チュートリアル: 危険なユーザーを調査する

  • [アーティクル]

セキュリティ運用チームは、接続されていないことが多い複数のセキュリティ ソリューションを使用して、ID 攻撃対象領域のあらゆる側面にわたって、疑わしいかどうかにかかわらず、ユーザー アクティビティを監視するという課題に直面しています。 現在、多くの企業が環境内の脅威を積極的に特定するための狩猟チームを設けていますが、膨大な量のデータから何を探すべきかを知るのは困難な場合があります。 Microsoft Defender for Cloud Apps では、複雑な相関関係のルールの作成を不要にすることで、これが簡略化されます。また、お客様のクラウドおよびオンプレミス ネットワーク全体にわたる攻撃を検索することができます。

ユーザーの身元確認に集中的に取り組めるように、Microsoft Defender for Cloud Apps からは、UEBA (ユーザー エンティティ動作分析) がクラウドで提供されます。 これは、Microsoft Defender for Identity と統合することで、オンプレミス環境に拡張できます。 Defender for Identity と統合すると、Active Directory とのネイティブ統合からユーザー ID に関するコンテキストも取得できるようになります。

トリガーが Defender for Cloud Apps ダッシュボードに表示されるアラートであれ、サードパーティのセキュリティ サービスから情報が与えられる場合であれ、調査は Defender for Cloud Apps ダッシュボードから始め、危険性の高いユーザーを調べます。

このチュートリアルでは、Defender for Cloud Apps を使用して危険なユーザーを調査する方法について説明します。

調査優先度スコアの上昇 - 非推奨のタイムライン

Microsoft Defender for Cloud Apps での "調査優先度スコアの上昇" のサポートは、2024 年 7 月までに段階的に廃止されます。

慎重な分析と検討の後、このアラートに関連する擬陽性の割合が高く、組織の全体的なセキュリティに実質的に貢献していないことが判明したため、非推奨とすることにしました。

この機能に目立った付加価値がなかったこと、高品質で信頼性の高いセキュリティ ソリューションの提供に関する戦略的な焦点と一致していないことが当社の調査によって明らかになりました。

当社では、サービスを継続的に改善し、お客様のニーズと期待にお応えできるよう全力を尽くしてまいります。

このアラートを引き続き使用する場合は、"高度な追及" 専用クエリのご利用をお勧めします。

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores
  • このクエリはご提案です。テンプレートとして使用し、ニーズに応じて変更してください。

調査優先度スコア を理解する

調査の優先順位のスコアとは、Defender for Cloud Apps によって各ユーザーに付けられるスコアのことです。これにより、組織内の他のユーザーに対する、あるユーザーの相対的な危険度がわかります。

調査優先度スコア を使用して、最初に調査するユーザーを決定します。 Defender for Cloud Apps では、時間、ピア グループ、および予想されるユーザー アクティビティを考慮に入れた分析に基づいて、各ユーザーのユーザー プロファイルが作成されます。 ユーザーのベースラインに対して異常なアクティビティが評価され、スコア付けされます。 スコアリングが完了すると、Microsoft 独自の動的ピア計算と機械学習がユーザー アクティビティに対して実行され、各ユーザーの調査の優先順位が計算されます。

調査優先度スコア により、標準的な決定論的な検出に依存することなく、悪意のある内部関係者と、組織内を横方向に移動する外部攻撃者の両方を検出できるようになります。

調査の優先度スコアは、各ユーザーに関連するセキュリティ アラート、異常なアクティビティ、ビジネスや資産への潜在的な影響に基づいており、特定のユーザーごとに調査することがどれだけ緊急であるかを評価するのに役立ちます。

アラートまたはアクティビティのスコアの値を選択すると、Defender for Cloud Apps によるそのアクティビティへのスコア付けの方法が説明されている証拠を表示できます。

すべての Microsoft Entra ユーザーには、動的な [調査の優先順位のスコア] が表示されます。これは、直近の行動と影響に基づいて絶えず更新され、Defender for Identity と Defender for Cloud Apps から評価されたデータを使って作成されます。 調査優先度スコアに従ってフィルタリングすることで、真のトップリスクユーザーが誰であるかを即座に理解し、そのビジネスインパクトが何であるかを直接確認し、関連するすべてのアクティビティを調査することができます。

Defender for Cloud Apps では、リスクを測定するために以下が使用されます。

  • アラートスコア
    アラート スコアは、各ユーザーに対する特定のアラートの潜在的な影響を表します。 アラートのスコアリングは、重大度、ユーザーへの影響、ユーザー全体および組織内のすべてのエンティティにわたるアラートの人気に基づいています。

  • アクティビティスコア
    アクティビティ スコアは、ユーザーとその同僚の行動学習に基づいて、特定のユーザーが特定のアクティビティを実行する確率を決定します。 最も異常であると特定されたアクティビティには最高のスコアが与えられます。

フェーズ 1: 保護したいアプリに接続します

  1. API コネクタを利用し、Microsoft Defender for Cloud Apps にアプリを 1 つ以上接続します。 まずMicrosoft 365 に接続することをお勧めします。
  2. プロキシを使用して追加のアプリを接続し、条件付きアクセス アプリ制御を実現します

フェーズ2: 最も危険なユーザーを特定する

最も危険性の高いユーザーが誰であるかを Defender for Cloud Apps で特定するには、次の操作を行います。

  1. Microsoft Defender ポータルの [資産] で、[ID] を選択します。 調査の優先順位でテーブルを並べ替えます。 次に、ユーザー ページに 1 つずつ移動して調査します。
    ユーザー名の横にある調査優先順位番号は、過去 1 週間のユーザーのすべての危険なアクティビティの合計です。

    上位ユーザー ダッシュボード。

  2. ユーザーの右側にある 3 つのドットを選択し、[ユーザーの表示] ページを選択します。 [ユーザー] ページ。

  3. [ユーザー] ページにある情報を確認して、そのユーザーに関する概要を得ます。ユーザーが、そのユーザーにとって通常とは違うアクティビティを実行していたり、または通常とは違う時間に実行していたりする箇所があるかを確認します。 組織と比較したユーザーのスコア は、組織内でのランキングに基づいてユーザーがどのパーセンタイルに位置するかを表します。つまり、組織内の他のユーザーと比較して、調査する必要があるユーザーのリストでユーザーがどのくらい上位にあるかを表します。 ユーザーが組織全体の危険なユーザーの 90 パーセンタイル以上に含まれる場合、数字は赤色になります。
    ユーザー ページは、次の質問に答えるのに役立ちます。

    • ユーザーはだれか
      左側のペインを見て、ユーザーが誰であるか、ユーザーについて何がわかっているかに関する情報を取得します。 このペインには、会社およびその部門におけるユーザーの役割に関する情報が表示されます。 ユーザーは仕事の一環として珍しいアクティビティを頻繁に実行する DevOps エンジニアですか? ユーザーは、昇進を言い渡されたばかりで不満を抱いている従業員ですか?

    • ユーザーに危険はありますか?
      右側のペインの上部をチェックして、ユーザーを調査する価値があるかどうかを判断してください。 従業員のリスクスコアはどれくらいですか?

    • ユーザーは組織にどのようなリスクをもたらしますか?
      下部ペインのリストを確認すると、ユーザーに関連する各アクティビティと各アラートが表示され、ユーザーがどのようなタイプのリスクを示しているかを理解しやすくなります。 タイムラインで各行を選択すると、アクティビティまたはアラート自体をさらに深く掘り下げることができます。 アクティビティの横にある数字を選択すると、スコア自体に影響を与えた証拠を理解することもできます。

    • 組織内の他の資産に対するリスクは何ですか?
      [横方向の移動パス] タブを選択すると、攻撃者が組織内の他の資産を制御するためにどのパスを使用できるかを理解できます。 たとえば、調査しているユーザーが機密性の低いアカウントを持っている場合でも、攻撃者はそのアカウントへの接続を使用して、ネットワーク内の機密性の高いアカウントを検出し、侵害しようとする可能性があります。 詳細については、横移動パスの使用を参照してください。

Note

[ユーザー] ページにはすべてのアクティビティにわたるデバイス、リソース、アカウントの情報が表示されますが、調査優先度スコアは、過去 7 日間のすべての危険なアクティビティとアラートの合計であることに留意することが重要です。

ユーザー スコアのリセット

ユーザーが調査されていて、侵害の疑いが見つからなかった場合、または何らかの理由でユーザーの調査の優先順位のスコアをリセットする場合は、スコアを手動でリセットすることができます。

  1. Microsoft Defender ポータルの [資産] で、[ID] を選択します。

  2. 調査対象ユーザーの右側にある 3 つのドットを選択し、[調査の優先度スコアのリセット] を選択します。 [ユーザー ページの表示] を選択し、[ユーザー] ページの 3 つのドットから [調査の優先順位スコアのリセット] を選択することもできます。

    Note

    ゼロ以外の調査の優先順位のスコアを持つユーザーのみがリセットできます。

    [調査の優先度スコアのリセット] リンクを選択します。

  3. 確認ウィンドウで、[スコアのリセット] を選択します。

    [スコアのリセット] ボタンを選択します。

フェーズ3: ユーザーをさらに調査する

アラートに基づいてユーザーを調査する場合や、外部システムでアラートを確認した場合に、単独ではアラームの原因にならないアクティビティが存在している可能性があります。しかし、Defender for Cloud Apps によってそれらが他のアクティビティと共に集計された場合、そのアラートは不審なイベントの兆候となることがあります。

ユーザーを調査するときは、表示されるアクティビティやアラートについて次の質問をする必要があります。

  • この従業員がこれらの活動を実行するビジネス上の正当な理由はありますか? たとえば、マーケティング部門の誰かがコード ベースにアクセスしている場合、または開発部門の誰かが財務データベースにアクセスしている場合、その従業員をフォローアップして、これが意図的で正当なアクティビティであることを確認する必要があります。

  • アクティビティ ログ に移動して、他のアクティビティがスコアを獲得しなかったのに、このアクティビティが高スコアを獲得した理由を理解してください。 調査の優先度設定に設定すると、どのアクティビティが疑わしいかを把握できます。 たとえば、ウクライナで発生したすべての活動について、調査の優先順位に基づいてフィルタリングできます。 次に、他に危険なアクティビティがあったかどうか、ユーザーがどこから接続したかを確認でき、最近の異常ではないクラウドやオンプレミスのアクティビティなど、他のドリルダウンに簡単に切り替えて調査を続けることができます。

フェーズ 4: 組織を保護する

調査の結果、ユーザーが侵害されているという結論に達した場合は、次の手順に従ってリスクを軽減してください。

  • ユーザーに連絡する - Active Directory から Defender for Cloud Apps に統合されたユーザーの連絡先情報を使用し、各アラート/アクティビティまで掘り下げ、ユーザーの身元を解明できます。 ユーザーがアクティビティに精通していることを確認してください。

  • Microsoft Defender ポータルから直接、[ID] ページで、調査対象のユーザーによる 3 つのドットを選択し、ユーザーに再度サインインを要求するか、ユーザーを一時停止するか、ユーザーが侵害されたことを確認するかを選択します。

  • ID が侵害された場合は、ユーザーにパスワードをリセットするよう依頼し、パスワードの長さと複雑さに関するベスト プラクティス ガイドラインを満たしていることを確認できます。

  • アラートをドリルダウンし、そのアクティビティがアラートをトリガーすべきでなかったと判断した場合は、アクティビティドロワーフィードバックを送信リンクを選択してください。

  • 問題を解決したら、アラートを閉じます。

関連項目

組織を保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。