Microsoft Defenderでは、ID はorganization内の人物またはエンティティを表します。 多くの場合、ユーザーは、オンプレミスの Active Directory、Microsoft Entra ID、SaaS アプリケーション、その他の IDP などのプロバイダー間で複数のアカウントを持っています。 Defender は、これらのアカウントを 1 つの ID に関連付ける。
各 ID にはプライマリ アカウントがあります。 複数のアカウントが ID に関連付けられている場合、Microsoft Defenderは 1 つのアカウントをプライマリとして指定し、ID レベルのプロファイルの詳細に使用します。
[ID] ページには、リンクされたアカウント間の ID の詳細、監視されたアクティビティ、アラート、公開が統合されているため、セキュリティ チームはリスクをすばやく評価し、侵害の可能性を判断し、環境全体の ID のアクセスを理解し、修復アクションで対応できます。 [ID] ページを開くには、Microsoft Defender ポータルの複数の領域から ID を選択します。
- ID インベントリ
- アラート キュー
- 個々のアラート ページ
- インシデントまたはデバイス
- 高度なハンティング結果
- アクティビティ ログ
- アクション センター
[ID] ページは、上部のセクションと一連のタブに編成されています。 上部のセクションには、組織の情報やタグなどの ID コンテキストが表示され、[ アクション] メニューが含まれています。 タブを使用して、概要の詳細、関連するアラート、およびより詳細な調査ビューを確認します。
- 組織情報: ID の役職、部署など。
- アカウント タグ: ID に関連付けられている Active Directory タグ
![Microsoft Defender ポータルの [ID] ページのスクリーンショット。](media/investigate-users/identity-page.png#lightbox)
ID アクション
[ 概要 ] ページで、[ アクション] メニューを使用して 修復アクションをトリガーします。 使用可能なアクションは次のとおりです。
- Microsoft Entra IDでユーザーを有効、無効、または一時停止する
- ユーザーにもう一度サインインするか、パスワードのリセットを強制する必要がある
- アカウントMicrosoft Entra設定、関連するガバナンス、ユーザー所有のファイル、または共有ファイルを表示する
[概要] タブ
[概要] タブには、アナリストがリスクをすばやく評価し、より深い調査が必要かどうかを判断するのに役立つ高度なスナップショットが用意されています。
[概要] タブには、次のセクションが含まれています。
- エンティティの詳細
- インシデントと警告
- 関連付けられている対話型ログオン デバイス
エンティティの詳細
[エンティティの詳細] パネルには、次のような主要な ID 情報と調査シグナルが要約されています。
- Microsoft Entra ID属性と連絡先情報
- 保護とユーザーの脅威の兆候
- 最初に表示されたタイムスタンプと最後に表示されたタイムスタンプ
- ID がサインインしたデバイスの数
- リンクされたユーザー アカウント、デバイス、およびグループ メンバーシップ
- 重大度別にグループ化された関連アラートとインシデント
その他の詳細は、有効なサービスと機能に応じて表示されます。 例:
- Microsoft Defender for Identityがある環境では、次の情報を確認できます。
- Active Directory アカウント制御フラグ (パスワードの有効期限切れなし、アカウント ロック状態など)
- レポート階層内の ID の位置を示すorganization ツリー。
- (プレビュー)Microsoft Purview インサイダー リスク管理環境では、ユーザーのインサイダー リスクの重大度を確認し、ユーザー ページでユーザーの疑わしいアクティビティに関する分析情報を得ることができます。 インサイダー リスクの重大度を選択して、ユーザーに関するリスク分析情報を表示します。
- (プレビュー)ユーザーとエンティティの動作分析 (UEBA) をMicrosoft Sentinel環境では、次の情報を確認できます。
- 過去 30 日間のユーザーの上位 3 つの UEBA 異常。
- 事前構築された高度なハンティング クエリを起動し、[Microsoft Sentinel イベント] タブでユーザーに関連するすべての異常な動作を表示するためのリンク。
[インシデントとアラート] タブ
[ インシデントとアラート ] タブには、サポートされている保持期間内に ID に関連するすべてのアラートとインシデントが一覧表示されます。 特定のアイテムの詳細な説明については、インシデント ページまたはアラート ページを参照してください。
![Microsoft Defenderの [ID] ページの [インシデントとアラート] タブのスクリーンショット。](media/investigate-users/identity-incidents-and-alerts.png#lightbox)
[organization] タブで確認
[Organizationで観察] タブには、環境全体で ID が表示される場所と方法が表示され、アナリストは爆発半径と潜在的な横移動を理解するのに役立ちます。
このタブには、次のものが含まれます。
| Section | 説明 |
|---|---|
| アカウント | ID システム間で ID に関連付けられているすべてのアカウント (自動および手動で関連付けられたアカウントを含む)。 アナリストは、 他の関連するアカウントを手動でリンクできます。 インジケーターは、どのアカウントがプライマリ アカウントであるかを示します。 |
| デバイス | ID がサインインしているデバイス。 これは通常、最近のアクティビティを示しています。 |
| 場所 | サインインで観察される場所 |
| グループ | ID に関連付けられているグループ (使用可能な場合) |
プライマリ アカウント
各 ID には、異なる ID プロバイダーの複数の関連アカウントを含めることができます。 Microsoft Defenderは、1 つのアカウントをプライマリ アカウントとして識別し、そのアカウントのプロファイル値を表示名や役職などの ID レベルのフィールドに使用します。
Microsoft Defenderでは、内部相関ロジックを使用してプライマリ アカウントを決定します。
![Microsoft Defenderの [ID] ページの [organizationで観察] タブのスクリーンショット。](media/investigate-users/identity-observed-in-organization.png#lightbox)
[リスク スコア] タブ (プレビュー)
[ リスク スコア ] タブには、アラート アクティビティと、ロールの割り当てや秘密度分類などの ID 属性を組み合わせることで、ID のリスク レベルが要約されます。 このタブを使用して、ID のリスク スコアを理解し、要因を特定し、調査の優先順位を付けます。
| Section | 説明 |
|---|---|
| リスクの概要 | 表示:
|
| 侵害の可能性 | 確率重大度レベルを示し、各アカウント セットの MITRE ATT&CK キル チェーン ステージ (初期アクセス、永続化、特権エスカレーションなど) によるアラートを分解します。 |
| 侵害の影響 | ID の重要度レベル、分類 (グローバル管理者など)、Microsoft Entra Privileged Identity Management (PIM) ロールの割り当てに基づいて、潜在的な影響レベルを示します。 |
| リスクの傾向 | 構成可能な期間 (30 日など) に対してリスク スコアがどのように変化したかを示す折れ線グラフ。 [タイムラインに移動] を選択して、アクティビティの完全なタイムラインを表示します。 |
| 侵害の可能性の詳細 | フィルター可能なアラート テーブルを含む MITRE ATT&CK カテゴリ間のアラート分布を示す棒グラフ。 [アクティブなアラートのみ] トグルを使用して、未解決のアラートに焦点を当てます。 アカウント セット、状態、またはキル チェーン ステージでフィルター処理します。 |
修復の完了後など、ID の リスク スコアを手動でリセットするには、タブの上部にある [リスクのリセット] を選択します。
[タイムライン] タブ
[タイムライン] タブには、MICROSOFT DEFENDER FOR IDENTITY、Microsoft Defender for Endpoint、など、統合された Microsoft セキュリティ製品から集計された ID 関連のアクティビティとアラートの時系列ビューが表示されます。Microsoft Defender for Cloud Apps、およびMicrosoft Sentinel。
タイムラインは、アクティビティのシーケンスを再構築し、調査中にイベントを関連付けるのに役立ちます。
![Microsoft Defenderの [ID] ページの [タイムライン] タブのスクリーンショット。](media/investigate-users/identity-timeline.png#lightbox)
タイムラインに表示されるアクティビティの種類
タイムラインでは、次のデータ型を使用できます。
- ユーザーの影響を受けるアラート
- Active Directory アクティビティとMicrosoft Entra アクティビティ
- クラウド アプリ イベント
- デバイス ログオン イベント
- ディレクトリ サービスの変更
タイムラインの各アクティビティに表示される情報
タイムラインには、次の情報が表示されます。
- アクティビティの日付と時刻
- アクティビティ/アラートの説明
- アクティビティを実行したアプリケーション
- ソース デバイス/IP アドレス
- MITRE ATT&CK 手法
- アラートの重大度と状態
- クライアント IP アドレスが地理的に割り当てられた国/地域
- 通信中に使用されるプロトコル
- ターゲット デバイス (オプション、列をカスタマイズして表示可能)
- アクティビティが発生した回数 (オプション、列をカスタマイズして表示可能)
タイムラインの操作
注:
Microsoft Defender XDRは、ローカル タイム ゾーンまたは UTC を使用して日付と時刻の情報を表示できます。 選択したタイム ゾーンは、[ID] タイムラインに表示されるすべての日付と時刻の情報に適用されます。
これらの機能のタイム ゾーンを設定するには、[設定>セキュリティ センター>タイム ゾーン] に移動します。
カスタム時間範囲ピッカー: 過去 24 時間、過去 3 日間などの調査に焦点を当てる期間を選択します。 または、[ カスタム範囲] を選択して特定の期間を選択します。 30 日より前のフィルター処理されたデータは、7 日間の間隔で表示されます。
タイムライン フィルター:タイムライン フィルターを使用して、種類 (アラートやユーザーの関連アクティビティ)、アラートの重大度、アクティビティの種類、アプリ、場所、またはプロトコルで結果を絞り込みます。 各フィルターは他のフィルターによって異なり、各フィルターのオプションには特定のユーザーに関連するデータのみが含まれます。
カスタマイズされた列:[列のカスタマイズ] ボタンを選択して、タイムラインで公開する列を選択します。
エクスポート:タイムラインを CSV ファイルにエクスポートします。 エクスポートは最初の 5,000 レコードに制限され、UI に表示されるデータ (同じフィルターと列) が含まれます。
[セキュリティに関する推奨事項] タブ
[ セキュリティの推奨事項 ] タブには、ID セキュリティ体制管理 (ISPM) で識別された ID 関連のポスチャ評価が表示されます。 これらの推奨事項では、ID のアカウント全体の構成ミスや危険な設定が強調表示され、推奨事項を選択すると、修復ガイダンスの Microsoft セキュア スコア の詳細が開きます。
![Microsoft Defenderの [ID] ページの [セキュリティに関する推奨事項] タブのスクリーンショット。](media/investigate-users/identity-posture-recommendations.png#lightbox)
[攻撃パス] タブ
[ 攻撃パス ] タブでは、ID を含む潜在的な横移動パスを視覚化したり、そのパスにつながる可能性があります。 これらの分析情報は、セキュリティ チームが悪用可能な関係を理解し、ID ベースの攻撃対象領域を減らすのに役立ちます。
[ポリシー] タブ
[ ポリシー] タブには、ID に関連する ID 関連のセキュリティ ポリシーが、その属性、ロール、および監視されるアクティビティに基づいて表示されます。
このビューでは、ID に適用されるポリシーと、それらがアクセスまたはリスク評価にどのように影響するかを示すことで、調査コンテキストを提供します。 ポリシーは他の場所で管理されます。このタブは、アナリストがポリシーの適用をサインイン、アラート、調査結果と関連付けるのに役立ちます。
[ID エクスプローラー] タブ (プレビュー)
注:
[Id エクスプローラー] タブには、Microsoft Sentinel Data Lake ライセンスが必要です。
[ID エクスプローラー] タブでは、ハンティング グラフを使用して、ID 攻撃パスと公開シナリオを対話型グラフとして視覚化します。 グラフには現在の ID が事前にシードされているため、ID が環境内の他のエンティティとどのように関連しているかをすぐに確認できます。
ID エクスプローラーを使用して、ID に関連する横移動パス、特権エスカレーション ルート、資格情報アクセス リスクを検出します。
![[ID] ページの [ID エクスプローラー] タブのスクリーンショット。ID ノードと接続を持つエンティティリレーションシップ マップが表示されています。](media/hunting-graph-identity/hunting-graph.png#lightbox)
定義済みのシナリオを使用した検索
[ 定義済みのシナリオで検索 ] を選択して、ID に焦点を当てたクエリを実行します。 各シナリオは、CK 手法&1 つ以上の MITRE ATT にマップされ、特定の種類の ID リスクに焦点を当てます。
![[ID エクスプローラー] の定義済みの ID シナリオ パネルのスクリーンショット。](media/hunting-graph-identity/hunting-graph-scenario.png#lightbox)
次の表では、ID エクスプローラーで使用できる定義済みの ID シナリオについて説明します。
| シナリオ | 説明 | MITRE テクニック |
|---|---|---|
| OAuth アプリケーションに対するアクセス許可を持つユーザー Entra同期され、特権サービス プリンシパルとしての認証が許可されます | ユーザー操作なしでリソースにアクセスできる特権サービス プリンシパルとして機能する OAuth アプリケーション。 | 特権エスカレーション、横移動 |
| 特権のないユーザーには、機密性の高いユーザー/グループ (On-Prem/Cloud) につながるパスがあります | 機密性の高い ID へのパスを持ち、特権エスカレーションの可能性を示す特権のないユーザー。 | 特権エスカレーション、横移動 |
| 重要なデバイスへの RDP アクセス権を持つサービス アカウント | RDP 経由で重要なデバイスにリモートでアクセスできるサービス アカウント。侵害された場合に永続的なアクセス リスクが発生します。 | 横方向の移動 |
| 重要な資産へのパスを持つ Kerberoastable ユーザー | 重要な資産への攻撃パスを持つ Kerberoastable ユーザーは、特権のエスカレーションにつながる可能性のあるオフライン パスワード攻撃を許可します。 | 特権のエスカレーション、資格情報へのアクセス |
| クラウド リソースへの直接アクセス許可を持つ同期されたEntra ユーザー | 複数のクラウド リソースに対するハイブリッド アクセス許可を持つユーザーをMicrosoft Entraし、セキュリティ境界を破り、最小限の特権に違反します。 | 横方向の移動 |
| クラウド リソースへの直接アクセス許可を持つ外部Entra ユーザー | クラウド リソースに直接アクセスできる外部 ID。サードパーティのリスクとデータ公開の可能性を表します。 | 横方向の移動 |
| AD ドメインを所有するパスを持つ特権のないユーザー (DCSync) | DCSync を介して Active Directory ドメインの完全な侵害を有効にするパスを持つ特権のないユーザー。 | 特権のエスカレーション、資格情報へのアクセス |
| Domain Admins グループに到達できる特権のないユーザー (<5 ホップ) | 5 つ未満の手順で Domain Admins グループにアクセスできる特権のないユーザー。 | 特権エスカレーション、横移動 |
| 重要な資産へのパスを持つ ASREPRoastable ユーザー | オフライン パスワードクラッキングによって攻撃される可能性がある重要な資産へのパスを持つ AS-REP ロースト可能なアカウント。 | 特権のエスカレーション、資格情報へのアクセス |
| 複数のデバイスで公開されている非特権ユーザー アカウントには、重要な資産に対する RDP ログインアクセス許可 (オンプレミス/クラウド) があります | RDP 経由で重要な資産にリモートでアクセスできる複数のデバイスで公開されている特権のないユーザー。 | 資格情報へのアクセス |
ハンティング グラフとその機能の詳細については、「ハンティング グラフを 使用して脅威を探す」を参照してください。
[Microsoft Sentinel イベント] タブ
Microsoft Sentinelが Defender ポータルに接続されている場合、このタブには ID のMicrosoft Sentinel タイムラインが表示されます。 タイムラインには、ID に関連付けられたアラートが含まれます。これには、[インシデントとアラート] タブにもアラートが表示され、Microsoft Sentinelによって作成されたアラートも含まれます。 また、ID、外部データ ソースからのアクティビティ イベント、Microsoft Sentinel異常ルールによって識別される異常な動作を参照するブックマークされたハントも表示されます。
![Microsoft Defenderの [ID] ページの [Microsoft Sentinel イベント] タブのスクリーンショット。](media/investigate-users/user-incident-sentinel-events.png#lightbox)
インサイト
[分析情報] セクションには、アナリストがより効率的に ID を調査できるように Microsoft セキュリティ研究者によって定義された調査クエリであるエンティティ分析情報が表示されます。 これらの分析情報は、サインイン アクティビティ、グループの変更、異常な動作などの主要なセキュリティ信号を自動的に強調表示し、結果をテーブルやグラフとして表示します。 分析情報は、Microsoft Sentinelと、Microsoft Entra ID ログや有効な場合は UEBA Microsoft Sentinelなど、接続されているデータ ソースによって利用されます。
分析情報の種類
次に示す分析情報の一部を示します。
- セキュリティ グループ メンバーシップに基づくユーザー ピア
- アカウント別のアクション
- アカウントに対するアクション
- ユーザーがクリアしたイベント ログ
- グループの追加
- 異常に高いオフィス操作数
- リソース アクセス
- 異常に高いAzureサインイン結果の数
- UEBA 分析情報
- Azure サブスクリプションに対するユーザー アクセス許可
- ユーザーに関連する脅威インジケーター
- ウォッチリストの分析情報 (プレビュー)
- Windows サインイン アクティビティ
分析情報のデータ ソース
分析情報は、次のデータ ソースに基づいています。
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA Microsoft Sentinel)
- ハートビート (Azure モニター エージェント)
- CommonSecurityLog (Microsoft Sentinel)
高度なハンティングの分析情報を調べる
分析情報をさらに調べるには、分析情報に付随するリンクを選択します。 リンクは、分析情報とその生の結果の基になるクエリを含む [高度なハンティング ] ページを開きます。 クエリを変更したり、結果をドリルダウンして調査を拡張したりできます。
