セキュリティ アラートについて理解する
Microsoft Defender for Cloud には、さまざまな種類のリソースに関するさまざまなアラートがあります。 Defender for Cloud を使用すると、Azure にデプロイされたリソースに対して、およびオンプレミス環境とハイブリッド クラウド環境にデプロイされたリソースに対してアラートが生成されます。 セキュリティ アラートは高度な検出によってトリガーされ、Defender for Cloud だけで使用できます。
今日の脅威への対応
脅威を取り巻く状況は、この 20 年で様変わりしました。 従来、企業が警戒すべきことは一般に Web サイトの改ざんのみで、その攻撃も興味本位の個人によるものが大半でした。 その頃と比べ今日の攻撃は、はるかに進化しており、組織化されています。 明らかに金銭や戦略的な目的をもって攻撃が遂行されるケースも少なくありません。 それらに利用されるリソースも増えてきました。国家や犯罪組織によって資金提供されている場合があるためです。
このような移り変わる現実に導かれ、攻撃者集団はかつてないほど高い技術力を身に付けています。 もはや彼らのねらいは、Web の改ざんではありません。 情報や金融口座、プライベート データの盗難がねらいです。いずれも一般市場で現金を得たり、特定の事業や政治、軍事的な立場を利用したりする目的で使用されます。 金銭目的のこのような攻撃者以上にやっかいな存在は、インフラストラクチャや人に危害を加えるためにネットワークを侵害する攻撃者です。
そうした攻撃に対応するために多くの組織が実施しているさまざまな解決策は、既に知られている攻撃のシグネチャを探すことで企業ネットワークの境界領域やエンドポイントを防御する対症療法が中心です。 このような解決策では、精度の低いアラートが大量に生成されることが多く、セキュリティ アナリストが優先順位を付けて調査しなければなりません。 しかし、そのようなアラートに対応できるだけの時間とノウハウを持った組織はまれで、多くのアラートは未解決のまま放置されます。
さらに、攻撃者の手法は着々と進化を遂げています。シグネチャを使用した防御はその多くが攻略され、クラウド環境への対応も進んでいます。 発生している脅威を従来以上に早く特定し、検出と対応にかかる時間を短縮する新しいアプローチが必要です。
セキュリティ アラートとセキュリティ インシデントとは
アラートは、リソースに対する脅威を検出するときに Defender for Cloud によって生成される通知です。 Defender for Cloud では、アラートに優先順位を付け、問題の迅速な調査に必要な情報と共に一覧表示します。 Defender for Cloud には、攻撃を修復する方法に関する推奨事項も用意されています。
セキュリティ インシデントは、各アラートの個別の一覧ではなく、関連するアラートのコレクションです。 Defender for Cloud は Cloud Smart Alert Correlation を使用して、さまざまなアラートとローファイ シグナルを相互に関連付けてセキュリティ インシデントにします。
Defender for Cloud はセキュリティ インシデントを使って、攻撃活動とすべての関連するアラートを単一のビューに表示します。 このビューにより、攻撃者がどのようなアクションを実行し、どのリソースが影響を受けたかを迅速に把握できます。 詳細については、クラウドのスマート アラートの関連付けに関する記事を参照してください。
Defender for Cloud で脅威を検出する方法
マイクロソフトのセキュリティ研究員は、絶えず脅威に目を光らせています。 クラウドやオンプレミスでの Microsoft のグローバルなプレゼンスにより、Microsoft は広範なテレメトリにアクセスすることが許されています。 広範かつ多様なデータセットのコレクションによって、Microsoft は、オンプレミスの消費者または企業向け製品からオンライン サービスに至るまで、攻撃の新しいパターンや傾向を把握することができます。 その結果、Defender for Cloud は、攻撃者によって脆弱性の悪用手法が次々に生み出され、しだいに複雑化する中で、その検出アルゴリズムを迅速に更新することができるのです。 この方法は、刻々と進化する脅威の環境に後れを取らないように対処するのに役立ちます。
Defender for Cloud では、真の脅威を検出し、誤検知を減らすために、Azure のリソースやネットワークから、ログ データを収集し、分析、統合します。 接続されているパートナー ソリューション (ファイアウォールやエンドポイント保護ソリューションなど) とも連動します。 Defender for Cloud は、この情報を分析し、多くの場合、複数の情報源から得た情報との関連性を探りながら、脅威を特定します。
Defender for Cloud には、シグネチャ ベースの手法とは比較にならない高度なセキュリティ分析が採用されています。 ビッグ データや機械学習における革新的テクノロジを使用して、クラウド ファブリック全体にわたってイベントが評価されるので、手作業に頼った手法や攻撃の進化を予測する手法では特定できない脅威でも検出することができます。 こうしたセキュリティ分析の例を次に示します。
統合された脅威インテリジェンス:Microsoft は、膨大なグローバル脅威インテリジェンスを保有しています。 Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft Digital Crimes Unit (DCU)、および Microsoft セキュリティ レスポンス センター (MSRC) などの複数のソースから製品利用統計情報が送られてきます。 また研究員も、大手クラウド サービス プロバイダー間で共有されている脅威インテリジェンス情報を入手しているほか、他のサード パーティからのフィードにサブスクライブしています。 Defender for Cloud はこの情報を使用して、既知の不正なアクターからの脅威について警報を出すことができます。
行動分析:行動分析は、データを分析し、既知のパターンのコレクションと照らして比較する手法です。 ただし、これらのパターンはただのシグネチャではありません。 大量のデータセットに適用される複雑な機械学習アルゴリズムによって決定されます。 また、それらは専門のアナリストによる悪質な行動の緻密な分析によっても決定されます。 Defender for Cloud は行動分析を使用して、侵害を受けたリソースを、仮想マシン ログ、仮想ネットワーク デバイス ログ、ファブリック ログ、その他のソースの分析に基づいて特定することができます。
異常検出: Defender for Cloud では、異常検出を使用して脅威を特定します。 行動分析は、大規模なデータセットから導かれた既知のパターンに依存します。これとは対照的に、異常検出は "独自色" が強く、個々のデプロイに固有の基準に重点が置かれます。 デプロイの通常のアクティビティを判断するために機械学習が適用されます。 次に、セキュリティ イベントを表す可能性がある外れ値条件を定義するルールが生成されます。
アラートはどのように分類されますか。
Defender for Cloud はアラートに重要度を割り当てるので、各アラートに対処する優先順位を付けることができます。これにより、リソースが侵害を受けたとき、すぐに対処できます。 重要度は、アラートの発行に使用された Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼度レベルに基づいて決まります。
高: リソースが侵害されている可能性が高いことを示します。 すぐに調べる必要があります。 Defender for Cloud には、意図の悪意性と、アラートの発行に使用された検出結果の両方に高い信頼性があります。 たとえば、アラートで検出されるのは、資格情報を盗むために使用される一般的なツールである Mimikatz など、悪意のある既知のツールの実行です。
中: この重大度は、不審なアクティビティの可能性を示します (場合によってはリソースが侵害されたことを示します)。 分析または検出結果における Defender for Cloud の信頼性は中であり、悪意のある意図の信頼性は中から高です。 通常、これらは機械学習または異常に基づく検出です。 たとえば、異常な場所からのサインイン試行です。
低: この重大度は、無害な陽性またはブロックされた攻撃である可能性を示します。
Defender for Cloud は、その意図に悪意があるかどうか確信がなく、アクティビティは無害である可能性があります。 たとえば、ログのクリアは、攻撃者が痕跡を隠そうとしたときに発生することがあるアクションですが、多くの場合、管理者が実行する日常的な操作です。
通常、攻撃がブロックされても、調査が推奨される関心を寄せるべきケースでなければ、Defender for Cloud からは通知されません。
情報: 情報アラートは、セキュリティ インシデントにドリルダウンするか、特定のアラート ID を指定して REST API を使用した場合にのみ表示されます。 通常、インシデントは複数のアラートで構成され、その一部は単なる情報として表示される場合がありますが、他のアラートとのコンテキストによっては詳しい調査が推奨される可能性があります。
継続的な監視と評価
Defender for Cloud は、Microsoft 全体のセキュリティ調査チームとデータ サイエンス チームが脅威の状況における変化を継続的に監視することから恩恵を受けます。 たとえば次のような取り組みが行われています。
脅威インテリジェンスの監視:脅威インテリジェンスには、既存の脅威や新たに発生した脅威に関するメカニズム、インジケーター、示唆、即時に利用可能なアドバイスが含まれます。 こうした情報はセキュリティ コミュニティから得られるほか、Microsoft も、社内や社外のソースから提供される脅威インテリジェンスを絶えず監視しています。
シグナルの共有:クラウドとオンプレミス向けに Microsoft が保有するさまざまなサービス、サーバー、クライアント エンドポイント デバイスを通じてセキュリティ チームが得た知見は共有され、分析されます。
Microsoft のセキュリティ スペシャリスト:フォレンジクスや Web 攻撃検出など、専門のセキュリティ分野に従事する Microsoft 内のさまざまなチームと絶えず連携します。
検出のチューニング:実際のユーザーのデータセットに対してアルゴリズムが実行され、セキュリティ研究員がユーザーと連携してその結果を検証します。 機械学習アルゴリズムの精度を高めるために、真陽性と偽陽性が使用されます。
アラートの種類の理解
現在のアラートの参照一覧には、500 種類を超えるアラートが含まれています。 参照リストは、「セキュリティ アラート - リファレンス ガイド」で確認できます。
アラートの種類ごとに、説明、重大度、MITRE ATT&CK の方針が記載されています
MITRE ATT&CK の方針
攻撃の意図を理解することは、イベントをより簡単に調査して報告するのに役立ちます。 これらの取り組みを支援するために、Defender for Cloud のアラートには、数多くのアラートによる MITRE 戦術が含まれています。 偵察からデータ窃盗までのサイバー攻撃の流れを説明する一連の手順は、"キル チェーン" と呼ばれることがよくあります。
Defender for Cloud でサポートされているキル チェーンの意図は、MITRE ATT&CK マトリックスのバージョン 7 に基づいており、次の表で説明します。
| 方針 | 説明 |
|---|---|
| 攻撃前 | 攻撃前とは、悪意のある目的に関係なく特定のリソースにアクセスしようとすること、または攻撃の前に情報を収集するためにターゲット システムにアクセスを試みて失敗することです。 通常、このステップは、ネットワークの外部から開始された、ターゲット システムをスキャンしてエントリ ポイントを識別するための試行として検出されます。 |
| 初期アクセス | 初期アクセスは、攻撃者が攻撃対象リソースに足掛かりを得ようとする段階です。 この段階は、コンピューティング ホストと、ユーザー アカウントや証明書などのリソースに関連しています。多くの場合、この段階の後に、脅威アクターによるリソースの制御が可能になります。 |
| 永続化 | 永続化とは、脅威アクターにシステムでの永続的プレゼンスを与える、システムに対するアクセス、操作、構成の変更です。 多くの場合、脅威アクターは、アクセスを回復するための代替バックドアを再起動または提供するためにリモート アクセス ツールを必要とする、システムの再起動、資格情報の損失、その他の障害などの中断によって、システムへのアクセスを維持する必要があります。 |
| 特権エスカレーション | 特権エスカレーションとは、敵対者がシステムまたはネットワークの高レベルのアクセス許可を取得できるようにする操作の結果です。 特定のツールまたはアクションは、動作するためにより高いレベルの特権を必要とし、操作全体の多くのポイントで必要になる可能性があります。 敵対者が目的を達成するために必要な特定のシステムにアクセスしたり、特定の機能を実行したりするためのアクセス許可を持つユーザー アカウントも、特権のエスカレーションと見なされることがあります。 |
| 防御回避 | 防御回避には、敵対者が検出を回避したり、他の防御を回避したりするために使用できる技法が含まれます。 これらのアクションは、特定の防御または軽減策を破壊する追加の利点がある他のカテゴリの手法と同じ (またはそのバリエーション) である場合があります。 |
| 資格情報アクセス | 資格情報へのアクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、またはサービスの資格情報にアクセスしたり制御したりする手法を表します。 敵対者は、ネットワーク内で使用するために、ユーザーまたは管理者のアカウント (管理者アクセス権を持つローカル システム管理者またはドメイン ユーザー) から正当な資格情報を取得しようとする可能性があります。 ネットワーク内の十分なアクセス権があれば、敵対者は、後で環境内で使用するアカウントを作成できます。 |
| 検出 | 検出には、敵対者がシステムと内部ネットワークに関する知識を得られるようにする技法が含まれます。 敵対者が新しいシステムにアクセスするときは、現在制御できるものと、そのシステムから操作することで侵入中の現在の目的または全体的な目標にどのようなメリットがもたらされるかを調整する必要があります。 オペレーティング システムには、この侵害後の情報収集フェーズを支援する多くのネイティブ ツールが用意されています。 |
| 横移動 | 横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成されており、リモート システムでのツールの実行が含まれることがありますが、必ず含まれるわけではありません。 ラテラル ムーブメントの手法により、敵対者は、リモート アクセス ツールなどの他のツールを必要とせずに、システムから情報を収集することができます。 敵対者は、ツールのリモート実行、他のシステムへのピボット、特定の情報やファイルへのアクセス、他の資格情報へのアクセス、影響の実現など、さまざまな目的にラテラル ムーブメントを使用できます。 |
| 実行 | 実行手段は、ローカルまたはリモート システムで敵対者によって制御されたコードを実行するための手法を表します。 この戦術は、ネットワーク上のリモート システムへのアクセスを拡張するために、横移動と共に使われることがよくあります。 |
| コレクション | コレクションは、窃盗の前に、対象ネットワークから、機密ファイルなどの情報を識別および収集するための手法で構成されます。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。 |
| 流出 | 窃盗は、敵対者が対象ネットワークからファイルや情報を削除したり、削除するのに役立てたりする技法と属性を指します。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。 |
| 指揮統制 | 指揮統制の手段は、ターゲット ネットワーク内で攻撃者の管理下にあるシステムと攻撃者が通信する方法を表します。 |
| 影響 | 影響イベントにおいては、主として、システム、サービス、ネットワークの可用性や整合性を直接低下させることが試みられます。ビジネスまたは運用プロセスに影響を与えるデータの操作が含まれます。 多くの場合、ランサムウェア、改ざん、データ操作などの手法が使用されます。 |