チュートリアル: 行動分析 (UEBA) による不審なユーザー アクティビティの検出

Microsoft Defender for Cloud Apps は、侵害されたユーザー、内部の脅威、流出、ランサムウェアなどに対する攻撃キル チェーン全体にクラス最高の検出を提供します。 Microsoft の包括的なソリューションは、異常、行動分析 (UEBA)、ルールベースのアクティビティ検出など、複数の検出方法を組み合わせて、ユーザーが環境内でアプリを使用する方法を幅広く確認することで実現されます。

では、なぜ疑わしい動作を検出することが重要なのでしょうか。 クラウド環境を変更できるユーザーの影響は大きく、ビジネスを実行する能力に直接影響する可能性があります。 たとえば、パブリック Web サイトや顧客に提供しているサービスを実行しているサーバーなどの主要な企業リソースが侵害される可能性があります。

Defender for Cloud Apps では、複数のソースからキャプチャされたデータを使用して、データを分析し、お客様のセキュリティ アナリストがクラウドの使用状況を把握できるように組織内のアプリとユーザー アクティビティを抽出します。 収集されたデータは、脅威インテリジェンス、場所、およびその他の多くの詳細と関連付け、標準化、強化され、疑わしいアクティビティの正確で一貫したビューを提供します。

そのため、これらの検出の利点を完全に実現するには、まず次のソースを構成してください。

• アクティビティ ログ
  API に接続されたアプリからのアクティビティ。
• 検出ログ
  ファイアウォールから抽出されたアクティビティと Defender for Cloud Apps に転送されるプロキシのトラフィック ログ。 ログは、 クラウド アプリ カタログに対して分析され、90 を超えるリスク要因に基づいてランク付けされ、スコア付けされます。
• プロキシ ログ
  アプリの条件付きアクセス制御アプリからのアクティビティ。

次に、ポリシーを調整します。 次のポリシーは、フィルター、検出モデルのトレーニングに役立つ動的しきい値 (UEBA)、および一般的な誤検知を減らすための抑制を設定することで微調整できます。

• 異常検出
• クラウド ディスカバリー異常検出
• ルールベースのアクティビティ検出

このチュートリアルでは、ユーザー アクティビティの検出を調整して真の侵害を特定し、大量の擬陽性検出の処理によるアラート疲れを軽減する方法を学習します。

• IP アドレス範囲を構成する
• 異常検出ポリシーを調整する
• Cloud Discovery 異常検出ポリシーを調整する
• ルールベースの検出ポリシーを調整する
• 通知の構成
• 調査と修復

フェーズ 1: IP アドレス範囲を構成する

個々のポリシーを構成する前に、IP 範囲を構成して、あらゆる種類の不審なユーザー アクティビティ検出ポリシーの微調整に使用できるようにすることをお勧めします。

IP アドレス情報はほぼすべての調査に不可欠であるため、既知の IP アドレスを構成する ことは、機械学習アルゴリズムが既知の場所を識別するのに役立ち、機械学習モデルの一部と見なされます。 たとえば、VPN の IP アドレス範囲を追加すると、モデルはこの IP 範囲を正しく分類し、VPN の場所がそのユーザーの実際の場所を表していないため、あり得ない移動の検出から自動的に除外するのに役立ちます。

注: 構成された IP 範囲は検出に限定されず、アクティビティ ログのアクティビティ、条件付きアクセスなどの領域で Defender for Cloud Apps 全体で使用されます。範囲を構成するときは、この点に留意してください。 そのため、たとえば、物理的なオフィスの IP アドレスを特定すると、ログとアラートの表示方法と調査方法をカスタマイズできます。

すぐに使える異常検出アラートを確認する

Defender for Cloud Apps には、さまざまなセキュリティ シナリオを識別するための異常検出アラートのセットが含まれています。 これらの検出はすぐに自動的に有効になり、関連する アプリ コネクタ が接続されるとすぐに、ユーザー アクティビティのプロファイリングとアラートの生成が開始します。

まず、 さまざまな検出ポリシーについて理解し、組織にとって最も関連性が高いと思われる上位のシナリオに優先順位を付け、それに応じてポリシーを調整します。

フェーズ 2: 異常検出ポリシーを調整する

Defender for Cloud Apps には、一般的なセキュリティのユース ケース向けに事前に構成された、組み込みの異常検出ポリシーがいくつか用意されています。 次のような一般的な検出に慣れるには少し時間がかかります。

• あり得ない移動
  2 つの場所の間の想定される移動時間よりも短い期間内に、同じユーザーが異なる場所でアクティビティを行う。
• 頻度の低い国からのアクティビティ
  ユーザーが最近アクセスしていなかった場所や、一度もアクセスしなかった場所からのアクティビティ。
• マルウェアの検出
  クラウド アプリ内のファイルをスキャンし、Microsoft の脅威インテリジェンス エンジンを介して疑わしいファイルを実行して、既知のマルウェアに関連付けられているかどうかを判断します。
• ランサムウェアのアクティビティ
  ランサムウェアに感染する可能性のあるファイルがクラウドにアップロードされます。
• 不審な IP アドレスからのアクティビティ
  Microsoft 脅威インテリジェンスによって危険であると識別された IP アドレスからのアクティビティ。
• 受信トレイからの疑わしい転送
  ユーザーの受信トレイに設定されている疑わしい転送ルールを検出します。
• 複数回にわたる異常なファイル ダウンロード アクティビティ
  学習されたベースラインに関して 1 つのセッションで複数のファイル ダウンロード アクティビティを検出します。これは侵害の試みを示している可能性があります。
• 異常な管理アクティビティ
  学習されたベースラインに関して 1 つのセッションで複数の管理アクティビティを検出します。これは侵害の試みを示している可能性があります。

検出の完全なリストとその動作については、「異常検出ポリシー」を参照してください。

Note

異常検出の中には主に問題のあるセキュリティ シナリオの検出に重点を置きますが、他のユーザーは必ずしも侵害を示さない可能性がある異常なユーザー動作を特定して調査するのに役立ちます。 このような検出のために、Microsoft Defender XDR の高度な追求エクスペリエンスで使用できる"動作" と呼ばれる別のデータ型を作成しました 詳細については、「 ビヘイビアー」を参照してください。

ポリシーを理解したら、さらに調査する可能性のあるアクティビティをより適切にターゲットにするために、組織の特定の要件に合わせてポリシーを微調整する方法を検討する必要があります。

1. 特定のユーザーまたはグループにポリシーのスコープを設定する

   特定のユーザーに対するスコープ ポリシーは、組織に関係のないアラートからのノイズを減らすのに役立ちます。 各ポリシーは、 次の例のように、特定のユーザーとグループを含めたり除外したりするように構成できます。

   • 攻撃シミュレーション
     多くの組織では、ユーザーまたはグループを使用して、攻撃を常にシミュレートしています。 明らかに、これらのユーザーのアクティビティから常にアラートを受け取っても意味がありません。 そのため、これらのユーザーまたはグループを除外するようにポリシーを構成できます。 これは、機械学習モデルがこれらのユーザーを識別し、それに応じて動的しきい値を微調整するのにも役立ちます。
   • 対象となる検出
     組織は、管理者や CXO グループのメンバーなど、特定の VIP ユーザー グループの調査に関心がある場合があります。 このシナリオでは、検出するアクティビティのポリシーを作成し、関心のあるユーザーまたはグループのセットのみを含むように選択できます。

2. 異常なサインインの検出を調整する

   組織によっては、ユーザーが 1 つ以上のユーザー アカウントをターゲットにしようとしていることを示している可能性があるため、 サインイン アクティビティの失敗 に起因するアラートを表示する必要があります。 一方、ユーザー アカウントに対するブルート フォース攻撃はクラウドで常に発生し、組織はそれらを防ぐ方法がありません。 したがって、大規模な組織では通常、実際の侵害を表す可能性があるため、サインイン アクティビティが成功するような疑わしいサインイン アクティビティについてのみアラートを受信することを決定します。

   個人情報の盗難は侵害の主な原因であり、組織にとって大きな脅威ベクトルとなります。 あり得ない移動、 不審な IP アドレスからのアクティビティ、 まれに発生する国/地域 の検出アラートは、アカウントが侵害されている可能性を示唆するアクティビティを発見するのに役立ちます。

3. あり得ない移動の感度の調整あり得ない移動のアラートをトリガーする前に、異常な動作に適用される抑制のレベルを決定する感度スライダーを構成 します。 たとえば、高忠実度に関心がある組織では、感度レベルを上げることを検討する必要があります。 一方、組織に多数のユーザーが移動する場合は、秘密度レベルを下げて、以前のアクティビティから学習したユーザーの共通の場所からのアクティビティを抑制することを検討してください。 次の秘密度レベルから選択できます。

   • 低: システム、テナント、ユーザーの抑制
   • 中: システムとユーザーの抑制
   • 高: システム抑制のみ

   ここで:

   抑制タイプ	説明
   システム	常に抑制される組み込みの検出。
   テナント	テナント内の以前のアクティビティに基づく一般的なアクティビティ。 たとえば、組織内で以前にアラートが送信された ISP からのアクティビティを抑制します。
   User	特定のユーザーの以前のアクティビティに基づく一般的なアクティビティ。 たとえば、ユーザーが一般的に使用する場所からのアクティビティを抑制します。

フェーズ 3: Cloud Discovery 異常検出ポリシーを調整する

異常検出ポリシーと同様に、微調整できる組み込みの クラウド検出異常検出ポリシー がいくつかあります。 たとえば、承認されていないアプリへのデータ流出ポリシーでは、承認されていないアプリにデータが流出し、セキュリティ フィールドの Microsoft の経験に基づいて設定が事前に構成されている場合にアラートが表示されます。

ただし、組み込みのポリシーを微調整したり、独自のポリシーを作成して、調査に関心のある他のシナリオを特定したりできます。 これらのポリシーはクラウド検出ログに基づいているため、異常なアプリの動作とデータ流出に重点を置いたさまざまな チューニング機能 があります。

1. 使用状況の監視を調整する
   異常な動作を検出するためのベースライン、スコープ、アクティビティ期間を制御する使用状況フィルターを設定します。 たとえば、役員レベルの従業員に関連する異常なアクティビティに関するアラートを受け取る場合があります。

2. アラートの秘密度を調整する
   アラート疲れを防ぐには、アラートの秘密度を構成します。 感度スライダーを使用して、1 週間に 1,000 人のユーザーごとに送信されるリスクの高いアラートの数を制御できます。 感度が高いほど、異常とみなされるために必要な不一致が少なくなり、より多くのアラートが生成されます。 一般に、機密データにアクセスできないユーザーには低い感度を設定します。

フェーズ 4: ルールベースの検出 (アクティビティ) ポリシーを調整する

ルールベースの検出ポリシー を使用すると、組織固有の要件で異常検出ポリシーを補完できます。 アクティビティ ポリシー テンプレートのいずれかを使用してルールベースのポリシーを作成し ([コントロール]>[テンプレート] に移動し、 [種類] フィルターを アクティビティ ポリシーに設定します)、 それらを構成 して、環境にとって正常ではない動作を検出することをお勧めします。 たとえば、特定の国/地域に拠点を持たない組織の場合、その国/地域からの異常なアクティビティを検出してアラートを生成するポリシーを作成することが理にかなっている場合があります。 その国/地域に大規模な支店を持つ他の企業にとって、その国/地域からのアクティビティは正常であり、そのようなアクティビティを検出しても意味がありません。

1. アクティビティのボリュームを調整する
   検出がアラートを発生させる前に必要なアクティビティの量を選択します。 国/地域の例を使用すると、ある国/地域に拠点を持たない場合、1 つのアクティビティでも重要であり、アラートが必要になります。 ただし、シングル サインインエラーは人為的なエラーになる可能性があり、短期間に多くの失敗が発生した場合にのみ重要です。
2. アクティビティ フィルターを調整する
   アラートを送信するアクティビティの種類を検出するために必要なフィルターを設定します。 たとえば、国/地域からのアクティビティを検出するには、 Location パラメーターを使用します。
3. アラートを調整する
   アラート疲れを防ぐには、 1 日のアラートの制限を設定します。

フェーズ 5: アラートを構成する

Note

2022 年 12 月 15 日以降、アラート/SMS (テキスト メッセージ) は非推奨になりました。 テキスト アラートを受信したい場合は、カスタム アラートの自動化に Microsoft Power Automate を使用する必要があります。 詳細については、「カスタム アラート オートメーションのために Microsoft Power Automate と統合する」を参照してください。

ニーズに最も適した形式と中でアラートを受信することを選択できます。 1 日中いつでも即時にアラートを受信するには、電子メールでアラートを受信することをお勧めします。

また、組織内の他の製品によってトリガーされる他のアラートと照らし合わせてアラートを分析し、潜在的な脅威の全体像を把握できるようにする必要がある場合もあります。 たとえば、クラウドベースのイベントとオンプレミスのイベントを関連付けて、攻撃を確認できるその他の軽減証拠があるかどうかを確認できます。

さらに、 Microsoft Power Automateとの統合を使用して、カスタム アラートの自動化をトリガーすることもできます。 たとえば、 ServiceNow で問題を自動的に作成するプレイブックを設定したり、アラートがトリガーされたときにカスタム ガバナンス アクションを実行する承認メールを送信したりできます。

次のガイドラインに従ってアラートを設定します。

1. 電子メール
   電子メールでアラートを受信するには、このオプションを選択します。
2. SIEM
   Microsoft Sentinel、 Microsoft Graph Security API、その他の 汎用 SIEMなど、複数の SIEM 統合オプションがあります。 要件に最も適した統合を選択します。
3. Power Automate の自動化
   必要な自動化プレイブックを作成し、ポリシーのアラートとして Power Automate アクションに設定します。

フェーズ 6: 調査と修復

優れた機能として、ポリシーを設定し、不審なアクティビティ アラートの受信を開始しました。 それらに対して何をすべきでしょうか? まず、アクティビティを調査する手順を実行する必要があります。 たとえば、 ユーザーが侵害されたことを示すアクティビティを調査できます。

保護を最適化するには、組織へのリスクを最小限に抑えるために自動修復アクションを設定することを検討する必要があります。 ポリシーを使用すると、調査を開始する前でも組織へのリスクが軽減されるように、アラートに ガバナンス アクション を組み合わせて適用できます。 使用可能なアクションは、ユーザーの中断や要求されたリソースへのアクセスのブロックなどのアクションを含むポリシーの種類によって決まります。

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。

詳細情報

• 対話型ガイド: Microsoft Defender for Cloud Apps を使って脅威を検出し、アラートを管理するをお試しください