脅威分析のアナリスト レポート
適用対象:
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
各 脅威分析レポート には、動的セクションと 、アナリスト レポートと呼ばれる包括的な記述されたセクションが含まれています。 このセクションにアクセスするには、追跡対象の脅威に関するレポートを開き、[ アナリスト レポート ] タブを選択します。
脅威分析レポートのアナリスト レポート セクション
さまざまなアナリスト レポートの種類を把握する
脅威分析レポートは、次のいずれかの種類のレポートに分類できます。
- アクティビティ プロファイル – 脅威アクターに頻繁に関連付けられている特定の攻撃キャンペーンに関する情報を提供します。 このレポートでは、攻撃がどのように発生したか、なぜ攻撃を気にする必要があるのか、Microsoft が顧客を保護する方法について説明します。 アクティビティ プロファイルには、イベント、攻撃チェーン、動作と手法のタイムラインなどの詳細も含まれる場合があります。
- アクター プロファイル – 注目すべきサイバー攻撃の背後にある特定の Microsoft 追跡脅威アクターに関する情報を提供します。 このレポートでは、アクターの動機、業界や地理的なターゲット、その戦術、手法、手順 (TCP) について説明します。 アクター プロファイルには、アクターの攻撃インフラストラクチャ、マルウェア (カスタムまたはオープンソース)、使用した悪用、およびそれらが参加していた注目すべきイベントやキャンペーンに関する情報も含まれる場合があります。
- 手法プロファイル – 脅威アクターによって使用される特定の手法 (たとえば、PowerShell の悪意のある使用やビジネス 電子メール侵害 (BEC) での資格情報の収集) に関する情報と、その手法に関連するアクティビティを検出して Microsoft が顧客を保護する方法について説明します。
- 脅威の概要 – 複数のプロファイル レポートを要約して、これらのレポートを使用するか、またはこれらのレポートに関連する脅威の全体像を描きます。 たとえば、脅威アクターはさまざまな手法を使用してオンプレミスの資格情報を盗みます。また、オンプレミスの資格情報の盗難に関する脅威の概要は、ブルートフォース攻撃、Kerberos 攻撃、または情報盗用マルウェアに関する手法プロファイルにリンクしている可能性があります。 Microsoft 脅威インテリジェンスは、お客様の環境に影響を与える上位の脅威にセンサーを使用して、このレポートの種類にメリットがある可能性のある脅威を評価します。
- ツール プロファイル – 脅威アクターに関連付けられる多くの場合、特定のカスタム ツールまたはオープン ソース ツールに関する情報を提供します。 このレポートでは、ツールの機能、それを使用する脅威アクターが達成しようとしている可能性のある目標、および Microsoft が関連するアクティビティを検出して顧客を保護する方法について説明します。
- 脆弱性プロファイル – 特定の一般的な脆弱性と公開 (CVE) ID または製品に影響を与える類似の CVEs のグループに関する情報を提供します。 脆弱性プロファイルは、通常、脅威アクターや注目すべき攻撃キャンペーンによって使用される脆弱性など、注目すべき脆弱性について説明します。 脆弱性の種類、影響を受けたサービス、ゼロデイまたはインザワイルドの悪用、重大度スコアと潜在的な影響、Microsoft のカバレッジなど、1 つ以上の種類の情報について説明します。
アナリスト レポートをスキャンする
アナリスト レポートの各セクションは、実用的な情報を提供するように設計されています。 レポートはさまざまですが、ほとんどのレポートには次の表で説明するセクションが含まれています。
| レポート セクション | 説明 |
|---|---|
| エグゼクティブ サマリー | 脅威のスナップショット。最初に見たとき、その動機、注目すべきイベント、主要なターゲット、個別のツールと手法が含まれる場合があります。 この情報を使用して、業界、地理的な場所、ネットワークのコンテキストで脅威に優先順位を付ける方法をさらに評価できます。 |
| 概要 | 脅威に関する技術的な分析。レポートの種類によっては、攻撃の詳細や、攻撃者が新しい手法や攻撃対象領域を使用する方法が含まれる場合があります。 このセクションには、より多くのコンテキストと詳細を提供するために、レポートの種類に応じて、見出しやサブセクションも異なります。 たとえば、脆弱性プロファイルには影響を受けるテクノロジを一覧表示する別のセクションがあり、アクター プロファイルにはツールと TCP と属性セクションが含まれる場合があります。 |
| 検出/ハンティング クエリ | 脅威に関連 する アクティビティまたはコンポーネントを表示できる Microsoft セキュリティ ソリューションによって提供される特定の一般的な検出。 このセクションでは、可能な脅威アクティビティをプロアクティブに識別するための ハンティング クエリ も提供します。 ほとんどのクエリは、特に悪意のある可能性のあるコンポーネントや、悪意があると動的に評価できなかった動作を特定するために、検出を補完するために提供されます。 |
| MITRE ATT&CK 手法の観察 | 観察された手法が、CK 攻撃フレームワーク&MITRE ATT にマップされる方法 |
| 推奨事項 | 脅威の影響を停止または減らすのに役立つ実行可能な手順。 このセクションには、脅威分析レポートの一部として動的に追跡されない軽減策も含まれています。 |
| 関連情報 | レポートの作成時にアナリストによって参照される Microsoft およびサード パーティのパブリケーション。 脅威分析コンテンツは、Microsoft の研究者によって検証されたデータに基づいています。 公開されているサードパーティのソースからの情報は、そのように明確に識別されます。 |
| 変更ログ | レポートが発行された時刻と、レポートに大幅な変更が加えられた時刻。 |
各脅威を検出する方法を理解する
アナリスト レポートには、脅威の検出に役立つさまざまな Microsoft ソリューションからの情報も提供されます。 該当する場合は、次のセクションに記載されている各製品から、この脅威に固有の検出が一覧表示されます。 これらの脅威固有の検出からのアラートは、[脅威分析] ページのアラート ステータス カードに表示されます。
一部のアナリスト レポートには、一般的に疑わしい動作にフラグを設定するように設計され、追跡対象の脅威に関連付けられていない可能性があるアラートもメンションされます。 このような場合、レポートは、関連のない脅威アクティビティによってアラートをトリガーできることと、[脅威分析] ページで提供されているステータス カードで監視されていないことを明確に示します。
Microsoft Defender ウイルス対策
ウイルス対策検出は、Windows で Microsoft Defenderウイルス対策が有効になっているデバイスで使用できます。 これらの検出は、利用可能な場合は、Microsoft セキュリティ インテリジェンス内のそれぞれのマルウェア百科事典の説明にリンクされます。
Microsoft Defender for Endpoint
エンドポイントの検出と応答 (EDR) アラートは、Microsoft Defender for Endpointにオンボードされたデバイスに対して発生します。 これらのアラートは、Defender for Endpoint センサーによって収集されたセキュリティ信号と、強力なシグナル ソースとして機能するその他のエンドポイント機能 (ウイルス対策、ネットワーク保護、改ざん防止など) に依存します。
Microsoft Defender for Office 365
Defender for Office 365からの検出と軽減策もアナリスト レポートに含まれます。 Defender for Office 365は、メール、リンク (URL)、添付ファイル、コラボレーション ツールの脅威から保護する Microsoft 365 サブスクリプションへのシームレスな統合です。
Microsoft Defender for Identity
Defender for Identity は、organization全体で ID の監視をセキュリティで保護するのに役立つクラウドベースのセキュリティ ソリューションです。 オンプレミスの Active Directory ID とクラウド ID の両方からのシグナルを使用して、organizationに向けられた高度な脅威をより適切に特定、検出、調査するのに役立ちます。
Microsoft Defender for Cloud Apps
Defender for Cloud Appsは、SaaS アプリケーションの完全な保護を提供し、クラウド アクセス セキュリティ ブローカー (CASB) の基本的な機能、SaaS セキュリティ態勢管理 (SSPM) 機能、高度な脅威保護、アプリ間保護を使用して、クラウド アプリ データの監視と保護を支援します。
Microsoft Defender for Cloud
Defender for Cloud は、さまざまな脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計されたセキュリティ対策とプラクティスで構成されるクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) です。
高度なハンティングを使用して微妙な脅威アーティファクトを見つける
検出では追跡対象の脅威を自動的に特定して停止できますが、多くの攻撃アクティビティでは、より多くの検査が必要な微妙なトレースが残されています。 攻撃アクティビティの中には、通常の動作を示すものもあります。そのため、動的に検出すると、操作上のノイズや誤検知が発生する可能性があります。 ハンティング クエリを使用すると、これらの潜在的に悪意のあるコンポーネントまたは動作を事前に見つけることができます。
高度なハンティング クエリのMicrosoft Defender XDR
高度なハンティングは、脅威アクティビティの微妙なインジケーターの検索を簡略化するKusto 照会言語に基づくクエリ インターフェイスを提供します。 また、コンテキスト情報を表示し、インジケーターが脅威に接続されているかどうかを確認することもできます。
アナリスト レポートの高度なハンティング クエリは、Microsoft アナリストによって審査され、 高度なハンティング クエリ エディターで実行する準備が整いました。 クエリを使用して、今後の一致に対するアラートをトリガーする カスタム検出ルール を作成することもできます。
クエリのMicrosoft Sentinel
アナリスト レポートには、Microsoft Sentinel顧客に適用できるハンティング クエリを含めることもできます。
Microsoft Sentinelには、organizationのデータ ソース全体でセキュリティ上の脅威を検出するための強力なハンティング検索ツールとクエリ ツールがあります。 セキュリティ アプリやスケジュールされた分析ルールによって検出されない新しい異常を事前に調べるのに役立つよう、Sentinelハンティング クエリを使用すると、ネットワーク上に既にあるデータの問題を見つけるために適切な質問を行うことができます。
追加の軽減策を適用する
脅威分析は、特定の セキュリティ更新プログラム と セキュリティで保護された構成の状態を動的に追跡します。 これらの種類の情報は、[ エンドポイントの公開 ] タブと [ 推奨されるアクション ] タブのグラフとテーブルとして使用でき、この脅威に適用され、他の脅威にも適用される可能性のある反復可能な推奨事項です。
これらの追跡された推奨事項に加えて、アナリスト レポートでは、レポートで説明されている脅威または状況のみに固有であるため、動的に監視 されない 軽減策についても説明できます。 動的に追跡されない重要な軽減策の例を次に示します。
- .lnk添付ファイルまたはその他の疑わしいファイルの種類を含む電子メールをブロックする
- ローカル管理者パスワードをランダム化する
- フィッシングメールやその他の脅威ベクトルについてエンド ユーザーを教育する
- 特定の攻撃面の縮小ルールを有効にする
[エンドポイントの公開] タブと [推奨されるアクション] タブを使用して、脅威に対するセキュリティ体制を評価できますが、これらの推奨事項を使用すると、セキュリティ体制を改善するための他の手順を実行できます。 アナリスト レポートのすべての軽減策ガイダンスを慎重に読み、可能な限り適用します。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。