リスクを調査する方法

Microsoft Entra ID Protection には、環境内の ID リスクを調査するために使用できる複数のリスクレポートが用意されています。イベントの調査は、セキュリティ戦略の弱点を理解して識別するための鍵です。 ID Protection レポートは、ストレージ用にアーカイブすることも、セキュリティ情報およびイベント管理 (SIEM) ツールと統合してさらに分析することもできます。組織は、Microsoft Defender、Microsoft Sentinel、および Microsoft Graph API の統合を利用して、他のソースとデータを集計することもできます。

環境内のリスクを調査する方法は多数あり、調査中に考慮すべきさらに詳細があります。この記事では、作業の開始に役立つフレームワークについて説明し、最も一般的なシナリオと推奨されるアクションの概要を示します。

[前提条件]

Microsoft Entra ID Protection 機能へのフルアクセスには、Microsoft Entra ID P2 または Microsoft Entra Suite ライセンスが必要です。
グローバル閲覧者は、 リスクレポートを表示するために必要な最小限の特権ロールです。
レポート閲覧者は、 サインインログと監査ログを表示するために必要な最小限の特権ロールです。

初期トリアージ

最初のトリアージを開始するときは、次のアクションをお勧めします。

ID Protection ダッシュボードを確認して、環境内の検出に基づいて、攻撃の数、リスクの高いユーザーの数、およびその他の重要なメトリックを視覚化します。
リスクレポートを確認して、最近危険なユーザー、サインイン、または検出の詳細を確認します。
影響分析ブックを確認して、環境内でリスクが明らかになるシナリオと、リスクの高いユーザーとサインインを管理するために有効にする必要があるリスクベースのアクセスポリシーを理解します。
サインインログを確認して、同じ特性を持つ同様のアクティビティを特定します。このアクティビティは、より多くのアカウントが侵害されたことを示している可能性があります。
1. IP アドレス、地域、成功/失敗などの共通の特性がある場合は、条件付きアクセスポリシーを使ってそれらをブロックすることを検討します。
2. 可能性があるデータのダウンロードや管理上の変更など、侵害された可能性のあるリソースを確認します。
3. 条件付きアクセスを使用して自己修復ポリシーを有効にします。
Microsoft Purview を使用した Insider Risk Management を使用すると、ユーザーが他の危険なアクティビティ (新しい場所から大量のファイルをダウンロードするなど) を実行したかどうかを確認できます。この動作は、侵害の可能性を強く示しています。

攻撃者がユーザーを偽装していると思われる場合は、ユーザにパスワードをリセットするよう要求し、MFAを実行するか、偽装しているユーザーをブロックして、すべての更新トークンとアクセストークンを取り消す必要があります。

調査とリスク修復フレームワーク

組織は、次のフレームワークを使用して、疑わしいアクティビティを調査できます。リスクが検出された場合、推奨される最初の手順は自己修復です (オプションの場合)。自己修復は、セルフサービスパスワードリセットまたはリスクベースの条件付きアクセスポリシーの修復フローを通じて行うことができます。

自己修復がオプションでない場合、管理者はリスクを修復する必要があります。修復は、パスワードリセットを呼び出し、ユーザーに MFA の再登録、ユーザーのブロック、またはユーザーセッションの取り消しを要求することで行われます。次のフローチャートは、リスクが検出された後の推奨フローを示しています。

リスクが封じ込められたら、リスクを「安全」、「損なわれた」、または「問題なし」としてマークするために、さらに調査が必要になる場合があります。

サインインログを確認し、特定のユーザーのアクティビティが正常かどうかを検証します。
1. 次のプロパティを含むユーザーの過去のアクティビティを調べて、それらが特定のユーザーにとって正常なことであるかどうかを確認します。
  - アプリケーション - アプリはユーザーによって一般的に使用されますか?
  - デバイス - デバイスは登録または準拠していますか?
  - 場所 - ユーザーは別の場所に移動したり、複数の場所からデバイスにアクセスしたりしますか?
  - IP アドレス
  - [ユーザエージェント文字列]
使用可能な場合は、他のセキュリティツールを使用して調査します。
- Microsoft Sentinel がある場合は、より大きな問題を示す可能性のある対応するアラートを確認します。
- Microsoft Defender XDR を使用している場合は、他の関連するアラート、インシデント、MITRE ATT&CK チェーンを通じてユーザーリスクイベントに従うことができます。
  - 危険なユーザーレポートから移動するには、ユーザーを選択>省略記号 (...) を選択>Microsoft 365 Defender で調査を選択します。
サインインが認識されているかどうかを確認するには、ユーザーに問い合わせてください。ただし、メールまたは Teams が侵害される可能性があることに注意してください。
1. 次のような情報を確認します。
  - タイムスタンプ
  - アプリケーション
  - デバイス
  - 場所
  - IP アドレス
調査の結果に応じて、ユーザーまたはサインインを侵害の確認済み、安全確認済み、またはリスクの無視としてマークします。
リスクベースの条件付きアクセスポリシーを設定し同様の攻撃を防いだり、カバレッジのギャップに対処したりします。

特定の検出を調査する

特定のリスク検出には、特定の調査手順が必要です。次のセクションでは、最も一般的なリスク検出と推奨されるアクションの一部について説明します。

Microsoft Entra の脅威インテリジェンス

Microsoft Entra 脅威インテリジェンスリスク検出を調査するには、[リスク検出の詳細] ウィンドウの [追加情報] フィールドに表示される情報に基づいて、次の手順に従います。

サインインが疑わしい IP アドレスからの場合:
1. IP アドレスが環境内で疑わしい動作を示しているかどうかを確認します。
2. ディレクトリ内でユーザーまたはユーザーのセットに対して、IP によって多数のエラーが生成されていますか?
3. IP のトラフィックが予期しないプロトコルまたはアプリケーションから送信されていますか (従来のプロトコル Exchange など)?
4. IP アドレスがクラウドサービスプロバイダーに対応している場合は、同じ IP から実行される正当なエンタープライズアプリケーションが存在しないことをルールによって除外します。
アカウントはパスワードスプレー攻撃の被害者でした
1. ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。
2. 他のユーザーが、同じ期間内に検出されたサインインに似た非定型パターンのサインインを持っているかどうかを判断します。パスワードスプレー攻撃では、次のような特殊なパターンが表示されることがあります。
  - ユーザーエージェント文字列
  - アプリケーション
  - プロトコル
  - IP/ASN の範囲
  - サインインの時刻と頻度
検出はリアルタイムルールによってトリガーされました
1. ディレクトリ内で他のユーザーが同じ攻撃の対象になっていないことを検証します。これは、ルールに割り当てられている TI_RI_#### 番号で確認できます。
2. リアルタイムルールは、Microsoft の脅威インテリジェンスによって識別される新しい攻撃から保護します。ディレクトリ内の複数のユーザーが同じ攻撃のターゲットであった場合は、サインインの他の属性で異常なパターンを調査します。

非定型旅行の検出

アクティビティが正当なユーザーによって実行 されなかった ことが確認された場合:
1. サインインを侵害済みとしてマークし、自己修復によってまだ実行されていない場合はパスワードリセットを呼び出します。
2. 攻撃者がパスワードをリセットしたり、MFA とパスワードのリセットを実行したりするためのアクセス権を持っている場合は、ユーザーをブロックします。
ユーザーが職務の範囲で IP アドレスを使用することがわかっている場合は、サインインが安全であることを確認します。
ユーザーがアラートに詳しく記載されている宛先に最近移動したことを確認した場合は、サインインが安全であることを確認します。
IP アドレス範囲が承認された VPN からの場合は、サインインが安全であることを確認し、Microsoft Entra ID と Microsoft Defender for Cloud Apps の名前付き場所に VPN IP アドレス範囲を追加します。

異常なトークンとトークン発行者の異常検出

リスクアラート、場所、アプリケーション、IP アドレス、ユーザーエージェント、またはユーザーにとって予期しないその他の特性の組み合わせを使用して、正当なユーザーによってアクティビティが実行 されなかった ことを確認した場合:
1. サインインを侵害済みとしてマークし、自己修復によってまだ実行されていない場合はパスワードリセットを呼び出します。
2. 攻撃者がパスワードリセットのアクセス権を持ってたり、パスワードセットを実行したりする場合は、ユーザーをブロックします。
3. リスクベースの条件付きアクセスポリシーを設定して、パスワードのリセットを要求したり、MFA を実行したり、リスクの高いすべてのサインインのアクセスをブロックしたりします。
ユーザーに対して場所、アプリケーション、IP アドレス、ユーザーエージェント、またはその他の特性が想定されていることを確認し、他の侵害の兆候がない場合は、ユーザーがリスクベースの条件付きアクセスポリシーを使用して自己修復できるようにするか、管理者にサインインが安全であることを確認させます。

トークンベースの検出の詳細な調査については、ブログ記事の「トークンの戦術: クラウドトークンの盗難の防止、検出、対応を行う方法」と「トークン盗難の調査プレイブック」をご覧ください。

疑わしいブラウザーの検出

この検出は、ユーザーがブラウザーを一般的に使用していないか、ブラウザー内のアクティビティがユーザーの通常の動作と一致しないことを示します。

サインインが侵害されていることを確認し、自己修復によってまだ実行されていない場合はパスワードリセットを呼び出します。攻撃者がパスワードリセットのアクセス権を持ってたり、MFA を実行したりする場合は、ユーザーをブロックします。
リスクベースの条件付きアクセスポリシーを設定して、パスワードのリセットを要求したり、MFA を実行したり、リスクの高いすべてのサインインのアクセスをブロックしたりします。

悪意のある IP アドレスの検出

アクティビティが正当なユーザーによって実行 されなかった ことを確認した場合:
1. サインインが侵害されていることを確認し、自己修復によってまだ実行されていない場合はパスワードリセットを呼び出します。
2. 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
3. リスクベースの条件付きアクセスポリシーを設定して、パスワードのリセットを要求するか、リスクの高いすべてのサインインに対して MFA を実行します。
ユーザーが職務の範囲で IP アドレスを使用 することを 確認した場合は、サインインが安全であることを確認します。

パスワードスプレーの検出

アクティビティが正当なユーザーによって実行 されなかった ことを確認した場合:
1. サインインを侵害済みとしてマークし、自己修復によってまだ実行されていない場合はパスワードリセットを呼び出します。
2. 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
ユーザーが職務の範囲で IP アドレスを使用 することを 確認した場合は、サインインが安全であることを確認します。
アカウントが侵害されていないことを確認し、アカウントに対するブルートフォースまたはパスワードスプレーインジケーターが表示されない場合:
1. ユーザーがリスクベースの条件付きアクセスポリシーを使用して自己修復することを許可するか、管理者にサインインが安全であることを確認させます。
2. 不要なアカウントロックアウトを回避するために、Microsoft Entra スマートロックアウト適切に構成されていることを確認します。

パスワードスプレーのリスク検出の詳細な調査については、「パスワードスプレー調査に」の記事をご覧ください。

漏洩した資格情報の検出

この検出でユーザーの資格情報が漏洩した場合:

ユーザーが侵害されていることを確認し、自己修復によってまだ実行されていない場合はパスワードリセットを呼び出します。
攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。

将来のリスクを軽減する

条件付きアクセスポリシーの名前付き場所に企業 VPN と IP アドレス範囲を追加して、誤検知を減らします。
更新された組織の出張レポートのための既知の出張者データベースの作成を検討し、それを使って出張アクティビティを相互参照します。
ID Protection でフィードバックを提供して、検出精度を向上させ、誤検知を減らします。

次のステップ

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-10-08