この記事では、Microsoft Defender for Cloud から受け取る可能性があるセキュリティ アラートと、有効になっている Microsoft Defender プランの一覧を示すページへのリンクを示します。 環境内に表示されるアラートは、保護するリソースとサービス、およびカスタマイズされた構成によって異なります。
注
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
このページには、 MITRE ATT&CK マトリックスのバージョン 9 に沿った Microsoft Defender for Cloud キル チェーンについて説明する表も含まれています。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
カテゴリ別のセキュリティ アラート ページ
- Windows マシンのアラート
- Linux マシンのアラート
- DNS のアラート
- Azure VM 拡張機能のアラート
- Azure App Service のアラート
- コンテナーのアラート - Kubernetes クラスター
- SQL Database と Azure Synapse Analytics のアラート
- オープンソース リレーショナル データベースのアラート
- Resource Manager のアラート
- Azure Storage のアラート
- Azure Cosmos DB のアラート
- Azure ネットワーク レイヤーのアラート
- Azure Key Vault のアラート
- Azure DDoS Protection のアラート
- Defender for API のアラート
- AI ワークロードのアラート
- 非推奨のセキュリティ アラート
MITRE ATT&CK の戦術
攻撃の意図を理解することは、イベントをより簡単に調査して報告するのに役立ちます。 これらの作業を支援するために、Microsoft Defender for Cloud アラートには、多くのアラートを含む MITRE 戦術が含まれています。
偵察からデータ流出へのサイバー攻撃の進行を説明する一連の手順は、多くの場合、"キル チェーン" と呼ばれます。
Defender for Cloud でサポートされているキル チェーンの意図は、 MITRE ATT&CK マトリックスのバージョン 9 に基づいており、次の表で説明します。
| 戦略 | ATT&CK バージョン | Description |
|---|---|---|
| PreAttack | PreAttack は、悪意のある意図に関係なく特定のリソースにアクセスしようとしたり、悪用前にターゲット システムにアクセスして情報を収集しようとして失敗したりする可能性があります。 通常、この手順は、ターゲット システムをスキャンしてエントリ ポイントを識別するために、ネットワークの外部から発信された試行として検出されます。 | |
| 初期アクセス | V7、V9 | 初期アクセスは、攻撃者が攻撃されたリソースの足掛かりを得るために管理する段階です。 このステージは、コンピューティング ホストと、ユーザー アカウント、証明書などのリソースに関連します。脅威アクターは、多くの場合、このステージの後にリソースを制御できます。 |
| 固執 | V7、V9 | 永続化とは、脅威アクターにそのシステム上の永続的なプレゼンスを提供するシステムへのアクセス、アクション、または構成の変更です。 脅威アクターは、多くの場合、システムの再起動、資格情報の損失、リモート アクセス ツールの再起動や、アクセスを回復するための代替バックドアを提供する必要があるその他の障害などの中断を通じて、システムへのアクセスを維持する必要があります。 |
| 特権エスカレーション | V7、V9 | 特権エスカレーションは、敵対者がシステムまたはネットワークに対するより高いレベルのアクセス許可を取得できるようにするアクションの結果です。 特定のツールまたはアクションでは、より高いレベルの特権が必要であり、操作全体の多くのポイントで必要になる可能性があります。 特定のシステムにアクセスしたり、敵対者が目的を達成するために必要な特定の機能を実行したりするためのアクセス許可を持つユーザー アカウントも、特権のエスカレーションと見なされる場合があります。 |
| 防御回避 | V7、V9 | 防御回避は、敵対者が検出を回避したり、他の防御を回避したりするために使用する可能性のある手法で構成されます。 場合によっては、これらのアクションは、特定の防御または軽減策を覆す利点を持つ他のカテゴリの手法 (またはバリエーション) と同じです。 |
| 資格情報へのアクセス | V7、V9 | 資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、またはサービスの資格情報にアクセスしたり制御したりする手法を表します。 敵対者は、ネットワーク内で使用するために、ユーザーまたは管理者アカウント (ローカル システム管理者または管理者アクセス権を持つドメイン ユーザー) から正当な資格情報を取得しようとします。 ネットワーク内で十分なアクセス権を持つ敵対者は、環境内で後で使用するためのアカウントを作成できます。 |
| 検出 | V7、V9 | 検出は、敵対者がシステムと内部ネットワークに関する知識を得ることを可能にする手法で構成されています。 敵対者が新しいシステムにアクセスした場合、攻撃者は、現在制御できるものと、そのシステムから動作することが侵入中に現在の目的または全体的な目標にどのようなメリットをもたらすかに向ける必要があります。 オペレーティング システムには、この侵害後の情報収集フェーズに役立つ多くのネイティブ ツールが用意されています。 |
| LateralMovement | V7、V9 | 横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成され、リモート システムでのツールの実行を含めることができますが、必ずしも含まれるとは限りません。 横移動手法を使用すると、敵対者は、リモート アクセス ツールなどの追加のツールを必要とせずに、システムから情報を収集できます。 敵対者は、ツールのリモート実行、より多くのシステムへのピボット、特定の情報やファイルへのアクセス、より多くの資格情報へのアクセス、効果の発生など、さまざまな目的で横移動を使用できます。 |
| 実行 | V7、V9 | 実行戦術は、ローカルまたはリモート システムで敵対者が制御するコードを実行する手法を表します。 この戦術は、ネットワーク上のリモート システムへのアクセスを拡張するために、横移動と組み合わせてよく使用されます。 |
| コレクション | V7、V9 | 収集は、流出の前にターゲット ネットワークから機密性の高いファイルなどの情報を識別して収集するために使用される手法で構成されます。 このカテゴリでは、敵対者が流出する情報を探す可能性があるシステムまたはネットワーク上の場所についても説明します。 |
| コマンドとコントロール | V7、V9 | コマンドとコントロールの戦術は、敵対者がターゲット ネットワーク内で制御下にあるシステムと通信する方法を表します。 |
| 流出 | V7、V9 | 流出とは、敵対者がターゲット ネットワークからファイルや情報を削除する場合に役立つ手法と属性を指します。 このカテゴリでは、敵対者が流出する情報を探す可能性があるシステムまたはネットワーク上の場所についても説明します。 |
| 影響 | V7、V9 | 影響イベントは、主にシステム、サービス、またはネットワークの可用性または整合性を直接削減しようとします。ビジネスまたは運用プロセスに影響を与えるデータの操作を含む。 これは多くの場合、ランサムウェア、改ざん、データ操作などの手法を指します。 |
注
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。