方法: リスクの調査

組織では、Identity Protection によって提供されるレポートを使って、環境の ID リスクを調査できます。 これらのレポートには、危険なユーザー、危険なサインイン、危険なワークロード ID、リスク検出が含まれます。 イベントの調査は、セキュリティ戦略の弱点を理解して識別するための鍵です。 これらのレポートはすべて、CSV 形式でのイベントのダウンロード、または詳細な分析のための、専用 SIEM ツールなどの他のセキュリティ ソリューションとの統合に対応しています。

組織は、Microsoft Graph API 統合を利用して、データを組織としてアクセスできる他のソースと集計できます。

3 つのレポートは、Microsoft Entra 管理センター>Protection>Identity Protection にあります。

レポート内の移動

各レポートは、レポートの上部に表示されている期間のすべての検出の一覧と共に起動します。 各レポートでは、管理者の設定に基づいて列を追加または削除できます。 管理者は、データを .CSV または .JSON 形式でダウンロードすることを選択できます。 レポートは、レポートの上部にあるフィルターを使用してフィルター処理できます。

個々のエントリを選択して、レポートの上部でさらにエントリを有効にすることができます (サインインが侵害されているか安全であるかを確認する機能、ユーザーが侵害されていることを確認する機能、ユーザー リスクを無視する機能など)。

個々のエントリを選択すると、検出の下に [詳細] ウィンドウが展開されます。 詳細ビューで、管理者は、各検出を調査してアクションを実行できます。

危険なユーザー

危険なユーザー レポートには、現在または過去に、アカウントが侵害のリスクがあるとみなされたすべてのユーザーが一覧表示されます。 リソースへの不正アクセスを防ぐために、危険なユーザーを調査して修復する必要があります。

ユーザーがリスクにさらされるのはなぜですか?

次の場合、ユーザーは危険なユーザーになります。

• 1 つ以上の危険なサインインがある場合。
• 漏洩した資格情報など、ユーザーのアカウントで検出されたリスクが 1 つ以上ある場合。

危険なユーザーを調査する方法

ユーザーの危険なサインインを表示して調査するには、[最近の危険なサインイン] タブまたは [ユーザーの危険なサインイン] リンクを選択します。

ユーザーのアカウントのリスクを表示して調査するには、[サインインにリンクされていない検出] タブまたは [ユーザーのリスク検出] リンクを選択します。

[リスク履歴] タブには、過去 90 日間にユーザーのリスクの変更につながったすべてのイベントも表示されます。 この一覧には、ユーザーのリスクを増加させたリスク検出と、ユーザーのリスクを低下させた管理者の修復アクションが含まれます。 表示して、ユーザーのリスクがどのように変化したかを確認します。

危険なユーザー レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

• どのユーザーにリスクがあり、リスクが修復されたか無視されたか
• 検出の詳細
• すべての危険なサインインの履歴
• リスクの履歴

管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。

• ユーザー パスワードをリセットする
• ユーザーの侵害を確認する
• ユーザー リスクを無視する
• ユーザーによるサインインをブロックする
• Microsoft Defender for Identity を使用してさらに調査する

スコープを理解する

1. 更新された組織の出張レポートのための既知の出張者データベースの作成を検討し、それを使って出張アクティビティを相互参照します。
2. 会社の VPN と IP アドレス範囲をネームド ロケーションに追加して、擬陽性を減らします。
3. ログを確認し、同じ特性を持つ類似アクティビティを特定します。 これは、より多くのアカウントが侵害されたことを示している可能性があります。
   1. IP アドレス、地域、成功/失敗などの共通の特性がある場合は、条件付きアクセス ポリシーを使ってこれらをブロックすることを検討します。
   2. 可能性があるデータのダウンロードや管理上の変更のなど、侵害された可能性のあるリソースを確認します。
   3. 条件付きアクセスを使用して自己修復ポリシーを有効にする
4. 新しい場所からの大量のファイルのダウンロードなど、ユーザーが他の危険なアクティビティを実行したことがわかった場合、これは侵害の可能性を強く示しています。

リスクの高いサインイン

危険なサインイン レポートには、最長で過去 30 日間 (1 か月) のフィルター可能なデータが含まれています。

危険なサインイン レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

• どのサインインが、危険である、侵害が確認された、安全であると確認された、無視された、または修復されたと分類されているか
• サインイン試行に関連付けられ、リアルタイムで集計されたリスク レベル
• トリガーされた検出の種類
• 適用された条件付きアクセス ポリシー
• MFA の詳細
• デバイス情報
• アプリケーション情報
• 場所情報

管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。

• サインインを侵害ありと確認
• サインインを安全と確認

リスク検出

リスク検出レポートには、最長で過去 90 日間 (3 か月) のフィルター可能なデータが含まれています。

リスク検出レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

• 各リスク検出についての種類を含む情報
• 同時にトリガーされたその他のリスク
• サインインが試行された場所
• Microsoft Defender for Cloud Apps から得られた情報をさらに詳しく確認するためのリンク

管理者は、ユーザーのリスク レポートまたはサインイン レポートに戻り、収集された情報に基づいてアクションを実行できます。

調査フレームワーク

組織は、次のフレームワークを使用して、疑わしいアクティビティについて調査を開始できます。 調査には、問題のユーザーとの会話、 サインインログの確認、または 監査ログ の確認を行う必要があります。

1. ログを確認し、特定のユーザーに対して疑わしいアクティビティが正常であるかどうかを検証します。
   1. 少なくとも次のプロパティを含むユーザーの過去のアクティビティを調べて、それらが特定のユーザーにとって正常なことであるかどうかを確認します。
      1. Application
      2. デバイス - デバイスは登録または準拠していますか?
      3. 場所 - ユーザーは別の場所に移動したり、複数の場所からデバイスにアクセスしたりしますか?
      4. IP アドレス
      5. ユーザー エージェント文字列
   2. Microsoft Sentinel などの他のセキュリティツールにアクセスできる場合は、より大きな問題を示すアラートがあるかどうかを確認してください。
   3. Microsoft 365 Defender にアクセスできる組織は、他の関連するアラートやインシデント、MITRE ATT&CK チェーンを通じてユーザー リスク イベントを追跡できます。
      1. [危険なユーザー] レポートでユーザーを選択します。
      2. ツール バーの省略記号 (...) を選択し、[Microsoft 365 Defender で調査する] を選択します。
2. ユーザーに連絡して、サインインが認識されているかどうかを確認します。 電子メールや Teams などのメソッドが侵害される可能性があります。
   1. 次のような情報を確認します。
      1. アプリケーション
      2. Device
      3. 場所
      4. IP アドレス

Microsoft Entra 脅威インテリジェンスの検出を調査する

Microsoft Entra 脅威インテリジェンスのリスク検出を調査するには、次の手順を実行します。

検出に関する詳細情報を次に示します。

1. 疑わしい IP アドレスからのサインイン:
   1. IP アドレスが環境内で疑わしい動作を示しているかどうかを確認します。
   2. ディレクトリ内でユーザーまたはユーザーのセットに対して、IP によって多数のエラーが生成されていますか?
   3. IP のトラフィックが予期しないプロトコルまたはアプリケーションから送信されていますか (従来のプロトコル Exchange など)?
   4. IP アドレスがクラウド サービス プロバイダーに対応している場合は、同じ IP から実行される正当なエンタープライズ アプリケーションが存在しないことをルールによって除外します。
2. このアカウントは、パスワード スプレー攻撃の被害者でした。
   1. ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。
   2. 他のユーザーに、同じ期間内に検出されたサインインで似たような特殊なパターンを持つサインインがありますか? パスワード スプレー攻撃では、次のような特殊なパターンが表示されることがあります。
      1. ユーザー エージェント文字列
      2. Application
      3. Protocol
      4. IP/ASN の範囲
      5. サインインの時刻と頻度
3. この検出はリアルタイム ルールによってトリガーされました。
   1. ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。 これは、ルールに割り当てられている TI_RI_#### 番号で確認できます。
   2. リアルタイム ルールは、Microsoft の脅威インテリジェンスによって識別される新しい攻撃から保護します。 ディレクトリ内の複数のユーザーが同じ攻撃のターゲットであった場合は、サインインの他の属性で異常なパターンを調査します。

Microsoft 365 Defender でリスクを調査する

Microsoft 365 Defender と Microsoft Defender for Identity をデプロイした組織は、Identity Protection シグナルから追加の価値を得ることができます。 この価値は、組織の他の部署から得た他のデータとの相関関係の強化と、追加の自動調査と応答の形で得ることができます。

Microsoft 365 Defender で、セキュリティ プロフェッショナルと管理者は、次のような領域から不審なアクティビティへの接続を行うことができます。

• Defender for Identity でのアラート
• Microsoft Defender for Endpoint
• Microsoft Defender for Cloud
• Microsoft Defender for Cloud Apps

Microsoft 365 Defender を使用して疑わしいアクティビティを調査する方法の詳細については、「Microsoft Defender for Identity で資産を調査する」および「Microsoft 365 Defender でインシデントを調査する」の記事をご覧ください。

これらのアラートとその構造の詳細については、「セキュリティ アラートを理解する」の記事をご覧ください。

調査の状態

セキュリティ担当者が Microsoft 365 Defenderと Defender for Identity でリスクを調査すると、次の状態と理由がポータルと API の Identity Protection に返されます。

次の手順

• ユーザーの修復とブロック解除
• リスクを軽減するために使用できるポリシー
• サインインとユーザー リスク ポリシーを有効にする