Microsoft Defenderでの自動攻撃の中断

Microsoft Defenderは、数百万の個々のシグナルを関連付けて、アクティブなランサムウェア キャンペーンや環境内の他の高度な攻撃を高い信頼性で特定します。 攻撃の進行中、Defender は、自動攻撃の中断によって攻撃者が使用している侵害された資産を自動的に含めることで、攻撃を中断します。

自動攻撃の中断は、早い段階で横移動を制限し、関連するコストから生産性の低下まで、攻撃の全体的な影響を軽減します。 同時に、セキュリティ運用チームは、資産の調査、修復、およびオンラインへの復帰を完全に制御できます。

この概要では、自動攻撃の中断と、次の手順と関連リソースへのリンクについて説明します。

攻撃の中断は、Microsoft Defender サービスと統合 ID サービスでの対応アクションをサポートします。 このサポートには、Microsoft Entra IDとActive Directoryのアクション、および OktaAWS 統合シナリオのプレビュー サポートが含まれます。

ヒント

この記事では、攻撃の中断のしくみについて説明します。 これらの機能を構成するには、「Microsoft Defenderで攻撃中断機能を構成する」を参照してください。

自動攻撃の中断のしくみ

自動攻撃の中断は、進行中の攻撃を含め、organizationの資産への影響を制限し、セキュリティ チームが攻撃を完全に修復するための時間を増やすように設計されています。 攻撃の中断では、拡張検出と応答 (XDR) 信号を使用し、攻撃全体を評価してインシデント レベルでアクションを実行します。 この機能は、単一の侵害インジケーターに基づく防止やブロックなどの保護方法とは異なります。

多くの XDR およびセキュリティ オーケストレーション、自動化、応答 (SOAR) プラットフォームでは自動応答アクションを作成できますが、自動攻撃の中断は組み込まれており、Microsoftセキュリティ研究者や AI モデルからの分析情報を使用して高度な攻撃を検出して含めます。 自動攻撃の中断では、侵害された資産を特定するために、さまざまなソースからのシグナルが考慮されます。

自動攻撃の中断は、次の 3 つの重要な段階で動作します。

  • Microsoft Defenderの機能を使用して、エンドポイント、ID、電子メールとコラボレーション ツール、SaaS アプリからの分析情報を通じて、多くの異なるソースからの信号を単一の高信頼インシデントに関連付けることができます。
  • 攻撃者によって制御され、攻撃の拡散に使用される資産を識別します。
  • 影響を受ける資産を封じ込めて無効にすることで、関連するMicrosoft Defender製品に対する対応アクションを自動的に実行して、リアルタイムで攻撃を封じ込めます。

この機能により、脅威アクターの早い段階での進行状況を制限し、関連するコストや生産性の損失など、攻撃の全体的な影響を軽減できます。

Defender が自動アクションの信頼度を確立する方法

応答アクションがビジネス運用に影響を与える可能性があるため、システムが自動アクションを実行すると、セキュリティ チームが躊躇する可能性があります。 自動攻撃の中断は、電子メール、ID、アプリケーション、ドキュメント、デバイス、ネットワーク、ファイルからの実際のデータからの高忠実度信号とインシデント レベルの相関関係を使用して、この問題に対処します。

自動攻撃中断に対する信頼度とは、信号対雑音比 (SNR) によって測定される検出器の精度を指します。 包含アクションの場合、Defender は実際の運用データに基づいて 99% 以上の信頼レベルを維持します。 Defender は、機械学習の出力、ワークロード間の相関関係、エキスパート主導のインシデント分類を組み合わせることで、広範なインジケーターセットに対して各検出ヒットを評価し、真陽性と誤検知を分類します。

Defender は、広範なリリースの前に監査モードで検出機能を検証し、厳格な品質要件を満たす検出器のみを段階的にデプロイします。 このプロセスは、アクティブな攻撃の効果的な中断を維持しながら、誤検知を低く保つことを目的としています。 中断検出器は、検出品質と信頼度を維持するために継続的かつ動的に評価されます。

Microsoft のセキュリティ専門家は、中断アクティビティを継続的に確認し、異常を監視し、影響を評価して、長期間にわたって高い検出品質を維持します。

さらに、すべての自動アクションはセキュリティ チームによって元に戻すことができるため、環境を完全に制御できます。 詳細については、「 自動攻撃中断アクションの詳細と結果」を参照してください。

自動的に含めるべきではない重要な資産がある場合は、サポートされているユーザー、デバイス、および IP アドレスの除外を構成できます。 ガイダンスについては、「 自動応答アクションから資産を除外する」を参照してください。

攻撃の中断で AI がどのように使用されるか

攻撃中断 AI は、Microsoft Defender スイート全体で開発された特殊なモデルと検出器のアンサンブルを使用します。 これらの機能は、次のような複数のデータ ソースを使用してトレーニングおよび調整されます。

  • 相関付けられた Defender ワークロード テレメトリ
  • Microsoft 脅威インテリジェンス
  • Microsoft のお客様からの過去のインシデントとインシデント後分析の学習

このプラットフォームでは、グラフ モデル、ブースト デシジョン ツリー、ニューラル ネットワーク、専用の小さな言語モデル (SLM) など、複数の機械学習アプローチを使用して、検出の品質とアクションの精度を向上させます。

モデルと検出器の品質は、1 つの静的リリース ポイントではなく、継続的なエンジニアリングと検証サイクルによって維持されます。 広範なロールアウトの前に、新しい検出機能では、厳密なプレリリース検証と段階的なデプロイが行われます。 継続的な品質は、AI の決定のレビューと、異常な動作に対する 24 時間 365 日の運用応答カバレッジによってサポートされます。

自動応答アクション

包含アクションの場合、エンドポイントのDefenderは、侵害されたエンティティ (ユーザー、IP アドレス、またはデバイス) からの通信を防ぐために、オンボードされているすべてのデバイスに包含ポリシーを適用します。

Action Capability 製品 Description
デバイスを隔離 攻撃の中断 Defender for Endpoint(ディフェンダー フォー エンドポイント) エンドポイントオンボードデバイスのすべてのDefenderにポリシーを適用して、そのデバイスからの通信をブロックすることで、疑わしいデバイスを自動的に格納します。
IPを含む 攻撃の中断 Defender for Endpoint(ディフェンダー フォー エンドポイント) 未検出または未オンボードのデバイスに関連付けられた IP アドレスが含まれます。これは、その IP アドレスからの通信をブロックするポリシーを、Defender for Endpoint にオンボード済みのすべてのデバイスに適用することによって行われます。
デバイスの分離 攻撃の中断 Defender for Endpoint(ディフェンダー フォー エンドポイント) 侵害されたデバイスがアクティブな足掛かりとして識別されると、ネットワークから自動的に分離されます。 デバイスが必要なセキュリティ サービスに接続されている間、ほとんどのネットワーク トラフィックはブロックされます。
ユーザーを無効にする 攻撃の中断 アイデンティティ ディフェンダー ユーザー アカウントを無効にして、以降のサインインとアクセスを防ぎます。
ユーザーを含める 攻撃の中断、予測シールド Defender for Endpoint(ディフェンダー フォー エンドポイント) エンドポイントオンボードデバイスのすべてのDefenderにポリシーを適用して、そのユーザーからの通信をブロックし、横移動とリモート暗号化のリスクを軽減することで、疑わしい ID を一時的に含めます。
ユーザー セッションの取り消し 攻撃の中断 Microsoft Entra ID アクティブなユーザー セッションを取り消してアクセスを中断します。
Entra でユーザーを中断する 攻撃の中断 Microsoft Entra ID Microsoft Entra IDでユーザー アカウントを中断して、それ以上のアクセスを防ぎます。
OAuth アプリの侵害 攻撃の中断 Defender for Cloud Apps(クラウドアプリケーション用ディフェンダー) 侵害された可能性のある OAuth アプリケーションの保護対策を実行します。
セーフブートのセキュリティ強化 予測型シールド Defender for Endpoint(ディフェンダー フォー エンドポイント) 予防的なセキュリティ強化を適用して、セーフ モードの再起動による改ざんの可能性をブロックします。
GPO のセキュリティ強化 予測型シールド Defender for Endpoint(ディフェンダー フォー エンドポイント) 予防的なセキュリティ強化を適用して、グループ ポリシーの悪用の可能性をブロックします。
プロアクティブ ユーザーコンテインメント 予測型シールド Defender for Endpoint(ディフェンダー フォー エンドポイント) インシデントがエスカレートする前に誤用の可能性を防ぐためのユーザー アカウントを事前に含め、予測ロジックによって高リスクと識別されたユーザーに焦点を当てます。
拒否ポリシーを AWS ユーザーにアタッチする 攻撃の中断 Microsoft Sentinel (AWS コネクタ) 拒否ポリシーを侵害された AWS IAM ユーザーまたはフェデレーションロールにアタッチして、アクセス許可を取り消し、AWS リソースへのそれ以上のアクセスをブロックします。
Okta でユーザーを中断する 攻撃の中断 Microsoft Sentinel (Okta コネクタ) 侵害された Okta ユーザー アカウントを中断し、アカウントを一時的に非アクティブ化し、中断が解除されるまでログインとアクティビティをブロックします。

ユーザーに関する考慮事項を含む

ユーザーの包含アクションは、エンドポイント レイヤーでユーザーの包含を強制します。 エンドポイントのDefenderは、すべてのオンボード デバイスに包含ポリシーを適用して、侵害されたユーザーからの通信をブロックし、認証ベースのアクセス、ファイル システム アクセス、およびネットワーク通信パスを制限します。

注:

包含ユーザー アクションは、攻撃の中断と予測シールドの両方で使用されますが、各コンテキストで異なる方法で適用されます。 予測シールドでは、包含ユーザー アクションは、予測ロジックによって高リスクとして識別されたユーザーに焦点を当てて、より選択的に制限を適用します。 既存のセッションを終了するのではなく、新しいセッションを防ぎます。

ユーザーに関する考慮事項を無効にする

  • ユーザー アカウントが Active Directory でホストされている場合: Defender for Identity は、Defender for Identity センサーを実行しているドメイン コントローラーでユーザーの無効化アクションをトリガーします。
  • ユーザー アカウントが Active Directory でホストされ、Microsoft Entra IDに同期されている場合: Defender for Identity は、オンボードされたドメイン コントローラーを介してユーザーの無効化アクションをトリガーします。 攻撃の中断により、Microsoft Entra IDのユーザー アカウントも無効になります。
  • ユーザー アカウントが Microsoft Entra ID のみ (クラウドネイティブ アカウント) でホストされている場合: Defender for Identity は、Microsoft が管理するエンタープライズ アプリケーションを使用して、Microsoft Entra IDでユーザーの無効化アクションを実行します。 このアプリケーションは、アカウントが無効になる前に、ロールベースのアクセス制御 (RBAC) を使用して、サインインしているユーザーの割り当てられたロールとアクセス許可を検証します。

ユーザーの無効化アクションは、横移動、悪意のあるメールボックスの使用、マルウェアの実行などの追加の損害を防ぐために、侵害されたアカウントの自動中断です。

Defender for Identity を使用すると、Active Directory、Microsoft Entra ID、統合 ID プロバイダーのユーザーに対して修復アクションを実行できます。 ユーザーの無効化アクションの動作は、環境内でのユーザーのホスト方法によって異なります。

  • ユーザー アカウントが Active Directory でホストされている場合: Defender for Identity は、Defender for Identity センサーを実行しているドメイン コントローラーでユーザーの無効化アクションをトリガーします。
  • ユーザー アカウントが Active Directory でホストされ、Microsoft Entra IDに同期されている場合: Defender for Identity は、オンボードされたドメイン コントローラーを介してユーザーの無効化アクションをトリガーします。 攻撃の中断により、Microsoft Entra IDのユーザー アカウントも無効になります。
  • ユーザー アカウントが Microsoft Entra ID のみ (クラウドネイティブ アカウント) でホストされている場合: Defender for Identity は、Microsoft が管理するエンタープライズ アプリケーションを使用して、Microsoft Entra IDでユーザーの無効化アクションを実行します。 このアプリケーションは、アカウントが無効になる前に、ロールベースのアクセス制御 (RBAC) を使用して、サインインしているユーザーの割り当てられたロールとアクセス許可を検証します。

エンタープライズ アプリケーションは Microsoft Defender for Identity という名前で、アプリケーション ID 60ca1954‑583c‑4d1f‑86de‑39d835f3e452を使用します。 古いテナントでは、このアプリケーションは Radius Aad Syncerとして表示される場合があります。

注:

Microsoft Entra IDでユーザー アカウントを無効にすることは、Microsoft Defender for Identityのデプロイに依存しません。

中断アクションでサポートされている ID サービス

次の表を使用して、サポートされている各 ID サービスが構成されている場所を確認します。

ID サービス Availability 構成とセットアップ
Microsoft Entra IDとActive Directory 一般公開 Microsoft Defenderで自動攻撃の中断を構成する
Okta Preview Microsoft Sentinelを使用して Okta で攻撃中断アクションを有効にする
AWS IAM Preview Microsoft Sentinelを使用して AWS で攻撃中断アクションを有効にする

環境内で攻撃の中断が発生したタイミングを特定する

Microsoft Defender インシデント ページには、攻撃ストーリーを介した自動攻撃中断アクションと、黄色のバーで示される状態が反映されます (図 1)。 インシデントには専用の中断タグが表示され、インシデント グラフに含まれる資産の状態が強調表示され、アクション センターにアクションが追加されます。

Microsoft Defender ポータルでインシデントを選択 する図 1。自動攻撃の中断がアクションを実行した黄色のバーを示すインシデント ビュー

Microsoft Defenderユーザー エクスペリエンスには、これらの自動アクションを確実に表示するための視覚的な手掛かりが含まれています。 次のエクスペリエンスで見つけることができます。

  1. インシデント キューで次の手順を実行します。

    • [ 攻撃の中断 ] というタイトルのタグが、影響を受けるインシデントの横に表示されます
  2. インシデント ページで、次の手順を実行します。

    • 攻撃の中断」というタイトルのタグ
    • ページの上部にある黄色のバナー。自動アクションが強調表示されています
    • 現在の資産の状態は、アカウントが無効になっている場合や、含まれているデバイスなど、資産に対してアクションが実行された場合にインシデント グラフに表示されます
    • [アクティビティ] タブの [ポリシーの状態] 列 (プレビュー) には、インシデントに関連するすべてのアクションとポリシーの現在の状態が表示されます。 プロバイダーによるフィルター : 攻撃の中断ポリシーの状態: 中断ポリシーの状態を表示するためのアクティブ、非アクティブ、状態なし
  3. API 経由:

    (攻撃の中断) 文字列は、自動的に中断される可能性が高い信頼性の高いインシデントのタイトルの末尾に追加されます。 例:

    侵害されたアカウントから開始された BEC 金融詐欺攻撃 (攻撃の中断)

詳細については、「 攻撃の中断の詳細と結果を表示する」を参照してください。

次の手順

ヒント

さらに詳しく知りたいですか? Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。