Microsoft Entra ID Protection は、組織内の疑わしいアクティビティを識別するために使用できる、幅広いリスク検出を提供できます。 この記事に含まれる表は、ライセンス要件を含むサインインとユーザー リスク検出の一覧、または検出がリアルタイムまたはオフラインで行われるかどうかをまとめたものです。 各リスク検出の詳細については、次の表を参照してください。
- ほとんどのリスク検出の詳細については、Microsoft Entra ID P2 が必要です。
- Microsoft Entra ID P2 ライセンスを持たないお客様は、リスク検出の詳細なしで 検出された追加のリスク というタイトルの検出を受け取ります。
- 詳細については、 License requirements ライセンスの要件 を参照してください。
- ワークロード ID リスク検出の詳細については、「 ワークロード ID のセキュリティ保護」を参照してください。
Note
リアルタイムとオフラインの検出とリスク レベルの詳細については、「 リスク検出の種類とレベル」を参照してください。
riskEventType にマップされたサインイン リスク検出
一覧からリスク検出を選択して、リスク検出の説明、動作方法、およびライセンス要件を表示します。 この表では、 Premium は検出に少なくとも Microsoft Entra ID P2 ライセンスが必要であることを示しています。
Nonpremium は、検出が Microsoft Entra ID Free で使用可能であることを示します。
riskEventType列は、Microsoft Graph API クエリに表示される値を示します。
| サインイン リスク検出 | 検出の種類 | タイプ | riskEventType |
|---|---|---|---|
| 匿名 IP アドレスからのアクティビティ | Offline | Premium | riskyIPAddress |
| 検出された追加のリスク (サインイン) | リアルタイムまたはオフライン | Nonpremium | ジェネリック^ |
| ユーザーに対する管理者確認済みのセキュリティ侵害 | Offline | Nonpremium | adminConfirmedUserCompromised |
| 異常なトークン (サインイン) | リアルタイムまたはオフライン | Premium | anomalousToken |
| 匿名 IP アドレス | Real-time | Nonpremium | anonymizedIPAddress |
| 非定型旅行 | Offline | Premium | unlikelyTravel |
| 不可能な移動 | Offline | Premium | mcasImpossibleTravel |
| 悪意のある IP アドレス | Offline | Premium | maliciousIPAddress |
| 機密ファイルへの大量アクセス | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra の脅威インテリジェンス (サインイン) | リアルタイムまたはオフライン | Nonpremium | investigationsThreatIntelligence |
| 新しい国 | Offline | Premium | newCountry |
| パスワード スプレー | リアルタイムまたはオフライン | Premium | passwordSpray |
| 疑わしいブラウザー | Offline | Premium | suspiciousBrowser |
| 受信トレイからの疑わしい転送 | Offline | Premium | suspiciousInboxForwarding |
| 受信トレイに対する疑わしい操作ルール | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| トークン発行者の異常 | Offline | Premium | tokenIssuerAnomaly |
| 見慣れないサインイン プロパティ | Real-time | Premium | unfamiliarFeatures |
| 検証済み脅威アクター IP | Real-time | Premium | nationStateIP |
^ 追加のリスク検出 の riskEventType は、Microsoft Entra ID Free または Microsoft Entra ID P1 を持つテナントの 汎用 です。 危険なものが検出されましたが、Microsoft Entra ID P2 ライセンスがないと詳細は利用できません。
riskEventType にマップされたユーザー リスク検出
一覧からリスク検出を選択して、リスク検出の説明、動作方法、およびライセンス要件を表示します。
| ユーザー リスク検出 | 検出の種類 | タイプ | riskEventType |
|---|---|---|---|
| 検出された追加のリスク (ユーザー) | リアルタイムまたはオフライン | Nonpremium | ジェネリック^ |
| 異常なトークン (ユーザー) | リアルタイムまたはオフライン | Premium | anomalousToken |
| 異常なユーザー アクティビティ | Offline | Premium | anomalousUserActivity |
| 中間攻撃者 | Offline | Premium | attackerinTheMiddle |
| 漏洩した資格情報 | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra の脅威インテリジェンス (ユーザー) | リアルタイムまたはオフライン | Nonpremium | investigationsThreatIntelligence |
| プライマリ更新トークン (PRT) へのアクセス試行の可能性 | Offline | Premium | attemptedPrtAccess |
| 不審な API トラフィック | Offline | Premium | suspiciousAPITraffic |
| 疑わしい送信パターン | Offline | Premium | suspiciousSendingPatterns |
| ユーザーから報告された疑わしいアクティビティ | Offline | Premium | userReportedSuspiciousActivity |
^ 追加のリスク検出 の riskEventType は、Microsoft Entra ID Free または Microsoft Entra ID P1 を持つテナントの 汎用 です。 危険なものが検出されましたが、Microsoft Entra ID P2 ライセンスがないと詳細は利用できません。
サインイン リスク検出
匿名 IP アドレスからのアクティビティ
この検出は、 Microsoft Defender for Cloud Appsによって提供される情報を使用して検出されます。 この検出は、匿名プロキシ IP アドレスとして識別された IP アドレスからユーザーがアクティブであったかどうかを識別します。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
検出された追加のリスク (サインイン)
この検出は、Premium 検出のいずれかがトリガーされたことを示します。 Premium 検出は Microsoft Entra ID P2 のお客様にのみ表示されるため、Microsoft Entra ID P2 ライセンスを持たないユーザーに対して 検出された追加のリスク としてラベル付けされます。
- リアルタイムまたはオフラインで計算
- ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1
ユーザーに対する管理者確認済みのセキュリティ侵害
この検出は、管理者が危険なユーザー UI で、または riskyUsers API を使用して、 ユーザーに対するセキュリティ侵害を確認する を選択したことを示します。 このユーザーに対するセキュリティ侵害を確認した管理者を調べるには、ユーザーのリスク履歴を (UI または API 経由で) 確認します。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1
異常なトークン (サインイン)
これが検出されたことは、通常とは異なる有効期間や、見慣れない場所からのトークンなど、トークンに異常な特性があることを示しています。 この検出では、"セッション トークン" と "更新トークン" が対象となります。ユーザーの場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が予期しない場合、管理者はこのリスクを潜在的なトークンリプレイのインジケーターと見なす必要があります。
異常なトークンは、従来、他の検出よりも多くのノイズが発生するように調整されていました。 最近の検出の改善により、ノイズが減少しました。ただし、この検出によってフラグ付けされた一部のセッションが低および中リスク レベルで誤検知である可能性は、通常よりも高いままです。
- リアルタイムまたはオフラインで計算
- ライセンス要件: Microsoft Entra ID P2
- 異常なトークンの検出の調査に関するヒント。
匿名 IP アドレス
このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにサインイン情報 (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。
- リアルタイムで計算
- ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1
通常とは異なる移動
このリスク検出の種類では、地理的に離れた場所で行われた 2 つのサインインを識別します。少なくとも 1 つの場所は、ユーザーの過去の行動から考えて、ユーザーの通常とは異なる可能性のある場所でもあります。 このアルゴリズムでは、2 回のサインインの間隔や、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間など、複数の要因が考慮に入れられます。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している可能性があります。
このアルゴリズムは、組織内の他のユーザーによって普通に使用される VPN や場所など、不可能な移動状況の原因になる明らかな "誤検知" を無視します。 システムには、最短で 14 日間または 10 回のログインの初期学習期間があり、その間に新しいユーザーのサインイン行動が学習されます。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID P2
- 通常とは異なる移動の検出の調査に関するヒント。
あり得ない移動
この検出は、 Microsoft Defender for Cloud Appsによって提供される情報を使用して検出されます。 この検出では、地理的に離れている場所で、最初の場所から 2 番目の場所に移動するのに要する時間より短い時間内に発生した (単一または複数のセッションでの) ユーザー アクティビティを特定します。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している可能性があります。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
悪意のある IP アドレス
この検出は、悪意のある IP アドレスからのサインインを示します。 IP アドレスは、その IPアドレスまたはその他の IP 評価ソースから受信した無効な資格情報によるエラー率の高さに基づいて、悪意があるとみなされます。 場合によっては、この検出は以前の悪意のあるアクティビティでトリガーされます。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID P2
- 悪意のある IP アドレスの検出の調査に関するヒント。
機密ファイルへの大量アクセス
この検出は、 Microsoft Defender for Cloud Appsによって提供される情報を使用して検出されます。 この検出は、ユーザーが Microsoft SharePoint オンラインまたは Microsoft OneDrive から複数のファイルにアクセスするときに、環境を調べて、アラートをトリガーします。 アラートがトリガーされるのは、アクセスされるファイルの数がこのユーザーにとって普通のことではなく、ファイルに機密情報が含まれている可能性がある場合のみです。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
Microsoft Entra の脅威インテリジェンス (サインイン)
Microsoft Entra 脅威インテリジェンスは、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致するユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。 これらの検出は、ログと ID 保護レポートに "Microsoft Entra 脅威インテリジェンス" として表示されます。
- リアルタイムまたはオフラインで計算
- ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1
- Microsoft Entra 脅威インテリジェンスの検出の調査に関するヒント。
初めての国
この検出は、 Microsoft Defender for Cloud Appsによって提供される情報を使用して検出されます。 この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。 異常検出エンジンにより、組織内のユーザーが以前に使用したことのある場所に関する情報が格納されます。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
パスワード スプレー
パスワード スプレー攻撃では、一般的なパスワードを使用して統一されたブルート フォース方式で複数の ID が攻撃されます。 リスク検出は、アカウントのパスワードが有効であり、サインインが試行されたときにトリガーされます。 この検出は、ユーザーのパスワードがパスワード スプレー攻撃によって正しく識別されたことを示します。攻撃者がリソースにアクセスできなかったというわけではありません。
- リアルタイムまたはオフラインで計算
- ライセンス要件: Microsoft Entra ID P2
- パスワード スプレーの検出を調査するためのヒント。
疑わしいブラウザー
疑わしいブラウザー検出は、同じブラウザー内の異なる国/地域の複数のテナントにわたる疑わしいサインイン アクティビティに基づく異常な動作を示します。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID P2
- 疑わしいブラウザーの検出の調査に関するヒント。
受信トレイからの疑わしい転送
この検出は、 Microsoft Defender for Cloud Appsによって提供される情報を使用して検出されます。 この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイ ルールを作成した場合などの疑わしいメール転送ルールを探します。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
受信トレイに対する疑わしい操作ルール
この検出は、 Microsoft Defender for Cloud Appsによって提供される情報を使用して検出されます。 ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合、この検出によって環境が調べられ、アラートがトリガーされます。 この検出は、ユーザー アカウントが侵害されていること、メッセージが意図的に非表示にされていること、組織内でスパムまたはマルウェアを配信するためにメールボックスが使用されていることを示している可能性があります。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
トークン発行者の異常
このリスクの検出は、関連する SAML トークンの SAML トークン発行者が侵害された恐れがあることを意味しています。 トークンに含まれるクレームが、通常とは異なるか、既知の攻撃者パターンと一致しています。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID P2
- トークン発行者の異常検出の調査に関するヒント。
見慣れないサインイン プロパティ
このリスク検出の種類では、過去のサインイン履歴を考慮して異常なサインインを探します。システムによって、以前のサインインに関する情報が保存され、そのユーザーになじみのないプロパティでサインインが発生したときにリスク検出がトリガーされます。 これらのプロパティには、IP、ASN、場所、デバイス、ブラウザー、テナント IP サブネットが含まれます。 新しく作成されたユーザーは、"学習モード" 期間に置かれ、そのユーザーの行動がアルゴリズムによって学習される間、見慣れないサインイン プロパティのリスク検出は停止されます。 学習モードの期間は動的であり、ユーザーのサインイン パターンに関する十分な情報をアルゴリズムが収集するためにかかる時間によって決まります。 最小期間は 5 日です。 無活動状態が長期間続いた場合、ユーザーは学習モードに戻る可能性があります。
この検出は、基本認証 (または従来のプロトコル) に対しても実行されます。 これらのプロトコルには、クライアント ID などの最新のプロパティがないため、誤検知を減らすためのデータが限られています。 お客様には、最新の認証に移行することをお勧めしています。
通常とは異なるサインイン プロパティは、対話型サインインと非対話型サインインの両方で検出できます。この検出が非対話型サインインで行われた場合、トークン リプレイ攻撃のリスクがあるため精査を増やす必要があります。
見慣れないサインイン プロパティのリスクを選択すると、このリスクがトリガーされた理由の詳細を示す情報を表示できます。
- リアルタイムで計算
- ライセンス要件: Microsoft Entra ID P2
検証済み脅威アクター IP
リアルタイムで計算されます。 この種類のリスク検出では、Microsoft Threat Intelligence Center (MSTIC) のデータに基づいて、国家的なアクターまたはサイバー犯罪グループに関連付けられている既知の IP アドレスと一致するサインイン アクティビティが示されます。
- リアルタイムで計算
- ライセンス要件: Microsoft Entra ID P2
ユーザー リスク検出
検出された追加のリスク (ユーザー)
この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Microsoft Entra ID Premium P2 の顧客にのみ表示されるため、Microsoft Entra ID P2 ライセンスを持っていない顧客には 検出された追加のリスク というタイトルが付けられます。
- リアルタイムまたはオフラインで計算
- ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1
異常なトークン (ユーザー)
これが検出されたことは、通常とは異なる有効期間や、見慣れない場所からのトークンなど、トークンに異常な特性があることを示しています。 この検出では、"セッション トークン" と "更新トークン" が対象となります。ユーザーの場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が予期しない場合、管理者はこのリスクを潜在的なトークンリプレイのインジケーターと見なす必要があります。
異常なトークンは、従来、他の検出よりも多くのノイズが発生するように調整されていました。 最近の検出の改善により、ノイズが減少しました。ただし、この検出によってフラグ付けされた一部のセッションが低および中リスク レベルで誤検知である可能性は、通常よりも高いままです。
- リアルタイムまたはオフラインで計算
- ライセンス要件: Microsoft Entra ID P2
- 異常なトークンの検出の調査に関するヒント。
異常なユーザー アクティビティ
このリスク検出では、Microsoft Entra ID での通常の管理ユーザーの動作がベースライン化され、ディレクトリに対する疑わしい変更などの異常な動作パターンが検出されます。 検出は、変更を行った管理者または変更されたオブジェクトに対してトリガーされます。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID P2
中間攻撃者
中間の敵対者とも呼ばれるこの高精度検出は、認証セッションが悪意のあるリバース プロキシにリンクされたときにトリガーされます。 この種の攻撃では、敵対者はユーザーに発行されたトークンを含むユーザーの資格情報をインターセプトできます。 Microsoft Security Research チームは、Microsoft 365 Defender for Office を使用して特定されたリスクをキャプチャし、ユーザーを 高 リスクに引き上げます。 管理者は、この検出がトリガーされたときにユーザーを手動で調査し、リスクを確実にクリアすることをお勧めします。 このリスクをクリアするには、セキュリティで保護されたパスワードのリセットや既存のセッションの取り消しが必要になる可能性があります。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
漏洩した資格情報
このリスク検出の種類は、ユーザーの有効な資格情報が漏洩したことを示します。 サイバー犯罪者は、正規のユーザーの有効なパスワードを侵害した場合、それら収集した資格情報を共有することがよくあります。 この共有は、一般に、闇サイトや貼り付けサイトに公開したり、資格情報を闇市場で取引したり販売したりすることで行われます。 Microsoft の漏洩した資格情報サービスで、ダーク ウェブ、貼り付けサイト、またはその他のソースからユーザー資格情報が取得された場合は、有効な一致を見つけるために Microsoft Entra ユーザーの現在の有効な資格情報に対してチェックされます。 漏洩した資格情報の詳細については、FAQ を参照 してください。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1
- 漏洩した資格情報の検出の調査に関するヒント。
Microsoft Entra の脅威インテリジェンス (ユーザー)
このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID Free または Microsoft Entra ID P1
- Microsoft Entra 脅威インテリジェンスの検出の調査に関するヒント。
プライマリ更新トークン (PRT) へのアクセス試行の可能性
このリスク検出の種類は、Microsoft Defender for Endpoint (MDE) によって提供される情報を使用して検出されます。 プライマリ更新トークン (PRT) は、Windows 10、Windows Server 2016 以降のバージョン、iOS、および Android デバイスでの Microsoft Entra 認証のキー アーティファクトです。 PRT とは、これらのデバイスで使用されるアプリケーション間でシングル サインオン (SSO) を有効にするために、マイクロソフトのファースト パーティ トークン ブローカーに発行される JSON Web トークン (JWT) です。 攻撃者は、このリソースにアクセスして、組織への侵入や資格情報の盗難を試みる可能性があります。 これが検出されると、ユーザーは高リスクに移行されます。これは MDE をデプロイしている組織でのみ実行されます。 この検出は高リスクであるため、これらのユーザーを速やかに修復することをお勧めします。 ボリュームが小さいため、ほとんどの組織ではあまり現れません。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
不審な API トラフィック
このリスク検出は、異常な GraphAPI トラフィックまたはディレクトリの列挙が観察されたときに報告されます。 不審な API トラフィックは、ユーザーが侵害され、環境内で偵察を行っていることを示している可能性があります。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID P2
疑わしい送信パターン
このリスク検出の種類は、 Microsoft Defender for Office 365 (MDO)によって提供される情報を使用して検出されます。 このアラートは、組織内の誰かが疑わしい電子メールを送信し、電子メールの送信にリスクがあるか、または制限されている場合に生成されます。 この検出により、ユーザーは中程度のリスクに移行します。これは、MDO をデプロイした組織でのみ発生します。 この検出は少なく、ほとんどの組織ではあまり見られません。
- オフラインで計算される
- ライセンス要件:
- Microsoft Entra ID P2 と Microsoft Defender for Cloud Apps のスタンドアロン ライセンス
- Microsoft 365 E5 と Enterprise Mobility + Security E5
ユーザーからの疑わしいアクティビティの報告
このリスク検出は、ユーザーが多要素認証 (MFA) のプロンプトを拒否し、それを疑わしいアクティビティと報告した場合に報告されます。 ユーザーによって開始されていない MFA プロンプトは、資格情報が侵害されていることを意味する可能性があります。
- オフラインで計算される
- ライセンス要件: Microsoft Entra ID P2