方法:リスクの調査How To: Investigate risk

Identity Protection を使用すると、お使いの環境のリスクを調査するために使用できる 3 種類のレポートが組織に提供されます。Identity Protection provides organizations with three reports they can use to investigate identity risks in their environment. これらのレポートは、危険なユーザー危険なサインイン、および リスク検出 です。These reports are the risky users, risky sign-ins, and risk detections. イベントの調査は、セキュリティ戦略の弱点を理解して識別するための鍵です。Investigation of events is key to better understanding and identifying any weak points in your security strategy.

3 つのレポートは、Azure portal の外部で詳細な分析を行うために、どれもイベントを .CSV 形式でダウンロードできます。All three reports allow for downloading of events in .CSV format for further analysis outside of the Azure portal. 危険なユーザー レポートと危険なサインイン レポートでは、最新の 2,500 項目をダウンロードできます。一方、リスク検出レポートでは、最新の 5,000 レコードをダウンロードできます。The risky users and risky sign-ins reports allow for downloading the most recent 2500 entries, while the risk detections report allows for downloading the most recent 5000 records.

組織は、Microsoft Graph API 統合を利用して、データを組織としてアクセスできる他のソースと集計できます。Organizations can take advantage of the Microsoft Graph API integrations to aggregate data with other sources they may have access to as an organization.

3 つのレポートは、Azure portal > [Azure Active Directory] > [セキュリティ] にあります。The three reports are found in the Azure portal > Azure Active Directory > Security.

各レポートは、レポートの上部に表示されている期間のすべての検出の一覧と共に起動します。Each report launches with a list of all detections for the period shown at the top of the report. 各レポートでは、管理者の設定に基づいて列を追加または削除できます。Each report allows for the addition or removal of columns based on administrator preference. 管理者は、データを .CSV または .JSON 形式でダウンロードすることを選択できます。Administrators can choose to download the data in .CSV or .JSON format. レポートは、レポートの上部にあるフィルターを使用してフィルター処理できます。Reports can be filtered using the filters across the top of the report.

個々のエントリを選択して、レポートの上部で追加のエントリを有効にすることができます (サインインが侵害されているか安全であるかを確認する機能、ユーザーが侵害されていることを確認する機能、ユーザー リスクを無視する機能など)。Selecting individual entries may enable additional entries at the top of the report such as the ability to confirm a sign-in as compromised or safe, confirm a user as compromised, or dismiss user risk.

個々のエントリを選択すると、検出の下に [詳細] ウィンドウが展開されます。Selecting individual entries expands a details window below the detections. 詳細ビューで、管理者は、各検出を調査してアクションを実行できます。The details view allows administrators to investigate and perform actions on each detection.

危険なサインインと詳細を示している Identity Protection の例

危険なユーザーRisky users

危険なユーザー レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。With the information provided by the risky users report, administrators can find:

  • どのユーザーにリスクがあり、リスクが修復されたか無視されたかWhich users are at risk, have had risk remediated, or have had risk dismissed?
  • 検出の詳細Details about detections
  • すべての危険なサインインの履歴History of all risky sign-ins
  • リスクの履歴Risk history

管理者は、これらのイベントに対してアクションを実行することを選択できます。Administrators can then choose to take action on these events. 管理者は、以下を実行することを選択できます。Administrators can choose to:

  • ユーザー パスワードをリセットするReset the user password
  • ユーザーの侵害を確認するConfirm user compromise
  • ユーザー リスクを無視するDismiss user risk
  • ユーザーによるサインインをブロックするBlock user from signing in
  • Azure ATP を使用してさらに調査するInvestigate further using Azure ATP

リスクの高いサインインRisky sign-ins

危険なサインイン レポートには、最長で過去 30 日間 (1 か月) のフィルター可能なデータが含まれています。The risky sign-ins report contains filterable data for up to the past 30 days (1 month).

危険なサインイン レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。With the information provided by the risky sign-ins report, administrators can find:

  • どのサインインが、危険である、侵害が確認された、安全であると確認された、無視された、または修復されたと分類されているかWhich sign-ins are classified as at risk, confirmed compromised, confirmed safe, dismissed, or remediated.
  • サインイン試行に関連付けられ、リアルタイムで集計されたリスク レベルReal-time and aggregate risk levels associated with sign-in attempts.
  • トリガーされた検出の種類Detection types triggered
  • 適用された条件付きアクセス ポリシーConditional Access policies applied
  • MFA の詳細MFA details
  • デバイス情報Device information
  • アプリケーション情報Application information
  • 場所情報Location information

管理者は、これらのイベントに対してアクションを実行することを選択できます。Administrators can then choose to take action on these events. 管理者は、以下を実行することを選択できます。Administrators can choose to:

  • サインインを侵害ありと確認Confirm sign-in compromise
  • サインインを安全と確認Confirm sign-in safe

注意

Identity Protection では、対話型または非対話型にかかわらず、すべての認証フローについてリスクを評価します。Identity Protection evaluates risk for all authentication flows, whether it be interactive or non-interactive. ただし、サインイン レポートには、対話型のサインインだけが表示されます。非対話型サインインで発生した危険なサインインが表示されることがありますが、Azure AD サインイン レポートにはそのサインインは表示されません。However, the sign-in report shows only the interactive sign-ins. You may see risky sign-ins that occurred on non-interactive sign-ins, but the sign-in will not show up in the Azure AD sign-ins report.

リスク検出Risk detections

リスク検出レポートには、最長で過去 90 日間 (3 か月) のフィルター可能なデータが含まれています。The risk detections report contains filterable data for up to the past 90 days (3 months).

リスク検出レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。With the information provided by the risk detections report, administrators can find:

  • 各リスク検出についての種類を含む情報Information about each risk detection including type.
  • 同時にトリガーされたその他のリスクOther risks triggered at the same time
  • サインインが試行された場所Sign-in attempt location
  • Microsoft Cloud App Security (MCAS) のリンクから詳細な情報にアクセスするLink out to more detail from Microsoft Cloud App Security (MCAS).

管理者は、ユーザーのリスク レポートまたはサインイン レポートに戻り、収集された情報に基づいてアクションを実行できます。Administrators can then choose to return to the user's risk or sign-ins report to take actions based on information gathered.

注意

当社のシステムでは、リスクのあるユーザーのリスク スコアに影響を与えたリスク イベントが誤検知であること、または MFA プロンプトの実行やセキュリティで保護されたパスワードの変更など、ポリシーを適用することによってユーザーのリスクが修復されたことが検出される場合があります。Our system may detect that the risk event that contributed to the risk user risk score was a false positives or the user risk was remediated with policy enforcement such as completing an MFA prompt or secure password change. その場合、リスクの状態は無視され、「AI によってサインインが安全であることが確認されました」というリスクの詳細が表示されます。また、ユーザーのリスクには影響しなくなります。Therefore our system will dismiss the risk state and a risk detail of “AI confirmed sign-in safe” will surface and it will no longer contribute to the user’s risk.

次のステップNext steps