アプリのアクティビティにおける脅威をハンティングする

  • [アーティクル]

アプリは攻撃者にとって有益なエントリ ポイントになる可能性があるため、アプリを使用する異常や疑わしい動作を監視することをお勧めします。 アプリ ガバナンス アラートを調査したり、環境内のアプリの動作を確認したりするときに、このような疑わしいアプリによって実行されたアクティビティの詳細をすばやく把握し、修復アクションを実行して組織内のアセットを保護することが重要になります。

アプリ ガバナンスと高度な追求機能を使用すると、アプリとそのアプリがアクセスしたリソースによって実行されたアクティビティを完全に把握できます。

この記事では、Microsoft Defender for Cloud Apps のアプリ ガバナンスを使用して、アプリベースの脅威追求を簡略化する方法について説明します。

手順 1: アプリ ガバナンスでアプリを検出する

Defender for Cloud Apps アプリの [アプリ ガバナンス] ページには、すべての Microsoft Entra ID OAuth アプリが一覧表示されます。

特定のアプリによってアクセスされるデータの詳細を取得する場合は、アプリ ガバナンスのアプリ一覧でそのアプリを検索します。 または、[Data usage] (データ使用状況) または [Services accessed] (アクセスされたサービス) フィルターを使用して、サポートされている 1 つ以上の Microsoft 365 サービスでデータにアクセスしたアプリを表示します。

手順 2: アプリによってアクセスされたデータを表示する

  1. アプリを特定したら、アプリを選択してアプリの詳細ウィンドウを開きます。
  2. アプリの詳細ウィンドウの [Data usage] (データ使用状況) タブを選択すると、過去 30 日間にアプリによってアクセスされたリソースのサイズと数に関する情報が表示されます。

次に例を示します。

Screenshot of the app details pane with data usage details.

アプリ ガバナンスは、Exchange Online、OneDrive、SharePoint、Teams 全体のメール、ファイル、チャット メッセージ、チャンネル メッセージなどのリソースに関するデータ使用量ベースの分析情報を提供します。

サービスとリソース全体でアプリによって使用されたデータの概要を確認したら、アプリ アクティビティの詳細と、これらのアクティビティの実行中にアプリがアクセスしたリソースを知ることができます。

  1. 各リソースの 横にある go-hunt アイコンを選択すると、過去 30 日間にアプリによってアクセスされたリソースの詳細が表示されます。 新しいタブが開き、事前設定された KQL クエリを含む [高度な追求] ページにリダイレクトされます。
  2. ページが読み込まれたら、[クエリを実行] を選択して KQL クエリを実行し、結果を表示します。

クエリが実行されると、クエリ結果が表形式で表示されます。 テーブルの各行は、特定のリソースの種類にアクセスするためにアプリによって実行されたアクティビティに対応します。 テーブル内の各列には、アプリ自体、リソース、ユーザー、およびアクティビティに関する包括的なコンテキストがあります。

たとえば、メール リソースの横にある go-hunt アイコンを選択すると、アプリ ガバナンスにより、過去 30 日間アプリからアクセスがあったすべてのメールに関する次の情報を高度な検出に表示可能になります。

  • 電子メールの詳細: InternetMessageId、NetworkMessageId、件名、送信者の名前とアドレス、受信者のアドレス、AttachmentCount、UrlCount
  • アプリの詳細: 電子メールの送信またはアクセスに使用されるアプリの OAuthApplicationId
  • ユーザー コンテキスト: ObjectId、AccountDisplayName、IPAddress、UserAgent
  • アプリ アクティビティ コンテキスト: OperationType、アクティビティのタイムスタンプ、ワークロード

次に例を示します。

Screenshot of an Advanced Hunting page for emails.

同様に、アプリ ガバナンスの go-hunt アイコンを使用して、ファイル、チャット メッセージ、チャンネル メッセージなど、サポートされている他のリソースの詳細を取得します。 アプリの詳細ペインの [ユーザー] タブに表示された任意のユーザーの横にある go-hunt アイコンを使用すると、特定のユーザーのコンテキストでアプリによって実行されたすべてのアクティビティの詳細を取得できます。

次に例を示します。

Screenshot of an Advanced Hunting page for users.

手順 4: 高度な追求機能を適用する

[高度な追求] ページを使用して、特定の要件に 基づいて結果をフェッチするように KQL クエリを変更または調整します。 今後のユーザーに対するクエリを保存したり、組織内の他のユーザーとリンクを共有したり、結果を CSV ファイルにエクスポートしたりできます。

詳細については、「Microsoft Defender XDR で高度な追求を使用して脅威を事前対応的に追及する」を参照してください。

既知の制限事項

[高度な追求] ページを使用してアプリ ガバナンスのデータを調査すると、データに不一致が生じることがあります。 この不一致は、次のいずれかの理由が原因である可能性があります。

  • アプリ ガバナンスと高度な追求がデータを個別に処理する。 処理中にいずれかのソリューションで発生した問題により、不一致が生じる可能性があります。

  • アプリ ガバナンスのデータ処理が完了するまでに数時間かかる場合がある。 この遅延のため、高度な追求で使用できる最近のアプリ アクティビティがカバーされない可能性があります。

  • 指定された高度な追求クエリは、結果を 1,000 件まで表示するように設定されています。 クエリを編集して結果の表次数を増やせますが、それでも高度な追求では最大 10,000 件の制限が適用されます。 アプリ ガバナンスにはこの制限はありません。

次のステップ

危険な OAuth アプリを調査して修復する