次の方法で共有

セキュリティ アラートについて

  • [アーティクル]

Microsoft Defender for Identityセキュリティ アラートは、明確な言語とグラフィックスで説明されており、ネットワーク上で疑わしいアクティビティが特定され、脅威に関与するアクターとコンピューターが特定されました。 アラートは重大度に対して採点され、視覚的にフィルター処理しやすく色分けされ、脅威フェーズ別に整理されます。 各アラートは、ネットワーク上で何が起こっているかを正確に把握するのに役立ちます。 警告エビデンス リストには、関与しているユーザーとコンピューターへの直接リンクが含まれており、調査が簡単で直接的になります。

この記事では、Defender for Identity セキュリティ アラートの構造と、その使用方法について説明します。

  • セキュリティ アラートの構造
  • セキュリティ アラートの分類
  • セキュリティ アラート カテゴリ
  • 高度なセキュリティ アラートの調査
  • 関連エンティティ
  • Defender for Identity と NNR (ネットワーク名解決)

セキュリティ アラートの構造

各 Defender for Identity セキュリティ アラートには、 アラート ストーリーが含まれています。 これは、このアラートに関連するイベントのチェーンを時系列で示し、アラートに関連するその他の重要な情報です。

アラート ページでは、次のことができます。

  • アラートの管理 - アラート の状態、割り当て、分類を変更します。 ここにコメントを追加することもできます。

  • エクスポート - 分析用の詳細な Excel レポートをダウンロードする

  • アラートを別のインシデントにリンク する - アラートを新しい既存のインシデントにリンクする

    Defender for Identity セキュリティ アラートの構造

アラートの詳細については、「Microsoft Defender XDRでのアラートの調査」を参照してください。

セキュリティ アラートの分類

適切な調査の後、すべての Defender for Identity セキュリティ アラートは、次のいずれかのアクティビティの種類として分類できます。

  • 真陽性 (TP): Defender for Identity によって検出された悪意のあるアクション。

  • 問題のない真陽性 (B-TP): Defender for Identity によって検出されたアクション。侵入テストや、承認されたアプリケーションによって生成された既知のアクティビティなど、悪意のあるものではありません。

  • 誤検知 (FP): 誤報。つまり、アクティビティが発生しなかったことを意味します。

セキュリティ アラートは TP、B-TP、または FP です

各アラートについて、次の質問をしてアラートの分類を決定し、次に何を行うかを決定します。

  1. 環境内のこの特定のセキュリティ アラートはどのくらい一般的ですか?
  2. アラートは、同じ種類のコンピューターまたはユーザーによってトリガーされましたか? たとえば、同じロールを持つサーバーや、同じグループ/部署のユーザーなどです。 コンピューターまたはユーザーが似ている場合は、追加の FP アラートを回避するために除外することを決定できます。

注:

まったく同じ種類のアラートが増加すると、通常、アラートの疑わしい/重要度レベルが低下します。 繰り返し発生するアラートの場合は、構成を確認し、セキュリティ アラートの詳細と定義を使用して、繰り返しをトリガーする何が起こっているのかを正確に把握します。

セキュリティ アラート カテゴリ

Defender for Identity セキュリティ アラートは、一般的なサイバー攻撃キル チェーンで見られるフェーズのように、次のカテゴリまたはフェーズに分けられます。 各フェーズと、次のリンクを使用して、各攻撃を検出するように設計されたアラートについて詳しく説明します。

高度なセキュリティ アラートの調査

セキュリティ アラートの詳細を取得するには、アラートの詳細ページで [エクスポート ] を選択して、詳細な Excel アラート レポートをダウンロードします。

ダウンロードされたファイルには、最初のタブのアラートに関する概要の詳細が含まれます。次のものが含まれます。

  • Title
  • 説明
  • 開始時刻 (UTC)
  • 終了時刻 (UTC)
  • 重大度 – 低/中/高
  • 状態 – オープン/クローズ
  • 状態更新時刻 (UTC)
  • ブラウザーで表示する

アカウント、コンピューター、リソースを含むすべての関連エンティティが、ロールで区切って一覧表示されます。 アラートに応じて、ソース、宛先、または攻撃されたエンティティの詳細が提供されます。

ほとんどのタブには、エンティティごとに次のデータが含まれています。

  • 名前

  • 詳細

  • SamName

  • ソース コンピューター

  • ソース ユーザー (使用可能な場合)

  • ドメイン コントローラー

  • アクセスされたリソース: 時刻、コンピューター、名前、詳細、種類、サービス。

  • 関連エンティティ: ID、型、名前、Unique Entity Json、Unique Entity Profile Json

  • アラート (ネットワークまたはイベント アクティビティ) に関連する Defender for Identity センサーによってキャプチャされたすべての未加工アクティビティには、次のものが含まれます。

    • ネットワーク アクティビティ
    • イベント アクティビティ

一部のアラートには、次に関する詳細など、追加のタブがあります。

  • 攻撃の疑いがあるブルート フォースを使用した場合に、攻撃されたアカウント。
  • 疑わしい攻撃を受けたドメイン ネーム システム (DNS) サーバーには、ネットワーク マッピング偵察 (DNS) が関与しました。

以下に例を示します。

関連するエンティティ。

各アラートでは、最後のタブに [関連エンティティ] が表示されます。 関連エンティティは、アラートで果たした "ロール" を分離することなく、疑わしいアクティビティに関与するすべてのエンティティです。 各エンティティには、Unique Entity Json と Unique Entity Profile Json という 2 つの Json ファイルがあります。 これら 2 つの Json ファイルを使用して、エンティティの詳細を確認し、アラートを調査するのに役立ちます。

Unique Entity Json ファイル

Active Directory からアカウントについて学習した Defender for Identity のデータが含まれます。 これには、 識別名SIDLockoutTimePasswordExpiryTime などのすべての属性が含まれます。 ユーザー アカウントの場合は、 部署メールPhoneNumber などのデータが含まれます。 コンピューター アカウントの場合は、 OperatingSystemIsDomainControllerDnsName などのデータが含まれます。

一意のエンティティ プロファイル Json ファイル

エンティティでプロファイリングされたすべてのデータ Defender for Identity が含まれます。 Defender for Identity は、キャプチャされたネットワークとイベント アクティビティを使用して、環境のユーザーとコンピューターについて学習します。 Defender for Identity プロファイルは、エンティティごとに関連情報をプロファイルします。 この情報は、Defender for Identity の脅威識別機能に貢献します。

関連エンティティ。

調査で Defender for Identity 情報を使用するにはどうすればよいですか?

調査は必要に応じて詳細にできます。 Defender for Identity によって提供されるデータを使用して調査する方法のアイデアをいくつか次に示します。

  • 関連するすべてのユーザーが同じグループまたは部署に属しているかどうかを確認します。
  • 関連ユーザーはリソース、アプリケーション、またはコンピューターを共有していますか?
  • PasswordExpiryTime が既に渡されていても、アカウントはアクティブですか?

Defender for Identity と NNR (ネットワーク名解決)

Defender for Identity 検出機能は、アクティブなネットワーク名解決 (NNR) に依存して、ORGANIZATION内のコンピューターに IP を解決します。 NNR を使用すると、Defender for Identity は生のアクティビティ (IP アドレスを含む) と、各アクティビティに関連する関連するコンピューターとの間で関連付けることができます。 Defender for Identity では、未加工のアクティビティに基づいて、コンピューターを含むエンティティがプロファイルされ、アラートが生成されます。

NNR データは、次のアラートを検出するために重要です。

  • ID の盗難の疑い (チケットを渡す)
  • DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション)
  • ネットワーク マッピング偵察 (DNS)

アラートのダウンロード レポートの [ ネットワーク アクティビティ ] タブで提供される NNR 情報を使用して、アラートが FP であるかどうかを判断します。 FP アラートの場合、信頼度が低い NNR の確実性の結果が得られるのは一般的です。

レポート データのダウンロードは、次の 2 つの列に表示されます。

  • Source/Destination コンピューター

    • 確実性 – 低解像度の確実性は、間違った名前解決を示している可能性があります。

  • Source/Destination コンピューター

    • 解決方法 – IP をorganization内のコンピューターに解決するために使用される NNR メソッドを提供します。

ネットワーク アクティビティ。

Defender for Identity セキュリティ アラートを操作する方法の詳細については、「 セキュリティ アラートの操作」を参照してください。

関連コンテンツ