ThreatSync+ ユーザー

適用対象: ThreatSync+ SaaS 

ThreatSync+ UI のユーザー ページには、Microsoft 365 におけるユーザー アクティビティと脅威検出に関する詳細が表示されます。このページの情報を使用して、異常な Microsoft 365 ユーザー アクティビティやログイン履歴に関する詳細情報を確認すること、および特定のユーザーに対して有効化および無効化アクションを実行することができます。

ユーザー ページを活用することで、ThreatSync+ SaaS で検出されたアクティビティに基づき、潜在的リスクを表す脅威スコアが最も高い組織のユーザーを判断することができます。

このページは、ThreatSync+ SaaS ライセンスが割り当てられている場合に限り使用することができます。詳細については、次を参照してください:ThreatSync+ SaaS ライセンスについて

ユーザー ページを開くには、ThreatSync+ UI で以下の手順を実行します。

  • 監視 > ThreatSync+ > ユーザー の順に選択します。
    ユーザー ページが開き、表にユーザーのリストが表示されます。

Screenshot of Users page in ThreatSync+ with a SaaS license

ユーザーの詳細ページ

特定のユーザー アクティビティの詳細を表示するには、ユーザーをクリックして、ユーザーの詳細ページを開きます。

Screenshot of the Users Details page in ThreatSync+ available with a SaaS license

選択した期間内にポリシー アラートがない場合は、ユーザーの詳細を使用することができません。

ユーザーの詳細ページには、選択されているユーザーのログイン履歴、ユーザー履歴、修正ステータスに関する情報が表示されます。この情報には、Microsoft 365 ユーザーに関連付けられているユーザー ID および現時点のユーザー脅威スコアが含まれます。ユーザー脅威スコアは、Microsoft 365 経由でサイバー攻撃に曝される可能性の度合いを表す指標です。

ユーザーに対してアクションを実行する

Microsoft 365 用 ThreatSync+ SaaS には、手動と自動の両方の修正アクションが含まれています。

開始する前に

修正アクションを実行するには、Microsoft 365 SaaS 統合で修正を有効化する必要があります。既存の Microsoft 365 SaaS 統合の修正を有効化すること、また新規 SaaS 統合を追加する際に修正を有効化することができます。

Screenshot of the Edit page for an existing Microsoft 365 SaaS integration

既存の SaaS 統合のユーザー修正を有効化するには、以下の手順を実行します。

  1. 構成 > ThreatSync+ 統合 > SaaS 統合 の順に選択します。
    SaaS 統合ページが開きます。
  2. 編集する SaaS 統合の名前をクリックします。
    SaaS 統合を編集する ページが開きます。
  3. Microsoft 365 ユーザーを無効化または有効化する機能を有効化するには、修正を有効化する を選択します。

既存の Microsoft 365 との SaaS 統合の修正を有効化または無効化する場合は、統合を再アクティブ化して、統合に関する同意を再度提供する必要があります。

  1. 保存 をクリックします。

新規 SaaS 統合の修正を有効化する方法については、次を参照してください:SaaS 統合を作成する

ユーザーに対して手動または自動のアクションを実行する

ユーザー ページで、以下の手動アクションを実行することができます。

  • ユーザーを有効化/無効化する — Microsoft 365 ユーザーを有効化または無効化します。このアクションを選択すると、Microsoft 365 ユーザーが無効化または有効化されます。Microsoft 365 ユーザーを無効化すると、そのユーザーは Microsoft 365 アカウントを使用してログインできなくなります。

ThreatSync+ SaaS ポリシーを通じて自動修正を実行する方法については、次を参照してください:カスタム ThreatSync+ ポリシーを追加する — ThreatSync+ SaaS

ユーザーのユーザー修正履歴を表示する方法については、次を参照してください:ThreatSync+ 監査ログ

ログイン履歴

ログイン履歴セクションには、以下の詳細が表示されます。

  • ログイン時刻 — ユーザーがログインした日時。
  • 発信元 — ユーザーがログインしたアプリケーション。例:Microsoft 365。
  • 送信元 IP — ユーザー アクティビティの送信元 IP アドレス。
  • 最後に既知であった場所 — 最後に確認されたユーザー所在地の都市、州、地域、国。

ユーザー履歴

ユーザー履歴セクションには、以下の詳細が表示されます。

  • 日付 — 特定のアクションが発生した日時。
  • アクション — 特定のユーザーに関連付けられたアクション。アクションには、以下が含まれます。
    • 脅威スコアの更新 — 新たなユーザー アクティビティが発生した後に脅威スコアが更新されます。
    • 脅威スコアの初期化 — 最初に記録されたユーザーの脅威スコア。
    • 有効 — ユーザーが Microsoft 365 にログインして、Microsoft 365 サービスに接続できる状態。
    • 無効 — ユーザーが Microsoft 365 にログインして、Microsoft 365 サービスに接続できない状態。
  • 発信元 — ユーザー アクションに関連するアプリケーション。例:Microsoft 365。
  • 最後に既知であった場所 — 最後に確認されたユーザー所在地の都市、州、地域、国。
  • アクセスが発生した IP — 特定の日時におけるユーザーの送信元 IP アドレス。
  • 脅威スコア — アクティビティ発生時点でユーザーに関連付けられている脅威スコア。ユーザー履歴表には、ユーザー アクティビティに基づき、経時的な脅威スコアの変化状況が表示されます。現在のユーザー脅威スコアがユーザーの詳細ページの上部に表示されます。これが、全体的なネットワーク脅威スコアに反映されます。詳細については、次を参照してください:ネットワーク脅威スコア

ユーザー アクションに関連付けられたポリシー アラート、Smart Alert、ゾーン、デバイス アクティビティといった追加のユーザー ページを表示するには、アクセスが発生した IP アドレスをクリックします。

アクセスが発生した IP アドレスのユーザー詳細を表示するには、ThreatSync+ NDR ライセンスが必要です。詳細については、次を参照してください:ThreatSync+ NDR ライセンスについて

特定のユーザーに関連付けられている IP アドレスの詳細。この画像には、ユーザーに関連付けられている 1 つのポリシー アラートが示されています。

概要ページのすべてのユーザーおよびユーザー アクティビティ ウィジェットにも、追加のユーザー情報が表示されます。詳細については、次を参照してください:ThreatSync+ 概要ページについて

関連トピック

ThreatSync+ SaaS の 生ログを検索する

ThreatSync+ を監視する

ThreatSync+ を構成する