行動分析と異常検出を取得するGet behavioral analytics and anomaly detection

適用対象:Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

重要

Microsoft による脅威の防止用製品の名前が変更されています。Threat protection product names from Microsoft are changing. この点や他の更新の詳細については、こちらをご覧ください。Read more about this and other updates here. 製品内およびドキュメント内の名前は近い将来に更新されます。We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security の異常検出ポリシーにより、すぐに使用できるユーザーとエンティティの行動分析 (UEBA) と機械学習 (ML) が提供されるため、クラウド環境全体で高度な脅威検出を最初から実行できます。Microsoft Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you are ready from the outset to run advanced threat detection across your cloud environment. それらは自動的に有効になるため、ネットワークに接続されているユーザー、コンピューター、デバイスのさまざまな動作の異常を対象として、新しい異常検出ポリシーにより結果の検出と照合のプロセスが開始されます。Because they're automatically enabled, the new anomaly detection policies immediately start the process of detecting and collating results, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. さらに、これらのポリシーでは、Cloud App Security 検出エンジンからより多くのデータが公開され、調査プロセスの高速化と、進行中の脅威の阻止に役立ちます。In addition, the policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

異常検出ポリシーは自動的に有効になりますが、Cloud App Security には 7 日間の初期学習期間があり、その間はすべての異常検出アラートが発生されるわけではありません。The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. この期間が過ぎると、構成されている API コネクタからデータが収集されるため、前の月に検出されたアクティビティ (ユーザーがアクティブになっていた時間、IP アドレス、デバイスなど) とこれらのアクティビティのリスク スコアが、各セッションと比較されます。After that, as data is collected from your configured API connectors, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. API コネクタからのデータが使用可能になるまでに数時間かかる場合があることに注意してください。Be aware that it may take several hours for data to be available from API connectors. これらの検出は、組織のアクティビティで学習されたベースラインに関して環境のプロファイリングを行ってアラートをトリガーするヒューリスティック異常検出エンジンの一部です。These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization's activity. また、これらの検出では、ユーザーとサインイン パターンのプロファイリングを行って偽陽性を減らすように設計された機械学習アルゴリズムも使用されます。These detections also use machine learning algorithms designed to profile the users and sign in pattern to reduce false positives.

異常は、ユーザーのアクティビティをスキャンすることによって検出します。Anomalies are detected by scanning user activity. リスクを評価するには、30 以上のリスク インジケーターが調べられて、次のようなリスク要因にグループ化されます。The risk is evaluated by looking at over 30 different risk indicators, grouped into risk factors, as follows:

  • 危険な IP アドレスRisky IP address
  • ログイン失敗Login failures
  • 管理者アクティビティAdmin activity
  • 非アクティブなアカウントInactive accounts
  • 場所Location
  • あり得ない移動Impossible travel
  • デバイスとユーザー エージェントDevice and user agent
  • アクティビティ率Activity rate

ポリシーの結果に基づいて、セキュリティ アラートがトリガーされます。Based on the policy results, security alerts are triggered. Cloud App Security によってクラウド上のすべてのユーザー セッションが監視され、組織のベースラインまたはユーザーの通常のアクティビティとは異なる状況が発生するとアラートで通知されます。Cloud App Security looks at every user session on your cloud and alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

Cloud App Security のネイティブ アラートに加えて、Azure Active Directory (AD) Identity Protection から受信した情報に基づいて、次の検出アラートも取得します。In addition to native Cloud App Security alerts, you will also get the following detection alerts based on information received from Azure Active Directory (AD) Identity Protection:

これらのポリシーは、Cloud App Security のポリシー ページに表示され、有効または無効にすることができます。These policies will appear on the Cloud App Security policies page and can be enabled or disabled.

異常検出ポリシーAnomaly detection policies

ポータルで異常検出ポリシーを確認するには、 [制御] をクリックし、 [ポリシー] をクリックします。You can see the anomaly detection policies in the portal by clicking on Control then Policies. ポリシーの種類として [異常検出ポリシー] を選択します。Select Anomaly detection policy for the policy type.

新しい異常検出ポリシー

次の異常検出ポリシーを使用できます。The following anomaly detection policies are available:

あり得ない移動Impossible travel

  • この検出は、対象ユーザーが地理的に異なる最初の場所から 2 番目の場所に移動するのにかかるであろう時間よりも短時間内に (単一セッションまたは複数セッションで) 2 つのユーザー アクティビティが生じたことを示しています。これは、別のユーザーが同じ資格情報を使用していることを示します。This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. この検出では、組織内の他のユーザーが定期的に使用している VPN や場所など、あり得ない移動状態に寄与する明らかな "誤検知" を無視する機械学習アルゴリズムが使用されます。This detection uses a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. 検出には 7 日間の初期学習期間があり、その間に新しいユーザーのアクティビティ パターンが学習されます。The detection has an initial learning period of seven days during which it learns a new user's activity pattern. あり得ない移動検出では、2 つの場所の間での通常とは異なるあり得ないユーザー アクティビティが識別されます。The impossible travel detection identifies unusual and impossible user activity between two locations. このアクティビティは、侵害の指標でありアラートする価値があるものとみなされるのに十分に異常である必要があります。The activity should be unusual enough to be considered an indicator of compromise and worthy of an alert. この機能を実現するため、検出ロジックには、VPN アクティビティなどの偽陽性をトリガーする可能性があるシナリオに対処するための、さまざまなレベルの抑制が含まれています。To make this work, the detection logic includes different levels of suppression to address scenarios that can trigger false positive, such as VPN activities. 感度スライダーを使用すると、アルゴリズムに影響を与え、検出ロジックをどれだけ厳密にするかを定義できます。The sensitivity slider allows you to impact the algorithm and define how strict the detection logic is. 感度レベルが高いほど、検出ロジックの一部として適用される抑制が低くなります。The higher the sensitivity level, the lower the suppression that is applied as part of the detection logic. このようにして、カバレッジのニーズと SNR ターゲットに応じて検出を調整できます。In this way, you can adapt the detection according to your coverage needs and your SNR targets.

    注意

    移動の両側の IP アドレスが安全であると見なされると、移動は信頼され、あり得ない移動検出のトリガーから除外されます。When the IP addresses on both sides of the travel are considered safe, the travel is trusted and excluded from triggering the Impossible travel detection. たとえば、両方の側が会社としてタグ付けされている場合は、両方とも安全であると見なされます。For example, both sides are considered safe if they are tagged as corporate. 一方、移動の 1 つの側の IP アドレスのみが安全と見なされる場合は、検出は通常どおりにトリガーされます。However, if the IP address of only one side of the travel is considered safe, the detection is triggered as normal.

頻度の低い国からのアクティビティActivity from infrequent country

  • この検出は、新しい場所と頻度が低い場所を特定するために過去のアクティビティの場所を考慮します。This detection considers past activity locations to determine new and infrequent locations. 異常検出エンジンでは、組織内のユーザーによって使用された以前の場所に関する情報が格納されます。The anomaly detection engine stores information about previous locations used by users in the organization. 組織内のどのユーザーも最近または一度も行ったことのない場所からアクティビティが発生すると、アラートがトリガーされます。An alert is triggered when an activity occurs from a location that wasn't recently or never visited by any user in the organization.

[マルウェア検出]Malware detection

  • この検出では、Microsoft アプリまたはサードパーティ製アプリに基づく、クラウド ストレージ内の悪意のあるファイルが識別されます。This detection identifies malicious files in your cloud storage, whether they're from your Microsoft apps or third-party apps. Microsoft Cloud App Security では、Microsoft の脅威インテリジェンスを使用して、特定のファイルが既知のマルウェア攻撃に関連付けられているかどうか、および悪意を持つ可能性があるかどうかが認識されます。Microsoft Cloud App Security uses Microsoft's threat intelligence to recognize whether certain files are associated with known malware attacks and are potentially malicious. この組み込みポリシーは、既定では無効になっています。This built-in policy is disabled by default. すべてのファイルがスキャンされるわけではなく、ヒューリスティックを使用して危険である可能性のあるファイルが検索されます。Not every file is scanned, but heuristics are used to look for files that are potentially risky. ファイルが検出されたら、 [感染したファイル] の一覧を表示できます。After files are detected, you can then see a list of Infected files. ファイル ドロワーでマルウェア ファイルの名前をクリックして、マルウェア レポートを開きます。このレポートでは、ファイルが感染しているマルウェアの種類に関する情報が提供されます。Click on the malware file name in the file drawer to open a malware report that provides you with information about the type of malware the file is infected with.

    セッション ポリシーを使用してリアルタイムでこの検出を使用し、ファイルのアップロードとダウンロードを制御できます。You can use this detection in real time using session policies to control file uploads and downloads.

    注意

    Cloud App Security では、次のアプリのマルウェア検出がサポートされています。Cloud App Security supports malware detection for the following apps:

    • ボックスBox
    • ドロップボックスDropbox
    • Google WorkspaceGoogle Workspace
    • Office 365 (Microsoft Defender for Office 365 P1 の有効なライセンスが必要)Office 365 (requires a valid license for Microsoft Defender for Office 365 P1)

匿名 IP アドレスからのアクティビティActivity from anonymous IP addresses

  • この検出は、匿名プロキシ IP アドレスとして識別された IP アドレスからユーザーがアクティブだったことを示します。This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. これらのプロキシは、デバイスの IP アドレスを隠ぺいしたいユーザーによって使用され、悪意のある目的で使用される場合があります。These proxies are used by people who want to hide their device's IP address, and may be used for malicious intent. この検出では、組織内のユーザーによって広く使用されている誤ってタグ付けされた IP アドレスなど、"擬陽性" を減らす機械学習アルゴリズムが使用されます。This detection uses a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

ランサムウェアのアクティビティRansomware activity

  • Cloud App Security のランサムウェア検出機能が異常検出によって強化され、高度なランサムウェア攻撃に対していっそう包括的なカバレッジが保証されるようになりました。Cloud App Security extended its ransomware detection capabilities with anomaly detection to ensure a more comprehensive coverage against sophisticated Ransomware attacks. セキュリティ研究の専門知識を活用して、ランサムウェアのアクティビティを反映する行動パターンを識別することにより、Cloud App Security では包括的で堅牢な保護が実現されます。Using our security research expertise to identify behavioral patterns that reflect ransomware activity, Cloud App Security ensures holistic and robust protection. たとえば、ファイルのアップロードまたはファイルの削除アクティビティの比率が高いことが Cloud App Security によって特定された場合は、悪影響を及ぼす暗号化プロセスを表している可能性があります。If Cloud App Security identifies, for example, a high rate of file uploads or file deletion activities it may represent an adverse encryption process. このデータは、接続された API からから受信したログに収集され、その後、学習した動作パターンと脅威インテリジェンス (既知のランサムウェア拡張機能など) と組み合わされます。This data is collected in the logs received from connected APIs and is then combined with learned behavioral patterns and threat intelligence, for example, known ransomware extensions. Cloud App Security によるランサムウェアの検出方法の詳細については、ランサムウェアからの組織の保護に関するページを参照してください。For more information about how Cloud App Security detects ransomware, see Protecting your organization against ransomware.

解雇されたユーザーによって実行されたアクティビティActivity performed by terminated user

  • この検出では、解雇された従業員が SaaS アプリに対するアクションを引き続き実行していることを識別できます。This detection enables you to able to identify when a terminated employee continues to perform actions on your SaaS apps. データは会社に不満を持っていた従業員からの、内部的な脅威のリスクに晒されるため、解雇された従業員のアカウントでのアクティビティを監視することが重要です。Because data shows that the greatest risk of insider threat comes from employees who left on bad terms, it's important to keep an eye on the activity on accounts from terminated employees. 従業員が退職すると、会社のアプリからそれらのアカウントがプロビジョニング解除されることもありますが、多くの場合、会社の特定のリソースにアクセスできる状態のままになります。Sometimes, when employees leave a company, their accounts are de-provisioned from corporate apps, but in many cases they still retain access to certain corporate resources. これは、特権アカウントを考慮する場合にさらに重要です。以前の管理者が行う可能性のある損害が本質的に大きくなるためです。This is even more important when considering privileged accounts, as the potential damage a former admin can do is inherently greater. この検出では、アプリ間でユーザーの動作を監視するための Cloud App Security の機能が利用されます。これにより、ユーザーの通常のアクティビティ、アカウントが停止された事実、他のアプリでの実際のアクティビティを識別できます。This detection takes advantage of Cloud App Security's ability to monitor user behavior across apps, allowing identification of the regular activity of the user, the fact that the account was terminated, and actual activity on other apps. たとえば、Azure AD アカウントは停止されたが、依然として企業の AWS インフラストラクチャにアクセスできる従業員は、大規模な損害をもたらす可能性があります。For example, an employee who's Azure AD account was terminated, but still has access to the corporate AWS infrastructure, has the potential to cause large-scale damage.

この検出では、Azure AD ではアカウントを停止されたけれども、他のプラットフォーム (AWS や Salesforce など) ではまだアクティビティを実行できるユーザーが検索されます。The detection looks for users whose account was terminated in Azure AD, but still perform activities in other platforms such as AWS or Salesforce. これは、リソースを管理するために (プライマリ シングル サインオン アカウントではなく) 別のアカウントを使用するユーザーに特に関連します。これは、これらのアカウントは、ユーザーが退職しても停止されないことが多いためです。This is especially relevant for users who use another account (not their primary single sign-on account) to manage resources, since these accounts are often not terminated when a user leaves the company.

不審な IP アドレスからのアクティビティActivity from suspicious IP addresses

  • この検出では、Microsoft 脅威インテリジェンスによって危険であると識別された IP アドレスからユーザーのアクティビティがあったことが識別されます。This detection identifies that users were active from an IP address identified as risky by Microsoft Threat Intelligence. これらの IP アドレスは、Botnet C&C などの悪意のあるアクティビティに関係し、侵害されたアカウントを示す可能性があります。These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. この検出では、組織内のユーザーによって広く使用されている誤ってタグ付けされた IP アドレスなど、"擬陽性" を減らす機械学習アルゴリズムが使用されます。This detection uses a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

受信トレイからの疑わしい転送Suspicious inbox forwarding

  • この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイ ルールを作成した場合などの疑わしいメール転送ルールを探します。This detection looks for suspicious email forwarding rules, for example, if a user created an inbox rule that forwards a copy of all emails to an external address.

注意

Cloud App Security では、ユーザーの一般的な動作に基づいて、疑わしいと識別された各転送ルールについてのみアラートが生成されます。Cloud App Security only alerts you for each forwarding rule that is identified as suspicious, based on the typical behavior for the user.

受信トレイに対する疑わしい操作ルールSuspicious inbox manipulation rules

  • この検出は、ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合に、環境をプロファイルし、アラートをトリガーします。This detection profiles your environment and triggers alerts when suspicious rules that delete or move messages or folders are set on a user's inbox. これは、ユーザーのアカウントが侵害されていること、メッセージが意図的に隠ぺいされていること、および組織内でスパムやマルウェアを配信するためにメールボックスが使用されていることを示している可能性があります。This may indicate that the user's account is compromised, that messages are being intentionally hidden, and that the mailbox is being used to distribute spam or malware in your organization.

疑わしいメール削除アクティビティ (プレビュー)Suspicious email deletion activity (Preview)

  • このポリシーを使用すると、環境のプロファイリングが行われ、ユーザーが 1 回のセッション中に疑わしいメール削除アクティビティを実行した場合にアラートがトリガーされます。This policy profiles your environment and triggers alerts when a user performs suspicious email deletion activities in a single session. このポリシーでは、メールを使ったコマンド アンド コントロール通信 (C&C または C2) などの潜在的な攻撃ベクトルによってユーザーのメールボックスが侵害された可能性があることが示される場合があります。This policy may indicate that a user's mailboxes may be compromised by potential attack vectors such as command-and-control communication (C&C/C2) over email.

注意

Cloud App Security には、Microsoft Defender for Office 365 が統合されており、URL デトネーション、マルウェア対策など、Exchange Online 用の保護が提供されます。Cloud App Security integrates with Microsoft Defender for Office 365 to provide protection for Exchange online, including URL detonation, malware protection, and more. Defender for Office 365 を有効にすると、Cloud App Security アクティビティ ログにアラートが表示されるようになります。Once Defender for Office 365 is enabled, you'll start seeing alerts in the Cloud App Security activity log.

疑わしい OAuth アプリ ファイルのダウンロード アクティビティSuspicious OAuth app file download activities

  • お使いの環境に接続されている OAuth アプリがスキャンされ、あるアプリによってユーザーにとって異常な方法で Microsoft SharePoint または Microsoft OneDrive から複数のファイルがダウンロードされると、アラートがトリガーされます。Scans the OAuth apps connected to your environment and triggers an alert when an app downloads multiple files from Microsoft SharePoint or Microsoft OneDrive in a manner that is unusual for the user. これは、ユーザーのアカウントが侵害されたことを示している可能性があります。This may indicate that the user account is compromised.

異常なアクティビティ (ユーザーによるもの)Unusual activities (by user)

これらの検出では、以下のことを実行するユーザーが識別されます。These detections identify users who perform:

  • 複数ファイルの異常なダウンロード アクティビティUnusual multiple file download activities
  • 異常なファイル共有アクティビティUnusual file share activities
  • 異常なファイル削除アクティビティUnusual file deletion activities
  • 異常な偽装アクティビティUnusual impersonated activities
  • 異常な管理アクティビティUnusual administrative activities
  • 異常な Power BI レポート共有アクティビティ (プレビュー)Unusual Power BI report sharing activities (preview)
  • 異常な複数の VM 作成アクティビティ (プレビュー)Unusual multiple VM creation activities (preview)
  • 異常な複数のストレージ削除アクティビティ (プレビュー)Unusual multiple storage deletion activities (preview)
  • クラウド リソースの異常なリージョン (プレビュー)Unusual region for cloud resource (preview)

これらのポリシーでは、学習済みベースラインに関して、1 回のセッションでのアクティビティが検出されます。これは、侵害の試みを示している可能性があります。These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. これらの検出では、ユーザーのログオン パターンのプロファイリングを行って擬陽性を減らす機械学習アルゴリズムが利用されます。These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. これらの検出は、組織のアクティビティで学習されたベースラインに関して環境のプロファイリングを行ってアラートをトリガーするヒューリスティック異常検出エンジンの一部です。These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization's activity.

複数回失敗したログイン試行Multiple failed login attempts

  • この検出では、学習されたベースラインに関して、1 回のセッションで複数のログイン試行を失敗したユーザーが識別されます。これは、侵害の試行を示している可能性があります。This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

承認されていないアプリへのデータ抜き取りData exfiltration to unsanctioned apps

  • ユーザーまたは IP アドレスが、組織からの情報流出の試みに似たアクティビティを実行することを承認されていないアプリを使用すると、このポリシーは自動的に有効になって、アラートを発します。This policy is automatically enabled to alert you when a user or IP address uses an app that is not sanctioned to perform an activity that resembles an attempt to exfiltrate information from your organization.

複数の VM 削除アクティビティMultiple delete VM activities

  • このポリシーでは、ユーザーの環境のプロファイリングが行われ、組織内のベースラインを基準として、ユーザーが 1 つのセッションで複数の VM を削除すると、アラートがトリガーされます。This policy profiles your environment and triggers alerts when users delete multiple VMs in a single session, relative to the baseline in your organization. これは、侵害の試行を示している可能性があります。This might indicate an attempted breach.

自動ガバナンスを有効にするEnable automated governance

異常検出ポリシーによって生成されたアラートに対する自動修復アクションを有効にすることができます。You can enable automated remediation actions on alerts generated by anomaly detection policies.

  1. [ポリシー] ページで、検出ポリシーの名前をクリックします。Click on the name of the detection policy in the Policy page.
  2. 開いた [異常検出ポリシーの編集] ウィンドウの [ガバナンス] で、接続されている各アプリまたはすべてのアプリに対して必要な修復アクションを設定します。In the Edit anomaly detection policy window that opens, under Governance set the remediation actions you want for each connected app or for all apps.
  3. [更新] をクリックします。Click Update.

異常検出ポリシーを調整するTune anomaly detection policies

ユーザーの設定に応じて、異常検出エンジンでアラートを抑制または表示するには:To affect the anomaly detection engine to suppress or surface alerts according to your preferences:

  • あり得ない移動ポリシーでは、感度スライダーを設定して、アラートがトリガーされるために必要な異常な動作のレベルを決定できます。In the Impossible Travel policy, you can set the sensitivity slider to determine the level of anomalous behavior needed before an alert is triggered. たとえば、低に設定すると、ユーザーの一般的な場所からのあり得ない移動アラートが抑制されます。高に設定すると、そのようなアラートが表示されます。For example, if you set it to low, it will suppress Impossible Travel alerts from a user's common locations, and if you set it to high, it will surface such alerts. 次の感度レベルから選択できます。You can choose from the following sensitivity levels:

    • :システム、テナント、ユーザーの抑制Low: System, tenant and user suppressions

    • : システムとユーザーの抑制Medium: System and user suppressions

    • : システム抑制のみHigh: Only system suppressions

      この場合、Where:

      抑制の種類Suppression type [説明]Description
      システムSystem 常に抑制される組み込みの検出。Built-in detections that are always suppressed.
      テナントTenant テナント内の以前のアクティビティに基づく一般的なアクティビティ。Common activities based on previous activity in the tenant. たとえば、組織内で以前にアラートが通知された ISP からのアクティビティを抑制します。For example, suppressing activities from an ISP previously alerted on in your organization.
      ユーザーUser 特定のユーザーの以前のアクティビティに基づく一般的なアクティビティ。Common activities based on previous activity of the specific user. たとえば、ユーザーがよく使用する場所からのアクティビティを抑制します。For example, suppressing activities from a location that is commonly used by the user.
  • また、頻度の低い国や地域、匿名 IP アドレス、疑わしい IP アドレス、およびあり得ない移動からのアクティビティに対するアラートで、失敗と成功両方のログインを分析するか、成功したログインだけを分析するかを、構成することもできます。You can also configure whether the alerts for Activity from infrequent country/region, anonymous IP addresses, suspicious IP addresses, and impossible travel should analyze both failed and successful logins or just successful logins.

注意

既定では、多要素認証 (WS-Trust など) を使用しないものなどの従来のサインイン プロトコルは、あり得ない移動ポリシーでは監視されません。By default, legacy sign-in protocols, such as those that don't use multi-factor authentication (for example, WS-Trust), are not monitored by the impossible travel policy. 組織でレガシ プロトコルを使用していて、関連するアクティビティの見落としを防ぐには、ポリシーを編集し、 [詳細構成][サインイン アクティビティを分析する][すべてのサインイン] に設定します。If your organization uses legacy protocols, to avoid missing relevant activities, edit the policy and under Advanced configuration, set Analyze sign in activities to All sign ins.

異常検出ポリシーのスコープを設定するScope anomaly detection policies

各異常検出ポリシーは、含めるユーザーとグループのみにポリシーが適用され、それ以外は除外されるように、個別にスコープを設定することができます。Each anomaly detection policy can be independently scoped so that it applies only to the users and groups you want to include and exclude in the policy. たとえば、頻度の低い地域の検出から、頻繁に移動する特定のユーザーを無視するように、アクティビティを設定できます。For example, you can set the Activity from infrequent county detection to ignore a specific user who travels frequently.

異常検出ポリシーのスコープを設定するには:To scope an anomaly detection policy:

  1. [制御] > [ポリシー] をクリックし、 [種類] フィルターを [異常検出ポリシー] に設定します。Click Control > Policies, and set the Type filter to Anomaly detection policy.

  2. スコープを設定するポリシーを選択します。Click on the policy you want to scope.

  3. [スコープ] で、ドロップダウンを既定の設定の [すべてのユーザーとグループ] から [特定のユーザーとグループ] に変更します。Under Scope, change the drop-down from the default setting of All users and groups, to Specific users and groups.

  4. [含める] を選択して、このポリシーを適用するユーザーとグループを指定します。Select Include to specify the users and groups for whom this policy will apply. ここで選択しないユーザーまたはグループは、脅威とは見なされず、アラートも生成されません。Any user or group not selected here won't be considered a threat and won't generate an alert.

  5. このポリシーが適用されないユーザーを指定するには、 [含まない] を選択します。Select Exclude to specify users for whom this policy won't apply. ここで選択したすべてのユーザーは脅威とは見なされず、 [含める] で選択したグループのメンバーであってもアラートは生成されません。Any user selected here won't be considered a threat and won't generate an alert, even if they're members of groups selected under Include.

    異常検出のスコープ設定

異常検出アラートのトリアージTriage anomaly detection alerts

新しい異常検出ポリシーによってトリガーされるさまざまなアラートを迅速にトリアージし、最初に対処する必要があるアラートを決定することができます。You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. これを行うには、アラートのコンテキストが必要であるため、全体像を見て、有害なことが実際に発生しているかどうかを把握することができます。To do this, you need the context for the alert, so you're able to see the bigger picture and understand whether something malicious is indeed happening.

  1. [アクティビティ ログ] では、アクティビティを開いてアクティビティ ドロワーを表示できます。In the Activity log, you can open an activity to display the Activity drawer. [ユーザー] をクリックして、ユーザー分析情報のタブを表示します。このタブには、アラートの数、アクティビティ、接続元の場所などの情報が表示されます。これは調査において重要です。Click on User to view the user insights tab. This tab includes information like number of alerts, activities, and where they've connected from, which is important in an investigation.

    異常検出アラート 1 異常検出アラート 2anomaly detection alert1 anomaly detection alert2

  2. これにより、ユーザーが実行した疑わしいアクティビティを把握し、アカウントが侵害されたかどうかについての信頼度を高めることができます。This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. たとえば、複数の失敗したログインに対するアラートは実際に疑わしく、ブルート フォース攻撃の可能性を示す場合がありますが、アプリケーションの構成の誤りである可能性もあり、問題のない真陽性のアラートが発生することもあります。For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. ただし、複数の失敗したログインのアラート共に他の疑わしいアクティビティが発生している場合は、アカウントが侵害されている可能性が高くなります。However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. 次の例では、複数回失敗したログイン試行 アラートの後で、TOR の IP アドレスからのアクティビティあり得ない移動アクティビティ が発生しており、どちらもそれ自体が強い侵害のインジケーター (IOC) です。In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. これで十分ではない場合は、同じユーザーが 大量ダウンロード アクティビティ を実行したことがわかります。これは、多くの場合、攻撃者がデータの取り出しを実行していることを示します。If this wasn't suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    異常検出アラート 3

  3. マルウェアに感染したファイルの場合、ファイルが検出されたら [感染したファイル] の一覧を表示できます。For malware infected files, After files are detected, you can then see a list of Infected files. ファイル ドロワーでマルウェア ファイルの名前をクリックして、マルウェア レポートを開きます。このレポートでは、ファイルが感染しているマルウェアの種類に関する情報が提供されます。Click on the malware file name in the file drawer to open a malware report that provides you with information about that type of malware the file is infected with.

次のステップNext steps

問題が発生した場合は、こちらを参照してください。If you run into any problems, we're here to help. 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。To get assistance or support for your product issue, please open a support ticket.