Azure リソースからのアラートに対応する

  • 11 分

Defender for Cloud の Key Vault アラートに対処する

Defender for Key Vault からアラートを受けたときは、以下の説明に従ってアラートを調査して対処することをお勧めします。 Defender for Key Vault はアプリケーションと資格情報を保護します。そのため、アラートをトリガーしたアプリケーションやユーザーについてよく知っているとしても、それぞれのアラートを取り巻く状況を確認することが重要です。

Defender for Key Vault から発せられるすべてのアラートに、次の要素が含まれています。

  • Object ID

  • 疑わしいリソースのユーザー プリンシパル名または IP アドレス

Contact

  • トラフィックがご自分の Azure テナント内から送信されたかどうかを確認します。 キー コンテナーのファイアウォールが有効になっている場合、このアラートをトリガーしたユーザーまたはアプリケーションへのアクセス権を提供している可能性があります。

  • トラフィックの送信元を確認できない場合は、「手順 2. 即時軽減策」に進みます。

  • ご自分のテナント内でトラフィックの送信元を特定できる場合は、そのユーザーまたはアプリケーションの所有者に問い合わせてください。

即時軽減策

ユーザーまたはアプリケーションを認識できない場合、またはアクセスが許可されるべきではなかったと考える場合は、次のようにします。

  • トラフィックが、認識されていない IP アドレスから送信された場合:

    • 「Azure Key Vault のファイアウォールと仮想ネットワークを構成する」の説明に従って Azure Key Vault のファイアウォールを有効にします。

    • 信頼できるリソースと仮想ネットワークを使用してファイアウォールを構成します。

  • アラートの発生元が、未承認のアプリケーションまたは疑わしいユーザーだった場合:

    • キー コンテナーのアクセス ポリシー設定を開きます。

    • 該当するセキュリティ プリンシパルを削除するか、セキュリティ プリンシパルで実行できる操作を制限します。

  • アラートのソースがテナントに Microsoft Entra ロールを持っている場合:

    • 管理者に問い合わせてください。

    • Microsoft Entra のアクセス許可を減らす、または取り消す必要があるかどうかを判断します。

影響の特定

影響が軽減されたら、影響を受けたキー コンテナーのシークレットを調査します。

  1. Azure Key Vault の [セキュリティ] ページを開き、トリガーされたアラートを表示します。

  2. トリガーされた特定のアラートを選択します。 アクセスされたシークレットとタイムスタンプの一覧を確認します。

  3. 必要に応じて、キー コンテナー診断ログを有効にしている場合は、該当する呼び出し元 IP、ユーザー プリンシパル、またはオブジェクト ID に対して行われた操作を確認します。

アクションの実行

疑わしいユーザーまたはアプリケーションによってアクセスされたシークレット、キー、証明書の一覧をまとめたら、それらのオブジェクトをすぐにローテーションする必要があります。

  • 影響を受けたシークレットは、無効にするか、キー コンテナーから削除する必要があります。

  • 特定のアプリケーションに対して資格情報が使用された場合は、次のようにします。

    • アプリケーションの管理者に連絡し、侵害された資格情報が、侵害後に使用されたかどうかについて担当の環境を監査するように依頼します。

    • 侵害された資格情報が使用された場合は、アプリケーションの所有者が、アクセスされた情報を特定し、影響を軽減する必要があります。

Defender for DNS アラートに対処する

Defender for DNS からアラートを受けたときは、以下の説明に従ってアラートを調査して対処することをお勧めします。 Defender for DNS は接続しているすべてのリソースを保護します。そのため、アラートをトリガーしたアプリケーションやユーザーについてよく知っているとしても、それぞれのアラートを取り巻く状況を確認することが重要です。

Contact

リソース所有者に問い合わせて、動作が想定されていたか、意図的であったかを判断します。

  • そのアクティビティが想定されている場合は、アラートを無視します。

  • そのアクティビティが想定されていない場合は、リソースをセキュリティ侵害された可能性があるものとして扱い、次の手順で説明するように軽減します。

即時軽減策

ネットワークからリソースを分離し、横移動を防止します。

  • リソースに対してマルウェア対策のフル スキャンを実行し、結果として得られる修復アドバイスに従います。

  • リソースにインストールされた実行中のソフトウェアを確認し、不明または不要なパッケージを削除します。

  • コンピューターを既知の良好な状態に戻し、オペレーティング システムを必要に応じて再インストールし、マルウェアの無いことが検証されたソースからソフトウェアを復元します。

  • Defender for Cloud のコンピューターに関するすべての推奨事項を解決し、強調表示されているセキュリティ問題を修復して、将来の侵害を防ぎます。

Defender for Resource Manager のアラートに対処する

Defender for Resource Manager からアラートを受けたときは、以下の説明に従ってアラートを調査して対処することをお勧めします。 Defender for Resource Manager は接続しているすべてのリソースを保護します。そのため、アラートをトリガーしたアプリケーションやユーザーについてよく知っているとしても、それぞれのアラートを取り巻く状況を確認することが重要です。

Contact

リソース所有者に問い合わせて、動作が想定されていたか、意図的であったかを判断します。

  • そのアクティビティが想定されている場合は、アラートを無視します。

  • そのアクティビティが想定されていない場合は、関連するユーザー アカウント、サブスクリプション、および仮想マシンをセキュリティ侵害されたものとして扱い、次の手順で説明するように軽減します。

即時軽減策

  • 侵害されたユーザー アカウントを修復します。

    • 見慣れないものである場合は、脅威アクターによって作成された可能性があるため、削除します

    • 見慣れたものである場合は、その認証資格情報を変更します

    • Azure アクティビティ ログを使用して、ユーザーによって実行されるすべてのアクティビティを確認し、疑わしいものをすべて特定します

  • 侵害されたサブスクリプションを修復します。

    • 侵害された Automation アカウントから見慣れない Runbook を削除します

    • サブスクリプションの IAM アクセス許可を確認し、見慣れないすべてのユーザー アカウントのアクセス許可を削除します

    • サブスクリプション内のすべての Azure リソースを確認し、見慣れないものをすべて削除します

    • Defender for Cloud でサブスクリプションに関するセキュリティ アラートを確認して調査する

    • Azure アクティビティ ログを使用して、サブスクリプション内で実行されるすべてのアクティビティを確認し、疑わしいものをすべて特定します

  • 侵害された仮想マシンを修復します

    • すべてのユーザーのパスワードを変更します

    • マシン上でマルウェア対策のフル スキャンを実行します

    • マルウェアのないソースからマシンを再イメージ化します