Microsoft Defender for Cloud のセキュリティ アラートとインシデント
Defender for Cloud は、Azure、オンプレミス、ハイブリッド クラウドの各環境にデプロイされたリソースに対してアラートを生成します。
セキュリティ アラートは、高度な検出によってトリガーされ、強化されたセキュリティ機能が有効になっている場合にのみ使用できます。 「クイックスタート: 強化されたセキュリティ機能を有効にする」で説明されているように、 [環境設定] ページからアップグレードできます。 30 日間の無料試用版が提供されています。 選択した通貨でのお住まいのリージョンに応じた価格の詳細については、価格ページを参照してください。
セキュリティ アラートとセキュリティ インシデントとは
アラートは、リソースに対する脅威を検出したときに Defender for Cloud によって生成される通知です。 Defender for Cloud では、アラートに優先順位を付け、問題の迅速な調査に必要な情報と共に一覧表示します。 Defender for Cloud では、攻撃を修復するための詳細な手順も提供されます。 アラート データは 90 日間保持されます。
セキュリティ インシデントは、各アラートの個別の一覧ではなく、関連するアラートのコレクションです。 Defender for Cloud では、「クラウドのスマート アラートの関連付け (インシデント)」を使用して、さまざまなアラートと忠実度が低いシグナルをセキュリティ インシデントに関連付けます。
Defender for Cloud はインシデントを使用して、攻撃活動とすべての関連するアラートを単一のビューに表示します。 このビューにより、攻撃者がどのようなアクションを実行し、どのリソースが影響を受けたかを迅速に把握できます。
今日の脅威への対応
脅威を取り巻く状況は、この 20 年で様変わりしました。 従来、企業が警戒すべきことは一般に Web サイトの改ざんのみで、その攻撃も興味本位の個人によるものが大半でした。 その頃と比べ今日の攻撃は、はるかに進化しており、組織化されています。 明らかに金銭や戦略的な目的をもって攻撃が遂行されるケースも少なくありません。 それらに利用されるリソースも増えてきました。国家や犯罪組織によって資金提供されている場合があるためです。
このような移り変わる現実に導かれ、攻撃者集団はかつてないほど高い技術力を身に付けています。 もはや彼らのねらいは、Web の改ざんではありません。 情報や金融口座、プライベート データの盗難がねらいです。いずれも一般市場で現金を得たり、特定の事業や政治、軍事的な立場を利用したりする目的で使用されます。 金銭目的のこのような攻撃者以上にやっかいな存在は、インフラストラクチャや人に危害を加えるためにネットワークを侵害する攻撃者です。
そうした攻撃に対応するために多くの組織が実施しているさまざまな解決策は、既に知られている攻撃のシグネチャを探すことで企業ネットワークの境界領域やエンドポイントを防御する対症療法が中心です。 このような解決策では、精度の低いアラートが大量に生成されることが多く、セキュリティ アナリストが優先順位を付けて調査しなければなりません。 しかし、そのようなアラートに対応できるだけの時間とノウハウを持った組織はまれで、多くのアラートは未解決のまま放置されます。
さらに、攻撃者の手法は着々と進化を遂げています。シグネチャを使用した防御はその多くが攻略され、クラウド環境への対応も進んでいます。 発生している脅威を従来以上に早く特定し、検出と対応にかかる時間を短縮する新しいアプローチが必要です。
継続的な監視と評価
Microsoft Defender for Cloud では、脅威に関する状況の変化を継続的に監視する Microsoft が全社にわたり配置するセキュリティ調査とデータ サイエンスのチームを活用しています。 たとえば次のような取り組みが行われています。
- 脅威インテリジェンスの監視:脅威インテリジェンスには、既存の脅威や新たに発生した脅威に関するメカニズム、インジケーター、示唆、即時に利用可能なアドバイスが含まれます。 こうした情報はセキュリティ コミュニティから得られるほか、マイクロソフトも、社内や社外のソースから提供される脅威インテリジェンスを絶えず監視しています。
- シグナルの共有:クラウドとオンプレミス向けに Microsoft が保有するさまざまなサービス、サーバー、クライアント エンドポイント デバイスを通じてセキュリティ チームが得た知見は共有され、分析されます。
- Microsoft のセキュリティ スペシャリスト:フォレンジクスや Web 攻撃検出など、専門のセキュリティ分野に従事する Microsoft 内のさまざまなチームと絶えず連携します。
- 検出のチューニング:実際のユーザーのデータセットに対してアルゴリズムが実行され、セキュリティ研究員がユーザーと連携してその結果を検証します。 機械学習アルゴリズムの精度を高めるために、真陽性と偽陽性が使用されます。
こうしたさまざまな取り組みを通じて、これまでできなかったような検出が可能となり、検出の精度が向上しています。しかもその恩恵はすぐに得ることができます。ユーザーが措置を講じる必要はありません。
Defender for Cloud で脅威を検出する方法
マイクロソフトのセキュリティ研究員は、絶えず脅威に目を光らせています。 クラウドやオンプレミスでの Microsoft のグローバルなプレゼンスにより、Microsoft は広範なテレメトリにアクセスすることが許されています。 広範かつ多様なデータセットのコレクションによって、Microsoft は、オンプレミスの消費者向け/企業向け製品からオンライン サービスに至るまで、攻撃の新しいパターンや傾向を把握することができます。 その結果、Defender for Cloud は、攻撃者によって脆弱性の悪用手法が次々に生み出され、しだいに複雑化する中で、その検出アルゴリズムを迅速に更新することができるのです。 この手法が、目まぐるしい脅威の環境の変化に対応するために役立てられます。
Defender for Cloud では、真の脅威を検出し、誤検知を減らすために、Azure のリソースやネットワークから、ログ データを収集し、分析、統合します。 接続されているパートナー ソリューション (ファイアウォールやエンドポイント保護ソリューションなど) とも連動します。 Defender for Cloud は、この情報を分析し、多くの場合、複数の情報源から得た情報との関連性を探りながら、脅威を特定します。
Defender for Cloud には、シグネチャ ベースの手法とは比較にならない高度なセキュリティ分析が採用されています。 ビッグ データや 機械学習 における革新的テクノロジを活かし、クラウド ファブリック全体にわたってイベントが評価されるので、手作業に頼った手法や攻撃の進化を予測する手法では特定できない脅威でも検出することができます。 こうしたセキュリティ分析の例を次に示します。
統合された脅威インテリジェンス:Microsoft は、膨大なグローバル脅威インテリジェンスを保有しています。 Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft Digital Crimes Unit (DCU)、および Microsoft セキュリティ レスポンス センター (MSRC) などの複数のソースから製品利用統計情報が送られてきます。 また研究員も、大手クラウド サービス プロバイダー間で共有されている脅威インテリジェンス情報や、サード パーティのフィードを入手しています。 Microsoft Defender for Cloud はこの情報を基に、既知の有害因子から生じる脅威について利用者に警告を発することができます。
行動分析:行動分析は、データを分析し、既知のパターンのコレクションと照らして比較する手法です。 ただし、これらのパターンはただのシグネチャではありません。 大量のデータセットに適用された複雑な機械学習アルゴリズムを通じてパターンが決定されています。 また、パターンの特定にあたっては、専門のアナリストによって悪質な行動が緻密に分析されます。 Microsoft Defender for Cloud は、行動分析を使用して仮想マシンのログ、仮想ネットワーク デバイスのログ、ファブリック ログ、およびその他のソースを分析し、これに基づいて侵害されたリソースを識別することができます。
異常検出: Microsoft Defender for Cloud では、脅威を特定するために異常検出も使用されます。 行動分析は、大規模なデータセットから導いた既知のパターンに依存します。これとは対照的に、異常検出は "独自色" が強く、個々のデプロイに固有の基準に重点が置かれます。 機械学習を適用して個々の環境の正常なアクティビティを突き止めたうえで、セキュリティ イベントの可能性を示す異常な条件とは何かを定義する規則を作成します。
アラートはどのように分類されますか。
Defender for Cloud は、アラートに重要度を割り当て、各アラートに対処する優先順位を付けることができるようにします。これにより、リソースが侵害されたときに、すぐに対処できます。 重要度は、アラートの発行に使用された検出内容または分析に対する Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。
注意
アラートの重大度は、ポータルと、日付が 01-01-2019 より前のバージョンの REST API では表示方法が異なります。 古いバージョンの API を使用している場合は、以下で説明するように一貫したエクスペリエンスのためにアップグレードしてください。
| 重大度 | 推奨される応答 |
|---|---|
| 高 | リソースが侵害されている可能性が高いことを示します。 すぐに調べる必要があります。 Defender for Cloud には、意図の悪意性と、アラートの発行に使用された検出結果の両方に高い信頼性があります。 たとえば、資格情報の盗難に使用される一般的なツールである Mimikatz など、既知の悪質なツールの実行を検出するアラートです。 |
| 中 | これは、リソースが侵害されたことを示す可能性がある不審なアクティビティです。 分析または検出結果における Security Center の信頼性は中であり、意図の悪意性に関する信頼性は中から高です。 通常、これらは機械学習または異常に基づく検出です。 たとえば、異常な場所からのサインイン試行です。 |
| 低 | 良性の陽性またはブロックされた攻撃の可能性があります。 Defender for Cloud は、その意図に悪意があるかどうか確信がなく、アクティビティは無害である可能性があります。 たとえば、ログのクリアは、攻撃者が痕跡を隠そうとしたときに発生することがあるアクションですが、多くの場合、管理者が実行する日常的な操作です。 通常、攻撃がブロックされても、調査が推奨される興味深いケースでなければ、Defender for Cloud からは通知されません。 |
| Informational | 通常、インシデントは複数のアラートで構成され、その一部は単なる情報として表示される場合がありますが、他のアラートとのコンテキストによっては詳しい調査が推奨される可能性があります。 |
アラートのエクスポート
アラートを Defender for Cloud の外部で表示するために、次のようなさまざまなオプションが用意されています。
- アラート ダッシュボードの [CSV レポートのダウンロード] により、1 回で CSV にエクスポートできます。
- [環境] 設定の [連続エクスポート] を使用すると、セキュリティ アラートと推奨設定の Log Analytics ワークスペースおよび Event Hubs へのストリームを構成できます。 連続エクスポートの詳細。
- Microsoft Sentinel コネクタは、Microsoft Defender for Cloud から Microsoft Sentinel にセキュリティ アラートをストリーミングします。 Microsoft Defender for Cloud と Microsoft Sentinel の接続に関する詳細を確認してください。
すべてのエクスポート オプションについては、「SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする」および「Microsoft Defender for Cloud のデータを連続的にエクスポートする」を参照してください。
クラウドのスマート アラートの関連付け (インシデント)
Microsoft Defender for Cloud では、高度な分析および脅威インテリジェンスを使用してハイブリッド クラウド ワークロードを継続的に分析し、悪意のあるアクティビティに関するアラートをユーザーに通知します。
脅威の範囲が拡大しています。 ほんのわずかな侵害の兆候でも検出する必要性が重要であり、セキュリティ アナリストがさまざまなアラートをトリアージし、実際の攻撃を識別することは困難な場合があります。 Defender for Cloud は、アナリストがこのアラート疲れに対処するのに役立ちます。 さまざまなアラートと忠実度が低いシグナルがセキュリティ インシデントに関連付けられ、発生した攻撃を診断するのに役立ちます。
統合分析は、Defender for Cloud のインシデントの基になるテクノロジと分析のバック エンドであり、さまざまなアラートと状況に依存したシグナルを関連付けられるようにします。 Fusion では、サブスクリプションのリソースで報告されたさまざまなシグナルが調査されます。 Fusion では、攻撃が進行していることを示すパターン、または統一された対応手順を実施する必要があることを示す共有コンテキスト情報を含むシグナルが検出されます。
Fusion の分析では、セキュリティ ドメインに関する知識と AI の組み合わせでアラートが分析され、新しい攻撃パターンの発生が発見されます。
Defender for Cloud では、MITRE 攻撃マトリックスを利用してアラートとそれらの認識された意図が関連付けられるので、セキュリティ ドメインに関する知識を整理するのに役立ちます。 さらに、攻撃の各ステップで収集された情報を使うことにより、Defender for Cloud では攻撃のステップのように見えても実際にはそうではないアクティビティを除外できます。
攻撃は異なるテナントにまたがって発生することが多いため、Defender for Cloud では、AI アルゴリズムを組み合わせて、各サブスクリプションで報告された攻撃のシーケンスを分析できます。 この手法により、単にインシデントで相互に関連付けるのではなく、よくあるアラート パターンとして、攻撃のシーケンスが識別されます。
アナリストがインシデントの調査を行い、脅威の性質とそれを軽減する方法を判断するためには、追加のコンテキストが必要になることがよくあります。 たとえば、ネットワークの異常が検出されても、ネットワーク上で他に起きていたことや、対象のリソースに関して理解していないと、次に行うべきアクションを把握することは困難です。 そのため、セキュリティ インシデントには、成果物、関連するイベント、情報を含めることができます。 セキュリティ インシデントに利用できる追加情報は、検出された脅威の種類や環境内の構成によって異なります。
ヒント
Fusion の分析によって生成される可能性のあるセキュリティ インシデント アラートの一覧については、アラートの参照テーブルに関するページを参照してください。
セキュリティ インシデントを管理するには、Microsoft Defender for Cloud でのセキュリティ インシデントの管理方法に関するページをご覧ください。
次の手順
この記事では、Defender for Cloud で利用できるさまざまな種類のアラートについて説明しました。 詳細については、次を参照してください。
- Azure アクティビティ ログでのセキュリティ アラート - セキュリティ アラートとインシデントは、Azure portal またはプログラムで利用できるだけでなく、Azure アクティビティ ログでイベントとして監査されます。
- Defender for Cloud アラートの参照テーブル
- セキュリティの警告への対応