Microsoft Defenderの [ID エンティティ] ページ

Microsoft Defenderでは、ID はorganization内の人物またはエンティティを表します。 多くの場合、ユーザーは、オンプレミスの Active Directory、Microsoft Entra ID、SaaS アプリケーション、その他の IDP などのプロバイダー間で複数のアカウントを持っています。 Defender は、これらのアカウントを 1 つの ID に関連付ける。

各 ID にはプライマリ アカウントがあります。 複数のアカウントが ID に関連付けられている場合、Microsoft Defenderは 1 つのアカウントをプライマリとして指定し、ID レベルのプロファイルの詳細に使用します。

[ID] ページには、リンクされたアカウント間の ID の詳細、監視されたアクティビティ、アラート、公開が統合されているため、セキュリティ チームはリスクをすばやく評価し、侵害の可能性を判断し、環境全体の ID のアクセスを理解し、修復アクションで対応できます。 [ID] ページを開くには、Microsoft Defender ポータルの複数の領域から ID を選択します。

• ID インベントリ
• アラート キュー
• 個々のアラート ページ
• インシデントまたはデバイス
• 高度なハンティング結果
• アクティビティ ログ
• アクション センター

[ID] ページは、上部のセクションと一連のタブに編成されています。 上部のセクションには、組織の情報やタグなどの ID コンテキストが表示され、[ アクション] メニューが含まれています。 タブを使用して、概要の詳細、関連するアラート、およびより詳細な調査ビューを確認します。

• 組織情報: ID の役職、部署など。
• アカウント タグ: ID に関連付けられている Active Directory タグ

[ID] ページには、次のタブがあります。

• 概要
• インシデントと警告
• organizationで観察
• タイムライン
• セキュリティに関する推奨事項
• 攻撃パス
• ポリシー
• Microsoft Sentinel イベント (Microsoft Sentinel のお客様向け)

ID アクション

[ 概要 ] ページで、[ アクション] メニューを使用して 修復アクションをトリガーします。 使用可能なアクションは次のとおりです。

• Microsoft Entra IDでユーザーを有効、無効、または一時停止する
• ユーザーにもう一度サインインするか、パスワードのリセットを強制する必要がある
• アカウントMicrosoft Entra設定、関連するガバナンス、ユーザー所有のファイル、または共有ファイルを表示する

[概要] タブ

[概要] タブには、アナリストがリスクをすばやく評価し、より深い調査が必要かどうかを判断するのに役立つ高度なスナップショットが用意されています。

[概要] タブには、次のセクションが含まれています。

• エンティティの詳細
• インシデントと警告
• 関連付けられている対話型ログオン デバイス

エンティティの詳細

[エンティティの詳細] パネルには、次のような主要な ID 情報と調査シグナルが要約されています。

• Microsoft Entra ID属性と連絡先情報
• 保護とユーザーの脅威の兆候
• 最初に表示されたタイムスタンプと最後に表示されたタイムスタンプ
• ID がサインインしたデバイスの数
• リンクされたユーザー アカウント、デバイス、およびグループ メンバーシップ
• 重大度別にグループ化された関連アラートとインシデント

その他の詳細は、有効なサービスと機能に応じて表示されます。 例:

• Microsoft Defender for Identityがある環境では、次の情報を確認できます。
  • Active Directory アカウント制御フラグ (パスワードの有効期限切れなし、アカウント ロック状態など)
  • レポート階層内の ID の位置を示すorganization ツリー。
• (プレビュー)Microsoft Purview インサイダー リスク管理環境では、ユーザーのインサイダー リスクの重大度を確認し、ユーザー ページでユーザーの疑わしいアクティビティに関する分析情報を得ることができます。 インサイダー リスクの重大度を選択して、ユーザーに関するリスク分析情報を表示します。
• (プレビュー)ユーザーとエンティティの動作分析 (UEBA) をMicrosoft Sentinel環境では、次の情報を確認できます。
  • 過去 30 日間のユーザーの上位 3 つの UEBA 異常。
  • 事前構築された高度なハンティング クエリを起動し、[Microsoft Sentinel イベント] タブでユーザーに関連するすべての異常な動作を表示するためのリンク。

[インシデントとアラート] タブ

[ インシデントとアラート ] タブには、サポートされている保持期間内に ID に関連するすべてのアラートとインシデントが一覧表示されます。 特定のアイテムの詳細な説明については、インシデント ページまたはアラート ページを参照してください。

[organization] タブで確認

[Organizationで観察] タブには、環境全体で ID が表示される場所と方法が表示され、アナリストは爆発半径と潜在的な横移動を理解するのに役立ちます。

このタブには、次のものが含まれます。

プライマリ アカウント

各 ID には、異なる ID プロバイダーの複数の関連アカウントを含めることができます。 Microsoft Defenderは、1 つのアカウントをプライマリ アカウントとして識別し、そのアカウントのプロファイル値を表示名や役職などの ID レベルのフィールドに使用します。

Microsoft Defenderでは、内部相関ロジックを使用してプライマリ アカウントを決定します。

[タイムライン] タブ

[タイムライン] タブには、MICROSOFT DEFENDER FOR IDENTITY、Microsoft Defender for Endpoint、など、統合された Microsoft セキュリティ製品から集計された ID 関連のアクティビティとアラートの時系列ビューが表示されます。Microsoft Defender for Cloud Apps、およびMicrosoft Sentinel。

タイムラインは、アクティビティのシーケンスを再構築し、調査中にイベントを関連付けるのに役立ちます。

タイムラインに表示されるアクティビティの種類

タイムラインでは、次のデータ型を使用できます。

• ユーザーの影響を受けるアラート
• Active Directory アクティビティとMicrosoft Entra アクティビティ
• クラウド アプリ イベント
• デバイス ログオン イベント
• ディレクトリ サービスの変更

タイムラインの各アクティビティに表示される情報

タイムラインには、次の情報が表示されます。

• アクティビティの日付と時刻
• アクティビティ/アラートの説明
• アクティビティを実行したアプリケーション
• ソース デバイス/IP アドレス
• MITRE ATT&CK 手法
• アラートの重大度と状態
• クライアント IP アドレスが地理的に割り当てられた国/地域
• 通信中に使用されるプロトコル
• ターゲット デバイス (オプション、列をカスタマイズして表示可能)
• アクティビティが発生した回数 (オプション、列をカスタマイズして表示可能)

タイムラインの操作

• カスタム時間範囲ピッカー: 過去 24 時間、過去 3 日間などの調査に焦点を当てる期間を選択します。 または、[ カスタム範囲] を選択して特定の期間を選択します。 30 日より前のフィルター処理されたデータは、7 日間の間隔で表示されます。

• タイムライン フィルター:タイムライン フィルターを使用して、種類 (アラートやユーザーの関連アクティビティ)、アラートの重大度、アクティビティの種類、アプリ、場所、またはプロトコルで結果を絞り込みます。 各フィルターは他のフィルターによって異なり、各フィルターのオプションには特定のユーザーに関連するデータのみが含まれます。

• カスタマイズされた列:[列のカスタマイズ] ボタンを選択して、タイムラインで公開する列を選択します。

• エクスポート：タイムラインを CSV ファイルにエクスポートします。 エクスポートは最初の 5,000 レコードに制限され、UI に表示されるデータ (同じフィルターと列) が含まれます。

[セキュリティに関する推奨事項] タブ

[ セキュリティの推奨事項 ] タブには、ID セキュリティ体制管理 (ISPM) で識別された ID 関連のポスチャ評価が表示されます。 これらの推奨事項では、ID のアカウント全体の構成ミスや危険な設定が強調表示され、推奨事項を選択すると、修復ガイダンスの Microsoft セキュア スコア の詳細が開きます。

[攻撃パス] タブ

[ 攻撃パス ] タブでは、ID を含む潜在的な横移動パスを視覚化したり、そのパスにつながる可能性があります。 これらの分析情報は、セキュリティ チームが悪用可能な関係を理解し、ID ベースの攻撃対象領域を減らすのに役立ちます。

[ポリシー] タブ

[ ポリシー] タブには、ID に関連する ID 関連のセキュリティ ポリシーが、その属性、ロール、および監視されるアクティビティに基づいて表示されます。

このビューでは、ID に適用されるポリシーと、それらがアクセスまたはリスク評価にどのように影響するかを示すことで、調査コンテキストを提供します。 ポリシーは他の場所で管理されます。このタブは、アナリストがポリシーの適用をサインイン、アラート、調査結果と関連付けるのに役立ちます。

[Microsoft Sentinel イベント] タブ

Microsoft Sentinelが Defender ポータルに接続されている場合、このタブには ID のSentinel タイムラインが表示されます。 タイムラインには、ID に関連付けられたアラートが含まれます。これには、[インシデントとアラート] タブにもアラートが表示され、Microsoft Sentinelによって作成されたアラートも含まれます。 また、ID、外部データ ソースからのアクティビティ イベント、Microsoft Sentinel異常ルールによって識別される異常な動作を参照するブックマークされたハントも表示されます。

分析情報

[分析情報] セクションには、アナリストがより効率的に ID を調査できるように Microsoft セキュリティ研究者によって定義された調査クエリであるエンティティ分析情報が表示されます。 これらの分析情報は、サインイン アクティビティ、グループの変更、異常な動作などの主要なセキュリティ信号を自動的に強調表示し、結果をテーブルやグラフとして表示します。 分析情報は、Microsoft Sentinelと、Microsoft Entra ID ログや有効な場合は UEBA Microsoft Sentinelなど、接続されているデータ ソースによって利用されます。

分析情報の種類

次に示す分析情報の一部を示します。

• セキュリティ グループ メンバーシップに基づくユーザー ピア
• アカウント別のアクション
• アカウントに対するアクション
• ユーザーがクリアしたイベント ログ
• グループの追加
• 異常に高いオフィス操作数
• リソース アクセス
• 異常に高いAzureサインイン結果の数
• UEBA 分析情報
• Azure サブスクリプションに対するユーザー アクセス許可
• ユーザーに関連する脅威インジケーター
• ウォッチリストの分析情報 (プレビュー)
• Windows サインイン アクティビティ

分析情報のデータ ソース

分析情報は、次のデータ ソースに基づいています。

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (UEBA Microsoft Sentinel)
• ハートビート (Azure モニター エージェント)
• CommonSecurityLog (Microsoft Sentinel)

高度なハンティングの分析情報を調べる

分析情報をさらに調べるには、分析情報に付随するリンクを選択します。 リンクは、分析情報とその生の結果の基になるクエリを含む [高度なハンティング ] ページを開きます。 クエリを変更したり、結果をドリルダウンして調査を拡張したりできます。

次の手順

• Microsoft Defenderのインシデントを調査する
• Microsoft Defenderでアラートを調査する