脅威の検出
データを偶発的な公開から保護する方法を理解したら、次に考慮するのは、サイバー脅威と異常から保護することです。これは、Defender for Cloud Apps フレームワークの要素の 1 つです。
Microsoft Defender for Cloud Apps には、すぐに利用できる異常検出ポリシーが含まれます。これは、ユーザー/エンティティ行動分析 (UEBA) と機械学習 (ML) を利用して、クラウド環境全体で高度な脅威検出を実行します。 異常検出は本質的に非決定的であることに注意することが重要です。 これらの検出は、標準とは異なる動作が発生した場合にのみトリガーされます。
異常検出ポリシーは自動的に有効になっていますが、Microsoft Defender for Cloud Apps は最初の 7 日間で環境について学習します。 IP アドレス、デバイス、ユーザーがアクセスする場所を確認し、ユーザーが使用するアプリとサービスを特定して、すべてのアクティビティのリスク スコアを計算します。 このプロセスは、環境とアラートの比較対象となるベースラインに貢献します。 また、検出ポリシーは機械学習を使用してユーザーをプロファイルします。 Microsoft Defender for Cloud Apps が、ユーザーとその通常のサインイン パターンを認識すれば、誤検出を減らすのに役立ちます。
異常は、ユーザー アクティビティをスキャンし、リスクを評価することで検出されます。 リスクは、30 を超えるさまざまなインジケーターを確認することで評価されます。インジケーターは、次のリスク要因にグループ化されています。
- 高リスクの IP アドレス
- ログオンの失敗
- 管理者のアクティビティ
- 非アクティブなアカウント
- Location
- 不可能な移動
- デバイスとユーザー エージェント
- アクティビティ評価
Microsoft Defender for Cloud Apps は、クラウド上のすべてのユーザー セッションを確認し、組織のベースラインやユーザーの通常のアクティビティとは異なる何かが発生した場合に通知します。
異常検出ポリシーの概要
Microsoft Defender for Cloud Apps の異常検出ポリシーは、さまざまなセキュリティの問題を検出するように構成されています。 最もよく使用されているポリシーは次のとおりです。
- 不可能な移動。 同じユーザーにより、異なる場所で、2 つの場所の間の予想される移動時間よりも短い期間内に発生したアクティビティ。
- ほとんどアクセスがない国からのアクティビティ。 最近アクセスしなかった場所、またはユーザーまたは組織内の任意のユーザーがアクセスしたことがない場所からのアクティビティ。
- マルウェアの検出。 クラウド アプリ内のファイルをスキャンし、Microsoft の脅威インテリジェンス エンジンを通して疑わしいファイルを実行して、既知の悪意のあるソフトウェアと関連付けられているどうかを判断します。
- ランサムウェアのアクティビティ。 ランサムウェアに感染している可能性のあるファイルのクラウドへのアップロード。
- 疑わしい IP アドレスからのアクティビティ。 Microsoft 脅威インテリジェンスによってリスクが高いと識別された IP アドレスからのアクティビティ。
- 疑わしい受信トレイの転送。 ユーザーの受信トレイに設定されている疑わしい受信トレイの転送ルールを検出します。
- 通常と異なる複数のファイル ダウンロード アクティビティ。 学習したベースラインについて、単一のセッションにおける複数のファイル ダウンロード アクティビティを検出します。これは、侵害が試行されたことを示す可能性があります。
- 通常と異なる管理アクティビティ。 学習したベースラインについて、単一のセッションにおける複数の管理アクティビティを検出します。これは、侵害が試行されたことを示す可能性があります。
異常検出ポリシーを構成する
ここまでで、異常検出ポリシーについて説明しました。次に、異常検出ポリシーを構成して、自分の環境で設定および構成するための手順を確認しましょう。 Discovery 異常検出ポリシーは、クラウド アプリケーションの使用の異常な増加を探します。 各クラウド アプリケーションについて、ダウンロードされたデータ、アップロードされたデータ、トランザクション、ユーザーの増加を確認します。 次に、各増加がアプリケーションのベースラインと比較されます。 増加が最も多い場合、セキュリティ警告をトリガーします。
フィルターを設定して、アプリケーションの使用を監視する方法をカスタマイズできます。 フィルターには、アプリケーション フィルター、選択されたデータ ビュー、選択された開始日が含まれます。 秘密度を設定することもできます。これにより、ポリシーがトリガーするアラートの数を設定できます。
アラートを抑制または表示するために異常検出ポリシーを微調整する
異常検出は通常と異なることが発生した場合にのみトリガーしますが、誤検出の影響を受けやすくなります。 誤検出が多すぎるとアラートの疲れにつながり、ノイズに含まれる重要なアラートを見逃すリスクがあります。 アラート ノイズを防ぐために、VPN アクティビティなど、誤検知を引き起こす可能性があるシナリオに対処するために、さまざまなレベルの抑制を含むように、各ポリシーの検出ロジックを微調整できます。
異常検出ポリシーを作成または編集するとき、必要な対象範囲の種類に応じて秘密度を判断します。 秘密度が高いほど、より厳格な検出ロジック アルゴリズムを使用します。 これにより、各ポリシーごとに検出の戦略を適用できます。
ポリシーを微調整する前に、アラートの抑制のオプションを理解しておくと役に立ちます。 抑制には次の 3 種類があります。
| 抑制の種類 | 説明 |
|---|---|
| システム | 常に抑制される組み込みの検出。 |
| テナント | テナント内の以前のアクティビティに基づく一般的なアクティビティ。 たとえば、組織内で以前にアラートが送信された ISP からのアクティビティを抑制します。 |
| ユーザー | 特定のユーザーの以前のアクティビティに基づく一般的なアクティビティ。 たとえば、ユーザーが一般的に使用する場所からのアクティビティを抑制します。 |
抑制の種類は、秘密度に応じて次のように異なります。
| 秘密度レベル | 影響を受ける抑制の種類 |
|---|---|
| 低 | システム、テナント、ユーザー |
| 中 | システム、ユーザー |
| 高 | システムのみ |
ほとんどアクセスがない国/地域、匿名の IP アドレス、疑わしい IP アドレス、および不可能な移動によるアクティビティへの警告が、ログインの失敗と成功の両方か、ログインの成功のみを分析するかを構成することもできます。
ユーザーおよびグループに対して異常検出範囲ポリシーを調整する
各異常検出ポリシーは、範囲を個別に指定して、ポリシーに含めるか除外するユーザーおよびグループのみに適用させることができます。 たとえば、頻繁に移動する特定のユーザーを無視するように、頻度の低い国/地域の検出からのアクティビティを設定できます。
異常検出ポリシーの範囲を指定するには、次のことを実行します。
ブラウザーを介して Microsoft Defender for Cloud Apps Portal にサインインします。
[制御]>[ポリシー] を選択して、[種類] フィルターを [異常検出ポリシー] に設定します。
範囲を指定するポリシーを選択します。
[範囲] の下で、ドロップダウンを [すべてのユーザーとグループ] の規定の設置から [特定のユーザーとグループ] に変更します。
[ 含める] を選択して、このポリシーを適用するユーザーとグループを指定します。 ここで選択しないユーザーとグループは、脅威とみなされたり、アラートを生成したりすることはありません。
[除外する] を選択して、ポリシーを適用しないユーザーとグループを指定します。 ここで選択するユーザーは、[含める] で選択されているグループのメンバーである場合でも、脅威とみなされたり、アラートを生成したりすることはありません。
範囲の変更が完了したら、[更新] を選択して変更を確定します。
