃止します。 調査の優先度スコアとこの記事で説明する手順は、この変更の影響を受けません。
詳細については、「調査の優先順位スコアの増加の非推奨タイムライン」を参照してください。
フェーズ 1: 保護するアプリに接続する
API コネクタを使用して、少なくとも 1 つのアプリをMicrosoft Defender for Cloud Appsに接続します。 まず、Microsoft 365 を接続することをお勧めします。
Microsoft Entra IDアプリは、条件付きアクセス アプリ制御用に自動的にオンボードされます。
フェーズ 2: リスクの高い上位ユーザーを特定する
最もリスクの高いユーザーがDefender for Cloud Appsにいるユーザーを特定するには、
Microsoft Defender ポータルの [資産] で、[ID] を選択します。 調査の優先順位でテーブルを並べ替えます。 次に、ユーザー ページに 1 つずつ移動して調査します。
ユーザー名の横にある 調査の優先順位番号は、過去 1 週間のすべてのユーザーの危険なアクティビティの合計です。![[上位ユーザー] ダッシュボードのスクリーンショット。](media/dashboard-top-users.png)
ユーザーの右側にある 3 つのドットを選択し、[ユーザー ページの 表示] を選択します。
ユーザーの概要を取得するには、ユーザーの詳細ページの情報を確認し、ユーザーが通常とは異なるアクティビティを実行したか、異常なタイミングで実行されたポイントがあるかどうかを確認します。
ユーザーのスコアは、organizationと比較して、ユーザーがorganizationのランク付けに基づいてどのパーセンタイルにあるかを表します。調査する必要があるユーザーの一覧に表示される割合は、organization内の他のユーザーに対して相対的です。 ユーザーがorganization全体で危険なユーザーの 90 パーセンタイル以上にある場合、数値は赤になります。
ユーザーの詳細ページは、次の質問に回答するのに役立ちます。
| 質問 | 詳細 |
|---|---|
| ユーザーは誰ですか? | ユーザーに関する基本的な詳細と、会社とその部署でのユーザーの役割など、システムがユーザーについて認識しているものを探します。 たとえば、ユーザーは、ジョブの一部として通常とは異なるアクティビティを頻繁に実行する DevOps エンジニアですか? それとも、昇格のために引き継がれたばかりの不満を持つ従業員ですか? |
| ユーザーは危険ですか? | 従業員の リスク スコアは何であり、調査中に価値がありますか? |
| ユーザーがorganizationに提示するリスクは何ですか? | 下にスクロールして、ユーザーに関連する各アクティビティとアラートを調査し、ユーザーが表すリスクの種類の理解を開始します。 タイムラインで、各行を選択して、アクティビティまたはアラート自体をさらに深くドリルダウンします。 スコア自体に影響を与える証拠を理解できるように、アクティビティの横にある番号を選択します。 |
| organization内の他の資産に対するリスクは何ですか? | [横移動パス] タブを選択して、攻撃者がorganization内の他の資産を制御するために使用できるパスを把握します。 たとえば、調査中のユーザーに過敏でないアカウントがある場合でも、攻撃者はアカウントへの接続を使用して、ネットワーク内の機密性の高いアカウントを検出して侵害しようとします。 詳細については、「 横移動パスを使用する」を参照してください。 |
注:
ユーザーの詳細ページでは、すべてのアクティビティにわたってデバイス、リソース、アカウントに関する情報が提供されますが、調査の優先順位スコアには、過去 7 日間のすべての危険なアクティビティとアラートの 合計 が含まれます。
ユーザー スコアをリセットする
ユーザーが調査され、侵害の疑いが見つからなかった場合、または他の理由でユーザーの調査優先度スコアをリセットする場合は、次のように手動で行います。
Microsoft Defender ポータルの [資産] で、[ID] を選択します。
調査対象のユーザーの右側にある 3 つのドットを選択し、[ 調査の優先順位スコアのリセット] を選択します。 [ ユーザー ページの表示 ] を選択し、ユーザーの詳細ページの 3 つのドットから [ 調査の優先順位スコアのリセット ] を選択することもできます。
注:
リセットできるのは、調査優先度スコアが 0 以外のユーザーのみです。
![[調査の優先度スコアのリセット] リンクのスクリーンショット。](media/reset-investigation-priority-score.png)
確認ウィンドウで、[スコアの リセット] を選択します。
![[スコアのリセット] ボタンのスクリーンショット。](media/reset-score.png)
フェーズ 3: ユーザーをさらに調査する
一部のアクティビティは、独自のアラームの原因ではない可能性がありますが、他のアクティビティと集計されたときに疑わしいイベントを示している可能性があります。
ユーザーを調査するときに、表示されるアクティビティとアラートについて次の質問をする必要があります。
この従業員がこれらのアクティビティを実行するためのビジネス上の正当な理由はありますか? たとえば、マーケティングのユーザーがコード ベースにアクセスしている場合、または開発担当者が財務データベースにアクセスする場合は、従業員にフォローアップして、これが意図的で正当なアクティビティであることを確認する必要があります。
なぜこのアクティビティは高いスコアを受け取りましたが、他のアクティビティでは得られなかったのでしょうか。 アクティビティ ログに移動し、[調査の優先順位] を [Is] に設定して、疑わしいアクティビティを把握します。
たとえば、特定の地理的領域で発生したすべてのアクティビティの 調査の優先順位 に基づいてフィルター処理できます。 その後、リスクの高い他のアクティビティがあるかどうか、ユーザーが接続した場所、および最近の非マルウェアクラウドやオンプレミスアクティビティなどの他のドリルダウンに簡単にピボットして調査を続行できます。
フェーズ 4: organizationを保護する
調査によってユーザーが侵害されたという結論が導かれる場合は、次の手順を使用してリスクを軽減します。
ユーザーに問い合わせる – Active Directory のDefender for Cloud Appsと統合されたユーザー連絡先情報を使用して、各アラートとアクティビティにドリルダウンしてユーザー ID を解決できます。 ユーザーがアクティビティに精通していることを確認します。
Microsoft Defender ポータルから直接、[ID] ページで、調査対象のユーザーが 3 つのドットを選択し、ユーザーに再度サインインを要求するか、ユーザーを一時停止するか、侵害されたユーザーを確認するかを選択します。
ID が侵害された場合は、パスワードのリセットをユーザーに依頼して、パスワードが長さと複雑さのベスト プラクティス ガイドラインを満たしていることを確認できます。
アラートにドリルダウンし、アクティビティがアラートをトリガーしてはならないと判断した場合は、[アクティビティ] ドロワーで [フィードバックの送信] リンクを選択して、organizationを念頭に置いてアラート システムを微調整できるようにします。
問題を修復したら、アラートを閉じます。
関連項目
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。