リスク検出とは
Microsoft Entra ID 保護は、テナント内の疑わしいアクティビティに関する情報を組織に提供し、さらなるリスクの発生を防ぐために迅速に対応できるようにします。 リスク検出は、ディレクトリ内のユーザー アカウントに関連する疑わしいアクティビティや異常なアクティビティを含めることができる強力なリソースです。 ID 保護のリスク検出は、個々のユーザーまたはサインイン イベントにリンクすることができ、危険なユーザー レポートで検出される全体的なユーザー リスク スコアに貢献します。
ユーザー リスク検出は、潜在的な脅威アクターが資格情報を侵害してアカウントにアクセスした場合、または何らかの異常なユーザー アクティビティを検出した場合に、正当なユーザー アカウントにリスクがあるとしてフラグを設定する可能性があります。 サインイン リスク検出は、付与された認証要求がアカウントの承認された所有者でない確率を表します。 ユーザー レベルとサインイン レベルでリスクを特定する機能を備えることは、顧客がテナントの安全を確保する上で非常に重要です。
リスク レベル
Identity Protection は、リスクを低、中、高の 3 つのレベルに分類します。 機械学習アルゴリズムによって計算されるリスク レベル。ユーザーの資格情報の 1 つ以上が、未承認エンティティによって認識されていることを Microsoft がどの程度確信しているかを表します。
- リスク レベルが高いリスク検出は、Microsoft がかなりの程度、アカウントが侵害されたことを確信していることを意味します。
- リスク レベルが低いリスク検出は、サインインまたはユーザーの資格情報に異常があることを意味しますが、これらの異常はアカウントが侵害されたことを意味するかどうかの確度はそれほど高くありません。
多くの検出は、検出された異常の数または重大度に応じて、複数のリスク レベルで起動します。 たとえば、見慣れないサインイン プロパティは、シグナルの信頼度に基づいて、高、中、または低で発生する可能性があります。 漏洩した資格情報や検証済み脅威アクター IP などの一部の検出は、常に高リスクとして知らされます。
このリスク レベルは、調査と修復の優先順位が高い検出を特定するのに重要です。 また、各ポリシーを低、中、または高リスクやリスクの検出なしでトリガーするように設定できるため、リスクに基づく条件付きアクセス ポリシーの構成でこれは重要な役割を果たします。 組織のリスク許容度に基づいて、ID Protection がいずれかのユーザーの特定のリスク レベルを検出したときに MFA またはパスワードのリセットを要求するポリシーを作成できます。 これらのポリシーにより、ユーザーはリスクを解決するため自己修復できるようになります。
重要
リスク レベルの "低い" 検出とユーザーはすべて 6 か月間製品に保持され、その後、よりクリーンな調査エクスペリエンスを提供するために自動的に期限切れになります。 中リスク レベルと高リスク レベルは、修復または無視されるまで保持されます。
組織のリスク許容度に基づいて、ID Protection が特定のリスク レベルを検出したときに MFA またはパスワードのリセットを要求するポリシーを作成できます。 これらのポリシーは、ユーザーが許容度に応じて自己修復、リスク解決、またはブロックするのに役立ちます。
リアルタイム検出とオフライン検出
ID 保護は、認証後にリアルタイムまたはオフラインでいくつかのリスクを計算することで、ユーザーおよびサインインのリスク検出の精度を高めるテクノロジを利用しています。 サインイン時にリアルタイムでリスクを検出することで、リスクを早い段階で特定し、顧客が侵害の可能性を迅速に調査できる利点があります。 オフラインでリスクを計算する検出では、脅威アクターがどのようにしてアカウントにアクセスし、正規のユーザーにどのような影響があったのかについて、詳細な分析情報を得ることができます。 一部の検出では、オフライン時とサインイン中の両方でトリガーすることができ、侵害を正確に把握する信頼性が高まります。
リアルタイムでトリガーされた検出は、レポートに詳細が表示されるまでに 5 分から 10 分かかります。 オフライン検出は、潜在的なリスクの特性を評価するのに時間がかかるため、レポートに反映されるまでに最大 48 時間かかります。
Note
リスクのあるユーザーのリスク スコアに影響を与えたリスク イベントが次のいずれかであったことがシステムによって検出される場合があります。
- 偽陽性
- 次のいずれかによって、ポリシーでユーザー リスクが修復されました。
- 多要素認証の完了
- セキュリティで保護されたパスワード文字列
リスクの状態は無視され、「AI によってサインインが安全であることが確認されました」というリスクの詳細が表示されます。また、ユーザーの全体的なリスクには影響しなくなります。
リスクの詳細データでは、[時刻の検出] に、ユーザーのサインイン中にリスクが特定された正確な瞬間が記録されています。これにより、リアルタイムのリスク評価と、ユーザーと組織を保護するためのポリシーの即時適用が可能になります。 [検出の最終更新日時] には、新しい情報、リスク レベルの変更、または管理アクションに起因する可能性があるリスク検出の最新の更新内容が表示され、最新情報に基づくリスク管理が保証されます。
これらのフィールドは、リアルタイムの監視、脅威への対応、組織のリソースへの安全なアクセスの維持に不可欠です。
riskEventType にマップされたリスク検出数
リスク検出 | 検出の種類 | Type | riskEventType |
---|---|---|---|
サインイン リスク検出 | |||
匿名 IP アドレスからのアクティビティ | オフライン | Premium | riskyIPAddress |
検出された追加のリスク (サインイン) | リアルタイムまたはオフライン | Nonpremium | 汎用 = P2 以外のテナントの Premium 検出分類 |
ユーザーに対するセキュリティ侵害を管理者が確認しました | オフライン | Nonpremium | adminConfirmedUserCompromised |
異常なトークン | リアルタイムまたはオフライン | Premium | anomalousToken |
匿名 IP アドレス | リアルタイム | Nonpremium | anonymizedIPAddress |
特殊な移動 | オフライン | Premium | unlikelyTravel |
あり得ない移動 | オフライン | Premium | mcasImpossibleTravel |
悪意のある IP アドレス | オフライン | Premium | maliciousIPAddress |
機密ファイルへの大量アクセス | オフライン | Premium | mcasFinSuspiciousFileAccess |
Microsoft Entra の脅威インテリジェンス (サインイン) | リアルタイムまたはオフライン | Nonpremium | investigationsThreatIntelligence |
新しい国/地域 | オフライン | Premium | newCountry |
パスワード スプレー | オフライン | Premium | passwordSpray |
疑わしいブラウザー | オフライン | Premium | suspiciousBrowser |
受信トレイからの疑わしい転送 | オフライン | Premium | suspiciousInboxForwarding |
受信トレイに対する疑わしい操作ルール | オフライン | Premium | mcasSuspiciousInboxManipulationRules |
トークン発行者の異常 | オフライン | Premium | tokenIssuerAnomaly |
通常とは異なるサインイン プロパティ | リアルタイム | Premium | unfamiliarFeatures |
検証済み脅威アクター IP | リアルタイム | Premium | nationStateIP |
ユーザー リスク検出 | |||
検出された追加のリスク (ユーザー) | リアルタイムまたはオフライン | Nonpremium | 汎用 = P2 以外のテナントの Premium 検出分類 |
異常なユーザー アクティビティ | オフライン | Premium | anomalousUserActivity |
中間攻撃者 | "オフライン" | Premium | attackerinTheMiddle |
漏洩した資格情報 | オフライン | Nonpremium | leakedCredentials |
Microsoft Entra の脅威インテリジェンス (ユーザー) | リアルタイムまたはオフライン | Nonpremium | investigationsThreatIntelligence |
プライマリ更新トークン (PRT) へのアクセス試行の可能性 | オフライン | Premium | attemptedPrtAccess |
疑わしい API トラフィック | オフライン | Premium | suspiciousAPITraffic |
不審な送信パターン | オフライン | Premium | suspiciousSendingPatterns |
ユーザーからの疑わしいアクティビティの報告 | オフライン | Premium | userReportedSuspiciousActivity |
Premium 検出
次の Premium 検出は、Microsoft Entra ID Premium P2 のお客様にのみ表示されます。
Premium のサインイン リスク検出
匿名 IP アドレスからのアクティビティ
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、匿名プロキシ IP アドレスとして識別されている IP アドレスからユーザーがアクティブだったことを示します。
異常なトークン
リアルタイムまたはオフラインで計算されます。 これが検出されたことは、通常とは異なる有効期間や、これまでと違う場所からのトークンなど、トークンの異常な特性を示しています。 この検出には、セッション トークンと更新トークンが含まれます。
異常なトークンは、同じリスク レベルの他の検出よりも多くのノイズが発生するように調整されます。 このトレードオフは、他の方法では見過ごされる可能性のある再生されたトークンを検出する可能性を高めるために選択されています。 この検出によってフラグが設定されたセッションの一部が誤検知である可能性が通常よりも高くなります。 この検出によってフラグが設定されたセッションを、ユーザーからの他のサインインのコンテキストで調査することをお勧めします。 場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が、ユーザーにとって予期しないものである場合、管理者はこのリスクを潜在的なトークン再生のインジケーターと見なす必要があります。
特殊な移動
オフラインで計算されます。 このリスク検出の種類では、地理的に離れた場所で行われた 2 つのサインインを識別します。少なくとも 1 つの場所は、ユーザーの過去の行動から考えて、ユーザーにそぐわない可能性がある場所でもあります。 このアルゴリズムでは、2 回のサインインの間隔や、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間など、複数の要因が考慮されます。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。
このアルゴリズムは、組織内の他のユーザーによって普通に使用される VPN や場所など、不可能な移動状況の原因になる明らかな "誤検知" を無視します。 システムには、最短で 14 日間または 10 回のログインの初期学習期間があり、その間に新しいユーザーのサインイン行動が学習されます。
あり得ない移動
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出では、地理的に離れている場所で、最初の場所から 2 番目の場所に移動するのに要する時間より短い時間内に発生したユーザー アクティビティ (単一または複数のセッションにおける) を特定します。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。
悪意のある IP アドレス
オフラインで計算されます。 この検出は、悪意のある IP アドレスからのサインインを示します。 IP アドレスは、その IPアドレスまたはその他の IP 評価ソースから受信した無効な資格情報によるエラー率の高さに基づいて、悪意があるとみなされます。 場合によっては、この検出は以前の悪意のあるアクティビティでトリガーされます。
機密ファイルへの大量アクセス
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、ユーザーが Microsoft SharePoint Online または Microsoft OneDrive から複数のファイルにアクセスするときに、環境を調べて、アラートをトリガーします。 アラートがトリガーされるのは、アクセスされるファイルの数がこのユーザーにとって一般的ではなく、ファイルに機密情報が含まれている可能性がある場合のみです。
新しい国/地域
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。 異常検出エンジンにより、組織内のユーザーが以前に使用したことのある場所に関する情報が格納されます。
パスワード スプレー
オフラインで計算されます。 パスワード スプレー攻撃では、一般的なパスワードを使用して統一されたブルート フォース方式で複数の ID が攻撃されます。 リスク検出は、アカウントのパスワードが有効であり、サインインが試行されたときにトリガーされます。 この検出は、ユーザーのパスワードがパスワード スプレー攻撃を通して正しく特定されたことを示すものであり、攻撃者が何らかのリソースへのアクセスに成功したことを示すものではありません。
疑わしいブラウザー
オフラインで計算されます。 不審なブラウザー検出は、同じブラウザー内の異なる国の複数のテナントにわたる疑わしいサインイン アクティビティに基づく異常な動作を示します。
受信トレイからの疑わしい転送
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイ ルールを作成した場合などの疑わしいメール転送ルールを探します。
受信トレイに対する疑わしい操作ルール
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合、この検出によって環境が調べられ、アラートがトリガーされます。 この検出は、ユーザー アカウントが侵害されていること、メッセージが意図的に非表示にされていること、組織内でスパムまたはマルウェアを配信するためにメールボックスが使用されていることを示唆している可能性があります。
トークン発行者異常
オフラインで計算されます。 このリスクの検出は、関連する SAML トークンの SAML トークン発行者が侵害された恐れがあることを意味しています。 トークンに含まれるクレームが、通常とは異なるか、既知の攻撃者パターンと一致しています。
通常とは異なるサインイン プロパティ
リアルタイムで計算されます。 このリスク検出の種類では、過去のサインイン履歴を考慮して異常なサインインを探します。システムによって、以前のサインインに関する情報が保存され、そのユーザーになじみのないプロパティでサインインが発生したときにリスク検出がトリガーされます。 これらのプロパティには、IP、ASN、場所、デバイス、ブラウザー、テナント IP サブネットが含まれます。 新しく作成されたユーザーは、"学習モード" 期間に置かれ、そのユーザーの行動がアルゴリズムによって学習される間、見慣れないサインイン プロパティのリスク検出は停止されます。 学習モードの期間は動的であり、ユーザーのサインイン パターンに関する十分な情報をアルゴリズムが収集するためにかかる時間によって決まります。 最小期間は 5 日です。 無活動状態が長期間続いた場合、ユーザーは学習モードに戻る可能性があります。
この検出は、基本認証 (または従来のプロトコル) に対しても実行されます。 これらのプロトコルには、クライアント ID などの最新のプロパティがないため、誤検知を減らすためのデータが限られています。 お客様には、最新の認証に移行することをお勧めしています。
通常とは異なるサインイン プロパティは、対話型サインインと非対話型サインインの両方で検出できます。この検出が非対話型サインインで行われた場合、トークン リプレイ攻撃のリスクがあるため精査を増やす必要があります。
見慣れないサインイン プロパティのリスクを選択すると、このリスクがトリガーされた理由の詳細を示す情報を表示できます。
検証済み脅威アクター IP
リアルタイムで計算されます。 この種類のリスク検出では、Microsoft Threat Intelligence Center (MSTIC) からのデータに基づいて、国家的なアクターまたはサイバー犯罪グループに関連付けられている既知の IP アドレスと一致するサインイン アクティビティが示されます。
Premium のユーザー リスク検出
異常なユーザー アクティビティ
オフラインで計算されます。 このリスク検出により、Microsoft Entra ID の通常の管理ユーザーの行動をベースラインとして設定し、ディレクトリに対する疑わしい変更などの異常な行動パターンを検出することができます。 検出は、変更を行った管理者または変更されたオブジェクトに対してトリガーされます。
中間攻撃者
オフラインで計算されます。 中間の敵対者としても知られるこの高精度な検出は、認証セッションが悪意のあるリバース プロキシにリンクされたときにトリガーされます。 この種の攻撃では、敵対者はユーザーに発行されたトークンを含むユーザーの資格情報をインターセプトできます。 Microsoft Security Research チームは、Microsoft 365 Defender を使用して特定されたリスクをキャプチャし、そのユーザーを高リスクに引き上げます。 管理者は、この検出がトリガーされたときにユーザーを手動で調査し、リスクを確実にクリアすることをお勧めします。 このリスクをクリアするには、セキュリティで保護されたパスワードのリセットや既存のセッションの取り消しが必要になる可能性があります。
プライマリ更新トークン (PRT) へのアクセス試行の可能性
オフラインで計算されます。 このリスク検出の種類は、Microsoft Defender for Endpoint (MDE) によって提供される情報を使用して検出されます。 プライマリ更新トークン (PRT) は、Windows 10、Windows Server 2016 以降のバージョン、iOS、および Android デバイスでの Microsoft Entra 認証のキー アーティファクトです。 PRT は、これらのデバイスで使用されるアプリケーション間でシングル サインオン (SSO) を有効にするために、マイクロソフトのファースト パーティ トークン ブローカーに向けて発行される JSON Web トークン (JWT) です。 攻撃者は、このリソースにアクセスして、組織への侵入や資格情報の盗難を試みる可能性があります。 これが検出されると、ユーザーは高いリスクに移行されます。これは MDE が展開されている組織でのみ実行されます。 この検出は高リスクであるため、これらのユーザーを速やかに修復することをお勧めします。 そのボリュームは小さいため、ほとんどの組織ではあまり現れません。
疑わしい API トラフィック
オフラインで計算されます。 このリスク検出は、異常な GraphAPI トラフィックまたはディレクトリの列挙が観察されたときに報告されます。 疑わしい API トラフィックは、ユーザーが侵害され、環境内で偵察を行っていることを示唆している可能性があります。
不審な送信パターン
オフラインで計算されます。 このリスク検出の種類は、Microsoft Defender for Office 365 (MDO) によって提供される情報を使用して検出されます。 このアラートは、組織内の誰かが疑わしい電子メールを送信し、電子メールの送信にリスクがあるか、または制限されている場合に生成されます。 これが検出されると、ユーザーは中程度のリスクに移行されます。これは MDO が展開されている組織でのみ実行されます。 この検出は頻度が低く、ほとんどの組織ではあまり見られません。
ユーザーからの疑わしいアクティビティの報告
オフラインで計算されます。 このリスク検出は、ユーザーが多要素認証 (MFA) のプロンプトを拒否し、それを疑わしいアクティビティと報告した場合に報告されます。 ユーザーによって開始されていない MFA プロンプトは、資格情報が侵害されていることを意味する可能性があります。
Nonpremium 検出
Microsoft Entra ID Premium P2 ライセンスを持っていないお客様は、P2 ライセンスを持っているお客様のような検出に関する詳細情報のない、"検出された追加のリスク" というタイトルの検出を受け取ります。 詳細については、「ライセンスの要件」を参照してください。
Premium 以外のサインイン リスク検出
検出された追加のリスク (サインイン)
リアルタイムまたはオフラインで計算されます。 この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Microsoft Entra ID Premium P2 のお客様にのみ表示されるため、Microsoft Entra ID P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。
ユーザーに対するセキュリティ侵害を管理者が確認しました
オフラインで計算されます。 この検出は、管理者が "危険なユーザー" UI で、または riskyUsers API を使用して、[ユーザーに対するセキュリティ侵害を確認しますか?] を選択したことを示します。 このユーザーに対するセキュリティが侵害されたことを確認した管理者を調べるには、ユーザーのリスク履歴を (UI または API 経由で) 確認します。
匿名 IP アドレス
リアルタイムで計算されます。 このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにサインイン情報 (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。
Microsoft Entra の脅威インテリジェンス (サインイン)
リアルタイムまたはオフラインで計算されます。 このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。
Microsoft Entra 脅威インテリジェンスの検出の調査に関するヒント。
Premium 以外のユーザー リスク検出
検出された追加のリスク (ユーザー)
リアルタイムまたはオフラインで計算されます。 この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Microsoft Entra ID Premium P2 のお客様にのみ表示されるため、Microsoft Entra ID P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。
漏洩した資格情報
オフラインで計算されます。 このリスク検出の種類は、ユーザーの有効な資格情報が漏洩したことを示します。 サイバー犯罪者が正規ユーザーの有効なパスワードを侵害すると、多くの場合、これらの収集した認証情報を共有します。 この共有は、一般に、闇サイトや貼り付けサイトに公開したり、資格情報を闇市場で取引したり販売したりすることで行われます。 Microsoft の漏洩した資格情報サービスで、ダーク ウェブ、貼り付けサイト、またはその他のソースからユーザー資格情報が取得された場合は、有効な一致を見つけるために Microsoft Entra ユーザーの現在の有効な資格情報に対してチェックされます。 漏洩した資格情報の詳細については、「一般的な質問」を参照してください。
Microsoft Entra の脅威インテリジェンス (ユーザー)
オフラインで計算されます。 このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。
Microsoft Entra 脅威インテリジェンスの検出の調査に関するヒント。
一般的な質問
不正な資格情報を使用してサインインを試みた場合はどうなりますか?
Identity Protection は、正しい資格情報が使用されている場合にのみ、リスク検出を生成します。 サインイン時に間違った資格情報が使用されている場合に、資格情報の侵害のリスクを示すものではありません。
パスワード ハッシュ同期の要件とは
資格情報漏洩などのリスク検出では、検出を行うため、パスワード ハッシュが存在する必要があります。 パスワード ハッシュ同期について詳しくは、「Microsoft Entra Connect 同期を使用したパスワード ハッシュ同期の実装」の記事をご覧ください。
無効なアカウントに対してリスク検出が生成されるのはなぜですか?
無効な状態のユーザー アカウントは、再度有効にすることができます。 無効になっているアカウントの資格情報が侵害され、そのアカウントが再度有効になった場合、不正なアクターがアクセス権を取得するためにそれらの資格情報を使用する可能性があります。 ID Protection は、アカウント侵害の可能性があることをお客様に警告するために、これらの無効なアカウントに対する不審なアクティビティのリスク検出を生成します。 不要になったアカウントについては、再度使用する予定がない場合、侵害を防ぐために削除することを検討してください。 削除されたアカウントに対してリスク検出は生成されません。
漏洩した資格情報の一般的な質問
Microsoft は、漏洩した資格情報をどこで検出するのですか?
Microsoft では、次のようなさまざまな場所で、漏洩した資格情報を探します。
- 悪意のあるアクターが通常このような素材を投稿するパブリック貼り付けサイト。
- 法執行機関。
- 闇サイトのリサーチを行っている Microsoft の他のグループ。
漏洩した資格情報が表示されないのはなぜですか?
漏洩した資格情報は、Microsoft が公開されている新しいバッチを検出するたびに処理されます。 その機密性のため、漏洩した資格情報は、処理の直後に削除されます。 お客様がパスワード ハッシュの同期 (PHS) を有効にした後で検出された、新たに漏洩した資格情報のみが、テナントに対して処理されます。 前に検出されていた資格情報ペアに対する検証は実行されません。
資格情報漏洩のリスク イベントはありません
漏洩した資格情報リスク イベントが確認されていない場合、次のような理由が原因です。
- お客様がご自身のテナントに対して PHS を有効にしていません。
- お客様のユーザーと一致する、漏洩した資格情報のペアを Microsoft が見つけていません。
Microsoft では、どのくらいの頻度で新しい資格情報を処理していますか?
資格情報は、通常は 1 日に複数のバッチで検出された直後に処理されます。
場所
リスク検出の場所は、IP アドレス検索を使用して特定されます。 信頼できるネームド ロケーションからのサインインにより、Microsoft Entra ID Protection のリスク計算の精度が向上し、信頼済みとしてマークされた場所から認証するときにユーザーのサインイン リスクが軽減されます。