チュートリアル: 行動分析を使用して疑わしいユーザー アクティビティを検出する (UEBA)

Microsoft Defender for Cloud Appsは、侵害されたユーザー、インサイダーの脅威、流出、ランサムウェアなどについて、攻撃キル チェーン全体でクラス最高の検出を提供します。 Microsoft の包括的なソリューションは、異常、行動分析 (UEBA)、ルールベースのアクティビティ検出など、複数の検出方法を組み合わせて、ユーザーが環境内でアプリを使用する方法の広範なビューを提供することで実現されます。

では、疑わしい動作を検出することが重要なのはなぜですか? クラウド環境を変更できるユーザーの影響は大きく、ビジネスを実行する能力に直接影響する可能性があります。 たとえば、パブリック Web サイトや顧客に提供しているサービスを実行しているサーバーなどの主要な企業リソースが侵害される可能性があります。

複数のソースからキャプチャされたデータを使用して、Defender for Cloud Appsデータを分析して、organization内のアプリとユーザーのアクティビティを抽出し、セキュリティ アナリストがクラウドの使用を可視化できるようにします。 収集されたデータは、脅威インテリジェンス、場所、その他の多くの詳細と関連付け、標準化され、強化され、疑わしいアクティビティの正確で一貫性のあるビューを提供します。

そのため、これらの検出の利点を完全に実現するには、まず次のソースを構成してください。

• アクティビティ ログ
  API に接続されたアプリからのアクティビティ。
• 検出ログ
  Defender for Cloud Appsに転送されるファイアウォールおよびプロキシ トラフィック ログから抽出されたアクティビティ。 ログは 、クラウド アプリ カタログに対して分析され、ランク付けされ、90 を超えるリスク要因に基づいてスコア付けされます。
• プロキシ ログ
  条件付きアクセス アプリ制御アプリからのアクティビティ。

次に、ポリシーを調整します。 次のポリシーは、フィルター、検出モデルのトレーニングに役立つ動的しきい値 (UEBA)、および一般的な誤検知検出を減らすための抑制を設定することで微調整できます。

• 異常検出
• クラウド検出の異常検出
• ルールベースのアクティビティ検出

このチュートリアルでは、ユーザー アクティビティの検出を調整して真の侵害を特定し、大量の誤検知検出を処理することで発生するアラート疲労を軽減する方法について説明します。

• IP アドレス範囲を構成する
• 異常検出ポリシーを調整する
• クラウド検出の異常検出ポリシーを調整する
• ルールベースの検出ポリシーを調整する
• アラートを構成する
• 調査と修復

フェーズ 1: IP アドレス範囲を構成する

個々のポリシーを構成する前に、IP 範囲を構成して、任意の種類の疑わしいユーザー アクティビティ検出ポリシーの微調整に使用できるようにすることをお勧めします。

IP アドレス情報はほぼすべての調査に不可欠であるため、既知の IP アドレスを構成 すると、機械学習アルゴリズムによって既知の場所が識別され、機械学習モデルの一部と見なされます。 たとえば、VPN の IP アドレス範囲を追加すると、モデルがこの IP 範囲を正しく分類し、VPN の場所がそのユーザーの真の場所を表していないため、不可能な旅行検出から自動的に除外するのに役立ちます。

注: 構成された IP 範囲は検出に限定されず、アクティビティ ログのアクティビティ、条件付きアクセスなどの領域でDefender for Cloud Apps全体で使用されます。範囲を構成するときは、この点に注意してください。 そのため、たとえば、物理的なオフィスの IP アドレスを識別すると、ログとアラートの表示方法と調査方法をカスタマイズできます。

すぐに使用する異常検出アラートを確認する

Defender for Cloud Appsには、さまざまなセキュリティ シナリオを識別するための一連の異常検出アラートが含まれています。 これらの検出は自動的にすぐに有効になり、関連する アプリ コネクタ が接続されるとすぐにユーザー アクティビティのプロファイリングとアラートの生成を開始します。

まず、さまざまな検出ポリシーについて理解し、organizationに最も関連があると思われる上位のシナリオに優先順位を付け、それに応じてポリシーを調整します。

フェーズ 2: 異常検出ポリシーを調整する

一般的なセキュリティ ユース ケース用に事前構成されたDefender for Cloud Appsでは、いくつかの組み込みの異常検出ポリシーを使用できます。 次のような、より一般的な検出に慣れるには少し時間がかかる必要があります。

• 不可能な移動
  2 つの場所間の予想される移動時間よりも短い期間内に、異なる場所にある同じユーザーからのアクティビティ。
• 頻度の低い国からのアクティビティ
  ユーザーが最近アクセスしなかった、または一度もアクセスしなかった場所からのアクティビティ。
• マルウェア検出
  クラウド アプリ内のファイルをスキャンし、Microsoft の脅威インテリジェンス エンジンを介して疑わしいファイルを実行して、既知のマルウェアに関連付けられているかどうかを判断します。
• ランサムウェア アクティビティ
  ランサムウェアに感染している可能性のあるファイルのクラウドへのアップロード。
• 疑わしい IP アドレスからのアクティビティ
  Microsoft 脅威インテリジェンスによって危険であると識別された IP アドレスからのアクティビティ。
• 不審な受信トレイの転送
  ユーザーの受信トレイに設定されている疑わしい受信トレイの転送ルールを検出します。
• 通常とは異なる複数のファイルダウンロード アクティビティ
  学習したベースラインについて、単一のセッションにおける複数のファイル ダウンロード アクティビティを検出します。これは、侵害が試行されたことを示す可能性があります。
• 通常とは異なる管理アクティビティ
  学習したベースラインについて、単一のセッションにおける複数の管理アクティビティを検出します。これは、侵害が試行されたことを示す可能性があります。

検出とその動作の完全な一覧については、「 異常検出ポリシー」を参照してください。

注:

異常検出の一部は主に問題のあるセキュリティ シナリオの検出に焦点を当てていますが、必ずしも侵害を示していない可能性がある異常なユーザーの動作を特定して調査するのに役立つものもあります。 このような検出のために、高度なハンティング エクスペリエンスで使用できる "動作" という別のデータ型Microsoft Defender XDR作成しました。 詳細については、「 動作」を参照してください。

ポリシーを理解したら、さらに調査する可能性のあるより適切なターゲット アクティビティを得るために、organizationの特定の要件に合わせてそれらを微調整する方法を検討する必要があります。

1. 特定のユーザーまたはグループにポリシーをスコープする

   特定のユーザーに対するスコーピング ポリシーは、organizationに関連しないアラートからのノイズを減らすのに役立ちます。 各ポリシーは、次の例のように、 特定のユーザーとグループを含めたり除外したりするように構成できます。

   • 攻撃シミュレーション
     多くの組織では、ユーザーまたはグループを使用して、攻撃を常にシミュレートしています。 当然、これらのユーザーのアクティビティから常にアラートを受け取っても意味がありません。 そのため、これらのユーザーまたはグループを除外するようにポリシーを構成できます。 これは、機械学習モデルがこれらのユーザーを識別し、それに応じて動的しきい値を微調整するのにも役立ちます。
   • ターゲット検出
     organizationは、管理者や CXO グループのメンバーなど、特定の VIP ユーザー グループの調査に関心がある場合があります。 このシナリオでは、検出するアクティビティのポリシーを作成し、関心のあるユーザーまたはグループのセットのみを含むように選択できます。

2. 異常なサインイン検出を調整する

   一部の組織では、1 つ以上のユーザー アカウントをターゲットにしようとしていることを示す可能性があるため、 サインイン アクティビティの失敗 に起因するアラートを表示する必要があります。 一方、ユーザー アカウントに対するブルート フォース攻撃はクラウドで常に発生し、組織はそれらを防ぐ方法がありません。 そのため、大規模な組織では通常、サインイン アクティビティが成功する疑わしいサインイン アクティビティに関するアラートのみを受信することを決定します。これは、真の侵害を表している可能性があるためです。

   ID の盗難は侵害の重要な原因であり、organizationの主要な脅威ベクトルとなります。 私たちの不可能な旅行、不審な IP アドレスからのアクティビティ、およびまれな国/地域の検出アラートは、アカウントが侵害される可能性があることを示唆するアクティビティを発見するのに役立ちます。

3. 不可能な移動の感度を調整不可能な移動アラートをトリガーする前に、異常な動作に適用される抑制のレベルを決定する秘密度スライダーを構成します。 たとえば、高忠実度に関心がある組織では、感度レベルを上げることを検討する必要があります。 一方、organizationに旅行するユーザーが多い場合は、感度レベルを下げて、以前のアクティビティから学習したユーザーの共通の場所からのアクティビティを抑制することを検討してください。 次の秘密度レベルから選択できます。

   • 低: システム、テナント、ユーザーの抑制
   • 中: システムとユーザーの抑制
   • 高: システム抑制のみ

   ここで、

   抑制の種類	説明
   システム	常に抑制される組み込みの検出。
   テナント	テナント内の以前のアクティビティに基づく一般的なアクティビティ。 たとえば、organizationで以前にアラートが送信された ISP からのアクティビティを抑制します。
   ユーザー	特定のユーザーの以前のアクティビティに基づく一般的なアクティビティ。 たとえば、ユーザーが一般的に使用する場所からのアクティビティを抑制します。

フェーズ 3: クラウド検出の異常検出ポリシーを調整する

異常検出ポリシーと同様に、いくつかの組み込みの クラウド検出異常検出ポリシー を微調整できます。 たとえば、承認されていないアプリへのデータ流出ポリシーでは、データが承認されていないアプリに流出していて、セキュリティ フィールドの Microsoft エクスペリエンスに基づいて設定が事前に構成されている場合にアラートが表示されます。

ただし、組み込みのポリシーを微調整したり、独自のポリシーを作成して、調査に関心がある他のシナリオを特定するのに役立つ場合があります。 これらのポリシーはクラウド検出ログに基づいているため、異常なアプリの動作とデータ流出に重点を置いた さまざまなチューニング機能 があります。

1. 使用状況の監視を調整する
   異常な動作を検出するためのベースライン、スコープ、アクティビティ期間を制御する使用状況フィルターを設定します。 たとえば、エグゼクティブ レベルの従業員に関連する異常なアクティビティに関するアラートを受け取る場合があります。

2. アラートの秘密度を調整する
   アラートの疲労を防ぐには、アラートの機密性を構成します。 [秘密度] スライダーを使用して、1 週間に 1,000 人のユーザーごとに送信されるリスクの高いアラートの数を制御できます。 感度が高いほど、異常と見なされる分散が少なくなり、より多くのアラートが生成されます。 一般に、機密データにアクセスできないユーザーの秘密度を低く設定します。

フェーズ 4: ルール ベースの検出 (アクティビティ) ポリシーを調整する

ルールベースの検出ポリシーを使用すると、organization固有の要件を使用して異常検出ポリシーを補完できます。 アクティビティ ポリシー テンプレートのいずれかを使用してルールベースのポリシーを作成することをお勧めします ([制御]>、[テンプレート] の順に移動し、[種類] フィルターを [アクティビティ ポリシー] に設定します)。 たとえば、特定の国/地域に存在しない一部のorganizationでは、その国/地域からの異常なアクティビティを検出してアラートを生成するポリシーを作成することが理にかなっている場合があります。 その国/地域に大規模な支店を持つ他のユーザーにとっては、その国/地域からのアクティビティは正常であり、そのようなアクティビティを検出しても意味がありません。

1. アクティビティボリュームを調整する
   検出がアラートを発生させる前に必要なアクティビティの量を選択します。 国/地域の例を使用して、国/地域にプレゼンスがない場合は、1 つのアクティビティでも重要であり、アラートを保証します。 ただし、シングル サインインの失敗は人的エラーになる可能性があり、短期間に多数のエラーがある場合にのみ重要です。
2. アクティビティ フィルターを調整する
   アラートするアクティビティの種類を検出するために必要なフィルターを設定します。 たとえば、国/地域からのアクティビティを検出するには、 Location パラメーターを使用します。
3. アラートを調整する
   アラートの疲労を防ぐには、 1 日のアラート制限を設定します。

フェーズ 5: アラートを構成する

注:

2022 年 12 月 15 日以降、アラート/SMS (テキスト メッセージ) は非推奨になりました。 テキスト アラートを受信する場合は、カスタム アラートの自動化に Microsoft Power Automate を使用する必要があります。 詳細については、「 カスタム アラートの自動化のための Microsoft Power Automate との統合」を参照してください。

最もニーズに合った形式とメディアでアラートを受け取ることができます。 1 日の任意の時点ですぐにアラートを受信するには、メールで受信することもできます。

また、organization内の他の製品によってトリガーされる他のアラートのコンテキストでアラートを分析して、潜在的な脅威の全体像を把握することもできます。 たとえば、クラウドベースとオンプレミスのイベントの間で関連付けて、攻撃を確認する可能性のある他の軽減証拠があるかどうかを確認できます。

さらに、 Microsoft Power Automate との統合を使用して、カスタム アラートの自動化をトリガーすることもできます。 たとえば、プレイブックを設定して ServiceNow で問題を自動的に作成したり、承認メールを送信して、アラートがトリガーされたときにカスタム ガバナンス アクションを実行したりできます。

アラートを構成するには、次のガイドラインを使用します。

1. 電子メール
   電子メールでアラートを受信するには、このオプションを選択します。
2. SIEM
   Microsoft Sentinel、Microsoft Graph Security API、その他の汎用 SIEM など、いくつかの SIEM 統合オプションがあります。 要件に最適な統合を選択します。
3. Power Automate オートメーション
   必要な自動化プレイブックを作成し、ポリシーのアラートとして Power Automate アクションに設定します。

フェーズ 6: 調査と修復

優れた、ポリシーを設定し、疑わしいアクティビティアラートの受信を開始しました。 あなたは彼らについて何をすべきですか? 最初に、アクティビティを調査する手順を実行する必要があります。 たとえば、 ユーザーが侵害されたことを示すアクティビティを調査できます。

保護を最適化するには、自動修復アクションを設定して、organizationに対するリスクを最小限に抑える必要があります。 Microsoft のポリシーを使用すると、調査を開始する前でもorganizationに対するリスクが軽減されるように、アラートに組み合わせてガバナンス アクションを適用できます。 使用可能なアクションは、ユーザーの中断や要求されたリソースへのアクセスのブロックなどのアクションを含むポリシーの種類によって決まります。

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。

詳細情報

• 対話型ガイドをお試しください:脅威を検出し、Microsoft Defender for Cloud Appsでアラートを管理する