Identity Protection とはWhat is Identity Protection?

Identity Protection は、組織が次の 3 つの主要なタスクを実行できるツールです。Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • ID ベースのリスクの検出と修復を自動化します。Automate the detection and remediation of identity-based risks.
  • ポータルのデータを使用してリスクを調査します。Investigate risks using data in the portal.
  • 詳細な分析のために、サードパーティ製ユーティリティにリスク検出データをエクスポートします。Export risk detection data to third-party utilities for further analysis.

Identity Protection は、Azure AD により組織について、Microsoft アカウントによりコンシューマー領域について、そして Xbox によりゲームについて得られた学習内容を使用して、ユーザーを保護します。Identity Protection uses the learnings Microsoft has acquired from their position in organizations with Azure AD, the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. Microsoft は、脅威を特定し顧客を保護するために、1 日あたり 6 兆 5000 億の信号を分析します。Microsoft analyses 6.5 trillion signals per day to identify and protect customers from threats.

Identity Protection によって生成された信号、受信した信号は、条件付きアクセスなどのツールにさらに送信してアクセスに関する決定を行うことができます。また、セキュリティ情報とイベント管理 (SIEM) ツールに送り戻して、組織の適用するポリシーに基づく詳細な調査を行うこともできます。The signals generated by and fed to Identity Protection, can be further fed into tools like Conditional Access to make access decisions, or fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

自動化が重要な理由Why is automation important?

Microsoft の ID セキュリティと保護チームを主導する Alex Weinert による 2018 年 10 月のブログ記事では、イベントのボリュームを処理するときに自動化が非常に重要な理由について説明しています。In his blog post in October of 2018 Alex Weinert, who leads Microsoft's Identity Security and Protection team, explains why automation is so important when dealing with the volume of events:

機械学習およびヒューリスティック システムは、毎日 8 億の異なるアカウントに対して 180 億回のログイン試行のリスクスコアを提供します。そのうち 3 億は、明らかに敵対者 (例: 犯罪アクター、ハッカー) によるものです。Each day, our machine learning and heuristic systems provide risk scores for 18 billion login attempts for over 800 million distinct accounts, 300 million of which are discernibly done by adversaries (entities like: criminal actors, hackers).

昨年の Ignite では、ID システムが受ける上位 3 つの攻撃について説明しました。At Ignite last year, I spoke about the top 3 attacks on our identity systems. これらの攻撃の最近のボリュームは次のとおりですHere is the recent volume of these attacks

  • 侵害のリプレイ:2018 年 5 月に 46 億件の攻撃を検出Breach replay: 4.6BN attacks detected in May 2018
  • パスワード スプレー:2018 年 4 月に 35 万件Password spray: 350k in April 2018
  • フィッシング:これは正確に定量化するのは困難ですが、2018 年 3 月には 2,300 万件のリスクイベントがあり、その多くはフィッシング関連ですPhishing: This is hard to quantify exactly, but we saw 23M risk events in March 2018, many of which are phish related

リスクの検出と修復Risk detection and remediation

Identity Protection は、次の分類のリスクを識別します。Identity Protection identifies risks in the following classifications:

リスク検出の種類Risk detection type 説明Description
匿名 IP アドレスAnonymous IP address 匿名の IP アドレスからのサインイン (例:Tor Browser、Anonymizer VPN)。Sign in from an anonymous IP address (for example: Tor browser, anonymizer VPNs).
特殊な移動Atypical travel ユーザーの最近のサインインに基づき特殊と判断された場所からのサインイン。Sign in from an atypical location based on the user's recent sign-ins.
マルウェアにリンクした IP アドレスMalware linked IP address マルウェアにリンクした IP アドレスからのサインインSign in from a malware linked IP address.
通常とは異なるサインイン プロパティUnfamiliar sign-in properties 指定されたユーザーで最近観察されていないプロパティを使用したサインイン。Sign in with properties we've not seen recently for the given user.
資格情報の漏洩Leaked Credentials ユーザーの有効な資格情報が漏洩したことを示します。Indicates that the user's valid credentials have been leaked.
パスワード スプレーPassword spray ブルート フォースを束ねた手法で、複数のユーザー名が共通のパスワードを使用して攻撃されていることを示します。Indicates that multiple usernames are being attacked using common passwords in a unified, brute-force manner.
Azure AD 脅威インテリジェンスAzure AD threat intelligence Microsoft の内部および外部の脅威インテリジェンス ソースが既知の攻撃パターンを特定しました。Microsoft's internal and external threat intelligence sources have identified a known attack pattern.
初めての国New country この検出は、Microsoft Cloud App Security (MCAS) によって検出されます。This detection is discovered by Microsoft Cloud App Security (MCAS).
匿名 IP アドレスからのアクティビティActivity from anonymous IP address この検出は、Microsoft Cloud App Security (MCAS) によって検出されます。This detection is discovered by Microsoft Cloud App Security (MCAS).
受信トレイからの疑わしい転送Suspicious inbox forwarding この検出は、Microsoft Cloud App Security (MCAS) によって検出されます。This detection is discovered by Microsoft Cloud App Security (MCAS).

これらのリスクとその計算方法の詳細については、「リスクとは」を説明する記事を参照してください。More detail on these risks and how/when they are calculated can be found in the article, What is risk.

リスク シグナルは、Azure AD Multi-Factor Authentication の実行、セルフサービス パスワード リセットを使用したパスワードのリセット、管理者がアクションを実行するまでのブロックなど、修復作業をトリガーすることができます。The risk signals can trigger remediation efforts such as requiring users to: perform Azure AD Multi-Factor Authentication, reset their password using self-service password reset, or blocking until an administrator takes action.

リスクの調査Risk investigation

管理者は検出内容を確認し、必要に応じて手動で操作を行うことができます。Administrators can review detections and take manual action on them if needed. Identity Protection では、管理者が調査に使用する 3 つの主要なレポートがあります。There are three key reports that administrators use for investigations in Identity Protection:

  • 危険なユーザーRisky users
  • リスクの高いサインインRisky sign-ins
  • リスク検出Risk detections

詳細については以下に関する記事を参照してください。リスクを調査する方法More information can be found in the article, How To: Investigate risk.

リスク レベルRisk levels

Identity Protection では、リスクを低、中、高の 3 つのレベルに分類します。Identity Protection categorizes risk into three tiers: low, medium, and high.

Microsoft ではリスクの計算方法に関する具体的な詳細を公開していませんが、各レベルごとに、ユーザーまたはサインインが侵害されたという信頼度は高くなります。While Microsoft does not provide specific details about how risk is calculated, we will say that each level brings higher confidence that the user or sign-in is compromised. たとえば、見慣れないサインイン プロパティのインスタンスが 1 つあるといったことは、資格情報の漏洩ほど脅威的ではない可能性があります。For example, something like one instance of unfamiliar sign-in properties for a user might not be as threatening as leaked credentials for another user.

リスク データのエクスポートExporting risk data

Identity Protection からのデータを他のツールにエクスポートしてアーカイブしたり、さらに調査したり、関連付けしたりすることができます。Data from Identity Protection can be exported to other tools for archive and further investigation and correlation. Microsoft Graph ベースの API を使用すると、組織はこのデータを収集して、SIEM などのツールでさらに処理することができます。The Microsoft Graph based APIs allow organizations to collect this data for further processing in a tool such as their SIEM. Identity Protection API へのアクセス方法の詳細については、「Azure Active Directory Identity Protection と Microsoft Graph の基本」を参照してくださいInformation about how to access the Identity Protection API can be found in the article, Get started with Azure Active Directory Identity Protection and Microsoft Graph

Identity Protection の情報と Azure Sentinel の統合に関する情報については、「Azure AD Identity Protection からデータを接続する」を参照してください。Information about integrating Identity Protection information with Azure Sentinel can be found in the article, Connect data from Azure AD Identity Protection.

アクセス許可Permissions

Identity Protection にユーザーがにアクセスするためには、セキュリティ閲覧者、セキュリティ オペレーター、セキュリティ管理者、グローバル閲覧者、またはグローバル管理者である必要があります。Identity Protection requires users be a Security Reader, Security Operator, Security Administrator, Global Reader, or Global Administrator in order to access.

ロールRole できることCan do できないことCan't do
全体管理者Global administrator Identity Protection へのフル アクセスFull access to Identity Protection
セキュリティ管理者Security administrator Identity Protection へのフル アクセスFull access to Identity Protection ユーザーのパスワードをリセットするReset password for a user
セキュリティ オペレーターSecurity operator すべての Identity Protection レポートと [概要] ブレードを表示するView all Identity Protection reports and Overview blade

ユーザー リスクを無視し、安全なサインインを確認して、セキュリティ侵害を確認するDismiss user risk, confirm safe sign-in, confirm compromise
ポリシーを構成または変更するConfigure or change policies

ユーザーのパスワードをリセットするReset password for a user

アラートを構成するConfigure alerts
セキュリティ閲覧者Security reader すべての Identity Protection レポートと [概要] ブレードを表示するView all Identity Protection reports and Overview blade ポリシーを構成または変更するConfigure or change policies

ユーザーのパスワードをリセットするReset password for a user

アラートを構成するConfigure alerts

検出に関するフィードバックを送信するGive feedback on detections

現在のところ、セキュリティ オペレーター ロールでは危険なサインイン レポートにアクセスできません。Currently, the security operator role cannot access the Risky sign-ins report.

条件付きアクセス管理者は、条件としてサインイン リスクを考慮に入れるポリシーを作成することもできます。Conditional Access administrators can also create policies that factor in sign-in risk as a condition. 詳細については、「条件付きアクセス:条件」を参照してください。Find more information in the article Conditional Access: Conditions.

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. ご自分の要件に適したライセンスを確認するには、Free、Office 365 アプリ、および Premium エディションの一般提供されている機能の比較に関するページをご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

機能Capability 詳細Details Azure AD Free / Microsoft 365 AppsAzure AD Free / Microsoft 365 Apps Azure AD Premium P1Azure AD Premium P1 Azure AD Premium P2Azure AD Premium P2
リスク ポリシーRisk policies ユーザー リスク ポリシー (Identity Protection 経由)User risk policy (via Identity Protection) いいえNo いいえNo はいYes
リスク ポリシーRisk policies サインイン リスク ポリシー (Identity Protection または条件付きアクセス経由)Sign-in risk policy (via Identity Protection or Conditional Access) いいえNo いいえNo はいYes
セキュリティ レポートSecurity reports 概要Overview いいえNo いいえNo はいYes
セキュリティ レポートSecurity reports 危険なユーザーRisky users 限定的な情報。Limited Information. リスクの程度が中から高のユーザーのみが表示されます。Only users with medium and high risk are shown. 詳細ドロアーやリスクの履歴は提供されません。No details drawer or risk history. 限定的な情報。Limited Information. リスクの程度が中から高のユーザーのみが表示されます。Only users with medium and high risk are shown. 詳細ドロアーやリスクの履歴は提供されません。No details drawer or risk history. フル アクセスFull access
セキュリティ レポートSecurity reports リスクの高いサインインRisky sign-ins 限定的な情報。Limited Information. リスクの詳細やリスク レベルは表示されません。No risk detail or risk level is shown. 限定的な情報。Limited Information. リスクの詳細やリスク レベルは表示されません。No risk detail or risk level is shown. フル アクセスFull access
セキュリティ レポートSecurity reports リスク検出Risk detections いいえNo 限定的な情報。Limited Information. 詳細ドロアーは提供されません。No details drawer. フル アクセスFull access
通知Notifications 危険な状態のユーザーが検出されたアラートUsers at risk detected alerts いいえNo いいえNo はいYes
通知Notifications 週間ダイジェストWeekly digest いいえNo いいえNo はいYes
MFA 登録ポリシーMFA registration policy いいえNo いいえNo はいYes

これらの高度なレポートの詳細については次の記事を参照してください。リスクを調査する方法More information on these rich reports can be found in the article, How To: Investigate risk.

次のステップNext steps