Microsoft Defender for Cloud Appsには、侵害されたユーザー、インサイダーの脅威、データ流出、ランサムウェア アクティビティの検出が含まれます。 このサービスでは、異常検出、ユーザーとエンティティの動作分析 (UEBA)、ルールベースのアクティビティ検出を使用して、接続されたアプリ全体のユーザー アクティビティを分析します。
クラウド環境で未承認または予期しない変更を行うと、セキュリティと運用上のリスクが発生する可能性があります。 たとえば、パブリック Web サイトや顧客に提供しているサービスを実行しているサーバーなどの主要な企業リソースに対する変更が侵害される可能性があります。
Defender for Cloud Appsは、複数のソースからデータをキャプチャして分析し、organization内のアプリとユーザーのアクティビティを識別します。 この分析により、セキュリティ アナリストはクラウドの使用を可視化できます。 収集されたデータは、脅威インテリジェンスと場所の詳細と関連付け、標準化、強化され、疑わしいアクティビティの正確で一貫性のあるビューを提供します。
検出をチューニングする前に、次のデータ ソースを構成します。
| ソース | 説明 |
|---|---|
| アクティビティ ログ | API に接続されたアプリからのアクティビティ。 |
| 検出ログ | Defender for Cloud Appsに転送するファイアウォールとプロキシ トラフィック ログから抽出されたアクティビティ。 ログは 、クラウド アプリ カタログに対して分析され、ランク付けされ、90 を超えるリスク要因に基づいてスコア付けされます。 |
| プロキシ ログ | 条件付きアクセス アプリ制御アプリからのアクティビティ。 |
フィルターと動的しきい値 (UEBA) を設定して、検出モデルをトレーニングすることで、次のポリシーを微調整します。 抑制を設定して、一般的な誤検知検出を減らすこともできます。
- 異常検出
- クラウド検出の異常検出
- ルールベースのアクティビティ検出
ユーザー アクティビティ検出を調整して、真の侵害を特定し、大量の誤検知検出の結果として発生する不要なアラートを減らす方法について説明します。
フェーズ 1: IP アドレス範囲を構成する
- IP 範囲を設定して、任意の種類の不審なユーザー アクティビティ検出ポリシーを微調整します。
既知の IP アドレスを設定 すると、機械学習アルゴリズムは既知の場所を識別し、機械学習モデルの一部として考慮するのに役立ちます。 たとえば、VPN の IP アドレス範囲を追加すると、モデルはこの IP 範囲を正しく分類し、VPN の場所がそのユーザーの真の場所を表していないため、不可能な旅行検出から自動的に除外するのに役立ちます。
注:
Defender for Cloud Appsは、検出だけでなく、サービス全体の IP 範囲を使用します。 IP 範囲は、アクティビティ ログ、条件付きアクセスなどで使用されます。 たとえば、物理オフィスの IP アドレスを識別すると、ログとアラートを表示および調査する方法をカスタマイズできます。
異常検出アラートを確認する
Defender for Cloud Appsには、さまざまなセキュリティ シナリオを識別するための一連の異常検出アラートが含まれています。 ユーザー アクティビティのプロファイリングを開始し、関連する アプリ コネクタを接続するとすぐにアラートが生成されます。
まず、 さまざまな検出ポリシーについて理解します。 organizationに最も関連性が高いと思われる上位のシナリオに優先順位を付け、それに応じてポリシーを調整します。
フェーズ 2: 異常検出ポリシーを調整する
Defender for Cloud Appsには、一般的なセキュリティ ユース ケース用に事前構成されたいくつかの組み込みの異常検出ポリシーが含まれています。 一般的な検出には、次のものが含まれます。
| 検出 | 説明 |
|---|---|
| 不可能な旅行 | 同じユーザーにより、異なる場所で、2 つの場所の間の予想される移動時間よりも短い期間内に発生したアクティビティ。 |
| 頻度の低い国からのアクティビティ | 最近、またはユーザーがアクセスしたことがない場所からのアクティビティ。 |
| マルウェア検出 | クラウド アプリ内のファイルをスキャンし、Microsoft の脅威インテリジェンス エンジンを介して疑わしいファイルを実行して、既知のマルウェアに関連付けられているかどうかをチェックします。 |
| ランサムウェア アクティビティ | ランサムウェアに感染している可能性のあるファイルのクラウドへのアップロード。 |
| 疑わしい IP アドレスからのアクティビティ | Microsoft 脅威インテリジェンスが危険と識別した IP アドレスからのアクティビティ。 |
| 不審な受信トレイの転送 | ユーザーの受信トレイに設定されている疑わしい受信トレイの転送ルールを検出します。 |
| 通常とは異なる複数のファイルダウンロード アクティビティ | 学習したベースラインについて、単一のセッションにおける複数のファイル ダウンロード アクティビティを検出します。これは、侵害が試行されたことを示す可能性があります。 |
| 通常とは異なる管理アクティビティ | 学習したベースラインについて、単一のセッションにおける複数の管理アクティビティを検出します。これは、侵害が試行されたことを示す可能性があります。 |
注:
異常検出の中には、問題のあるセキュリティ シナリオの検出に重点を置くものもあれば、必ずしも侵害を示していない可能性がある異常なユーザーの動作を特定して調査するのに役立つものもあります。 このような検出には、高度なハンティング エクスペリエンスで使用できる動作Microsoft Defender XDR使用できます。
特定のユーザーまたはグループにポリシーをスコープする
特定のユーザーに対するスコーピング ポリシーは、organizationに関連しないアラートからのノイズを減らすのに役立ちます。 次の例のように、 特定のユーザーとグループを含めたり除外したりするように各ポリシーを構成できます。
-
攻撃シミュレーション
多くの組織では、ユーザーまたはグループを使用して、攻撃を常にシミュレートしています。 これらのユーザーのアクティビティから常にアラートを受信すると、不要なノイズが発生します。 これらのユーザーまたはグループを除外するようにポリシーを設定します。 このアクションは、機械学習モデルがこれらのユーザーを識別し、動的しきい値を微調整するのに役立ちます。 -
ターゲット検出
管理者または最高エクスペリエンス責任者 (CXO) グループのメンバーのような VIP ユーザーの特定のグループを調査する場合があります。 この場合は、検出するアクティビティのポリシーを作成し、関心のあるユーザーまたはグループのセットのみを含むように選択します。
-
攻撃シミュレーション
異常なサインイン検出を調整する
サインイン アクティビティの失敗に起因するアラートは、誰かが 1 つ以上のユーザー アカウントをターゲットにしようとしていることを示している可能性があります。
資格情報の侵害は、アカウントの引き継ぎと未承認のアクティビティの一般的な原因です。 不可能な旅行、不審な IP アドレスからのアクティビティ、およびまれな国または地域の検出アラートは、アカウントが侵害される可能性を示唆するアクティビティを検出するのに役立ちます。
不可能な移動の感度を調整不可能な移動アラートをトリガーする前に、異常な動作に適用される抑制のレベルを決定する秘密度スライダーを構成します。 高い再現性に関心を持つ組織は、感度レベルを上げることを検討する必要があります。 organizationに旅行するユーザーが多い場合は、感度レベルを下げて、以前のアクティビティから学習したユーザーの一般的な場所からのアクティビティを抑制することを検討してください。 次の秘密度レベルから選択できます。
- 低: システム、テナント、ユーザーの抑制
- 中: システムとユーザーの抑制
- 高: システム抑制のみ
ここで、
抑制の種類 説明 システム 常に抑制される組み込みの検出。 テナント テナント内の以前のアクティビティに基づく一般的なアクティビティ。 たとえば、organizationで以前にアラートが送信された ISP からのアクティビティを抑制します。 ユーザー 特定のユーザーの以前のアクティビティに基づく一般的なアクティビティ。 たとえば、ユーザーが一般的に使用する場所からのアクティビティを抑制します。
フェーズ 3: クラウド検出の異常検出ポリシーを調整する
いくつかの組み込みの クラウド検出異常検出ポリシー を微調整したり、独自のポリシーを作成して、調査する価値のある他のシナリオを特定することができます。 これらのポリシーでは、クラウド検出ログを使用し、異常なアプリの動作とデータ流出に焦点を当てた チューニング機能 を使用します。
使用状況の監視を調整する
使用フィルターを設定して、スコープと、異常な動作を検出するためのアクティビティ期間を制御します。 たとえば、エグゼクティブ レベルの従業員から異常なアクティビティに関するアラートを受け取ります。
アラートの秘密度を調整する
不要なアラートを減らすには、アラートの機密性を設定します。 感度スライダーを使用して、1 週間に 1,000 人のユーザーごとに送信されるリスクの高いアラートの数を制御します。 感度が高いほど、異常と見なされる分散が少なくなり、より多くのアラートが生成されます。 一般に、機密データにアクセスできないユーザーには低い感度を設定します。
フェーズ 4: ルール ベースの検出 (アクティビティ) ポリシーを調整する
ルールベースの検出ポリシーは、organization固有の要件を持つ異常検出ポリシーを補完します。 アクティビティ ポリシー テンプレートのいずれかを使用して、ルールベースのポリシーを作成します。
organizationが特定の国または地域に存在しない場合は、その場所から異常なアクティビティを検出するポリシーを作成します。 その国または地域に大規模なブランチを持つ組織の場合、このようなアクティビティは正常であり、そのようなアクティビティを検出しても意味がありません。
- [ポリシー>ポリシー テンプレート] に移動し、[種類] フィルターを [アクティビティ ポリシー] に設定します。 アクティビティ フィルターを設定 して、環境に対して正常ではない動作を検出します。
-
アクティビティボリュームを調整する
検出がアラートを発生させる前に必要なアクティビティの量を選択します。 organizationが国または地域に存在しない場合、1 つのアクティビティでも重要であり、アラートが必要です。 シングル サインインの失敗は人為的なエラーであり、短期間に多数の障害が発生した場合にのみ重要です。 -
アクティビティ フィルターを調整する
アラートするアクティビティの種類を検出するために必要なフィルターを設定します。 たとえば、国または地域からのアクティビティを検出するには、 Location パラメーターを使用します。 -
アラートを調整する
不要なアラートを減らすには、 1 日あたりのアラート制限を設定します。
フェーズ 5: アラートを構成する
注:
Microsoft は、2022 年 12 月 15 日にアラート/SMS (テキスト メッセージ) 機能を非推奨としました。 テキスト アラートを受信する場合は、カスタム アラートの自動化にMicrosoft Power Automateを使用します。 詳細については、「カスタム アラートの自動化のためのMicrosoft Power Automateとの統合」を参照してください。
1 日の任意の時点ですぐにアラートを取得するには、メールで受信することを選択します。
また、organization内の他の製品によってトリガーされる他のアラートのコンテキストでアラートを分析することもできます。 この分析により、潜在的な脅威の全体像が得られます。 たとえば、クラウドベースのイベントとオンプレミスのイベントを関連付けて、攻撃を確認するその他の軽減的な証拠があるかどうかを確認できます。
Microsoft Power Automateを使用して、カスタム アラートの自動化をトリガーできます。 アラートがトリガーされると、次のことができます。
- プレイブックを設定する
- ServiceNowで問題を作成する
- アラートがトリガーされたときにカスタム ガバナンス アクションを実行する承認メールを送信する
アラートを構成するには、次のガイドラインを使用します。
-
電子メール
電子メールでアラートを受信するには、このオプションを選択します。 -
SIEM
Microsoft Sentinel、Microsoft Graph Security API、その他の汎用 SIEM など、いくつかの SIEM 統合オプションが存在します。 要件に最適な統合を選択します。 -
Power Automate オートメーション
必要な自動化プレイブックを作成し、ポリシーのアラートとして Power Automate アクションに設定します。
フェーズ 6: 調査と修復
保護を最適化するには、自動修復アクションを設定して、organizationに対するリスクを最小限に抑えます。 ポリシーを使用すると、調査を開始する前でもorganizationに対するリスクが軽減されるように、アラートにガバナンス アクションを適用できます。 ポリシーの種類によって、ユーザーの一時停止や要求されたリソースへのアクセスのブロックなどのアクションなど、使用可能なアクションが決まります。