ThreatSync+ SaaS のレベル 1 ポリシー — Microsoft 365

適用対象: ThreatSync+ SaaS　 本トピックは ThreatSync に適用されます。

Microsoft 365 との ThreatSync+ SaaS 統合を初めてセットアップする際に、レベル 1 のポリシー 12 個のうちの 10 個が既定で有効化されます。最初の 2 週間は Microsoft 365 監視でこれらのポリシーを監視し、その後、組織の要件に合わせてポリシーを調整することが勧められます。

本トピックの各セクションには、以下の内容が含まれています。

• レベル 1 ポリシーの説明
• 脅威を検出するポリシーの仕組み
• ネットワークでより効果的に機能するようにポリシーを調整する方法

特定のレベル 1 ポリシーの詳細については、以下のセクションを参照してください。

• 匿名ファイル アクティビティ
• 内部ファイルの公開
• 内部ファイルの外部との共有
• 新規 IP アドレスからのアクセス
• 新規アクセス場所
• 総当たり攻撃の試みと考えられるアカウント アクセス
• 不審なアクセス場所
• 不審なアクセス時間
• 不審なファイル アクティビティの割合
• 総当たり攻撃の試み
• パスワードスプレー攻撃の試みの可能性
• パスワードスプレー攻撃の試み

匿名ファイル アクティビティ

これは、匿名ユーザーによるファイルへのアクセスです。攻撃者がデータの暗号化または窃盗を試みている可能性があります。

仕組み

匿名リンク経由でパブリック アクセスできるように公開されたファイルにユーザーがアクセスしたことが、Microsoft 365 ログに示されます。多くのユーザーは、他のユーザーが容易にファイルにアクセスできるように匿名リンクを作成します。これは、こうすることで、承認済みログインを使用する必要がなくなるため、または明示的に権限を付与する必要がなくなるためです。

しかし、こうしたリンクが不正ユーザーに漏れると、データが公開される可能性があります。

ユーザーに匿名リンクの共有を許可していない場合は、このアラートに速やかに対応し、ファイルを共有したユーザーに連絡して、アクセス制御を実施してください。

調整方法

こうした種類のリンクの共有をユーザーに常に許可する場合は、このポリシーを非アクティブ化することができます。ユーザーに特定ファイルの共有を許可する場合は、ポリシーを調整して、特定のファイル パスを除外します。

内部ファイルの公開

このポリシーでは、インターネットに接続している任意のユーザーが内部ファイルを利用できる状態になった場合に、アラートが生成されます。この状態が発生すると、データの窃取を試みる攻撃者にファイルが公開される可能性があります。

仕組み

このポリシーにより、ユーザーがファイルへの匿名リンクを作成した際にアラートが生成されます。このリンクが他のユーザーと共有されると、匿名アクセスが許可されます。このアラートにより、攻撃者にデータを窃盗される前に、不正アクセスを排除することができます。

調整方法

組織の特定の部署などに匿名リンクの作成を許可する場合は、その部署をこのポリシーから除外することができます。組織の全員に匿名リンクの作成が許可されている場合は、このポリシーを非アクティブ化することが可能です。

内部ファイルの外部との共有

このポリシーでは、組織の内部ユーザーが外部ユーザーと内部ファイルを共有した場合に、アラートが生成されます。外部からのデータへのアクセスは、組織にとってリスクとなる可能性があります。

仕組み

ThreatSync+ SaaS では、Microsoft 365 ドメインのユーザーの学習が行われ、それが内部ユーザーと外部ユーザーに分類されます。Microsoft 365 との SaaS 統合をセットアップすると、ThreatSync+ SaaS で、構成されているドメインによって内部ユーザーが識別されるようになります。ThreatSync+ SaaS では、類似のドメイン名も内部ユーザーとして扱われます。

たとえば、あるユーザーのドメインが mycompany.com であれば、ThreatSync+ SaaS では、ドメイン mycompany.on.microsoft.com のユーザーも内部ユーザーと見なされます。内部ユーザーが Microsoft 365 のファイルまたはフォルダを外部ユーザーと共有すると、ThreatSync+ SaaS でポリシー アラートが生成されます。このアラートには、共有されたファイルの詳細、共有したユーザー、共有相手が含まれています。

このポリシーの場合は、組織のさまざまなドメインを持つ内部ユーザーを分類するための学習期間が必要となります。

調整方法

特定のユーザーに外部ドメインとのファイル共有を許可する場合は、ポリシー定義に例外を追加することができます。

組織のポリシーによって外部ユーザーとのファイル共有が禁止されている場合は、このアラートを調査してください。実行できる適切なアクションとして、ユーザーのブロックまたはファイルの権限の削除などが挙げられますが、これらに限定されるものではありません。

新規 IP アドレスからのアクセス

このポリシーでは、ユーザーが新しい IP アドレスからネットワークのリソースに接続した場合に、アラートが生成されます。これは、内部の悪質なアクティビティまたはアカウント乗っ取りの兆候である可能性があります。

仕組み

ユーザーが Microsoft 365 ドメインにログインしてリソースに接続するたびに、ThreatSync+ SaaS で学習が行われ、その要求の発信元の IP アドレスのベースラインが作成されます。ユーザーが過去にログインしたことのない IP アドレスからリソースに接続していることが認識されると、ThreatSync+ SaaS でこのポリシー アラートが生成されます。

調整方法

このポリシーにより、組織のユーザーが新たな場所 (コーヒー ショップや顧客サイトなど) からリソースに接続した際に、アラートが生成されます。一般的に一貫性のある限定された IP アドレス一式からユーザーがログインする環境において、このポリシー アラートが役立ちます。このポリシーを非アクティブ化すること、または例外を追加して特定のユーザー一式を除外することができます。

新規アクセス場所

このポリシーでは、ユーザーが新しい場所からネットワークのリソースに接続した場合に、アラートが生成されます。これは、内部の悪質なアクティビティまたはアカウント乗っ取りの兆候である可能性があります。

仕組み

ユーザーが Microsoft 365 ドメインにログインしてリソースに接続するたびに、ThreatSync+ SaaS で学習が行われ、その要求の発信元の地理的位置のベースラインが作成されます。ユーザーが過去にログインしたことのない場所からリソースに接続すると、ThreatSync+ SaaS でポリシー アラートが生成されます。

調整方法

このポリシーにより、組織のユーザーが新たな地理的位置 (コーヒー ショップや顧客サイトなど) からリソースに接続した際に、アラートが生成されます。一般的に一貫性のある限定された地理的位置一式からユーザーがログインする環境において、このポリシー アラートが役立ちます。このポリシーを非アクティブ化すること、または例外を追加して特定のユーザーを除外することができます。

総当たり攻撃の試みと考えられるアカウント アクセス

このポリシーでは、ユーザーがネットワークのリソースへのログインを複数回試みて失敗した場合に、アラートが生成されます。

仕組み

ThreatSync+ SaaS により、Microsoft 365 へのログインの失敗が監視され、許容範囲の無害な失敗アクティビティのベースラインが継続的に構築されます。30 分間のログイン失敗回数がベースラインを超過すると、ThreatSync+ SaaS によってアラートが生成されます。

悪質なユーザーがユーザー名を盗んで、さまざまなパスワードで繰り返しログインを試みると、このポリシーがトリガーされます。

調整方法

生成されるアラートの数を減らすことを希望する場合は、このポリシーを調整し、ポリシー構成でアラート重大度の尺度に対するアラート感度を調整することができます。

尺度の値を上げると、検出の感度が低下し、生成されるアラートの数が少なくなります。詳細については、次を参照してください：ポリシーのアラート重大度の尺度を編集する。

不審なアクセス場所

このポリシーでは、ユーザーが不審な場所からネットワークのリソースに接続した場合に、アラートが生成されます。これは、内部の悪質なアクティビティまたはアカウント乗っ取りの兆候である可能性があります。

仕組み

ThreatSync+ SaaS により、すべてのユーザー ログインの送信元の場所が監視され、そのベースラインが作成されます。ユーザーがベースラインの場所とは著しく異なる場所からログインすると、ThreatSync+ SaaS によってアラートが生成されます。高信頼性のベースラインを生成できるだけ十分なアクティビティのないユーザーの場合は、ThreatSync+ SaaS ではその代わりに組織のベースラインが使用されます。あるユーザーが他のユーザーの場所とは著しく異なる場所からログインすると、ThreatSync+ SaaS によってアラートが生成されます。

調整方法

生成されるアラートの数を減らすことを希望する場合は、このポリシーを調整し、ポリシー構成でアラート重大度の尺度に対するアラート感度を調整することができます。

尺度の値を上げると、検出の感度が低下し、生成されるアラートの数が少なくなります。詳細については、次を参照してください：ポリシーのアラート重大度の尺度を編集する。

不審なアクセス時間

このポリシーでは、ユーザーが不審な時間にネットワークのリソースに接続した場合に、アラートが生成されます。これは、内部の悪質なアクティビティまたはアカウント乗っ取りの兆候である可能性があります。

仕組み

ThreatSync+ SaaS により、ユーザーがログインする時間と曜日が監視され、そのベースラインが作成されます。ユーザーのログインがベースラインから大幅に逸脱すると、ThreatSync+ SaaS によってアラートが生成されます。

調整方法

生成されるアラートの数を減らすことを希望する場合は、このポリシーを調整し、ポリシー構成でアラート重大度の尺度に対するアラート感度を調整することができます。

尺度の値を上げると、検出の感度が低下し、生成されるアラートの数が少なくなります。詳細については、次を参照してください：ポリシーのアラート重大度の尺度を編集する。

不審なファイル アクティビティの割合

不審な割合でファイルの作成、削除、変更が実行されると、それが検出されます。こうした状況は、攻撃者がランサムウェア攻撃によってファイルを暗号化した場合、またはファイルを窃盗した場合に発生する可能性があります。

仕組み

ThreatSync+ SaaS により、ユーザーのファイル アクティビティが監視されます。そして、各ユーザーのベースラインが作成されて、さまざまなファイル アクティビティが追跡されます。ユーザーのファイル アクティビティ (変更、削除、作成) がその時点のベースラインから逸脱すると、ThreatSync+ SaaS によってアラートが生成されます。進行中のランサムウェア攻撃を防ぐ上で、このポリシーは有益に働きます。

調整方法

生成されるアラートの数を減らすことを希望する場合は、このポリシーを調整し、ポリシー構成でアラート重大度の尺度に対するアラート感度を調整することができます。

尺度の値を上げると、検出の感度が低下し、生成されるアラートの数が少なくなります。詳細については、次を参照してください：ポリシーのアラート重大度の尺度を編集する。

特定の種類の異常に焦点を当てることを目的として、または特定の場所、ファイル、ユーザーを包含または除外することでアラートを制限することを目的として、このポリシーを調整する方法は複数あります。

このポリシーでは、100 種類を超える特定の種類のファイル関連アラートを生成できるため、このポリシーを複数のポリシー定義に分割することで、異なる種類のファイル アクティビティのアラートが生成されるようにすると利便性が高まる可能性があります。各ポリシーのアラート重大度の尺度、または場所やファイル名といった他のフィルタを調整することができます。

総当たり攻撃の試み

このポリシーでは、ユーザーがネットワークのリソースへのログインを複数回試みて失敗し、その後ログインに成功するという状況が発生した場合に、アラートが生成されます。

仕組み

ThreatSync+ SaaS により、Microsoft 365 へのログインの失敗が監視され、許容範囲の無害な失敗アクティビティのベースラインが継続的に構築されます。30 分間のログイン失敗回数がこのベースラインを超過すると、高い失敗率のログイン試行イベントが生成されます。ThreatSync+ SaaS で学習が行われ、その要求の発信元の地理的位置のベースラインが作成されます。ユーザーが過去にログインしたことのない場所からリソースに接続すると、ThreatSync+ SaaS でそのユーザー イベントの新規リモート アクセスが生成されます。ログイン失敗イベントおよびユーザーの新規リモート アクセスと相関するログイン成功の状況が検出された際に、総当たり攻撃試行ポリシー アラートがトリガーされます。

悪質なユーザーがユーザー名を盗んで、さまざまなパスワードで繰り返しログインを試みると、このポリシーがトリガーされます。

調整方法

複数回の試行失敗の後に攻撃者がログインするという状況が発生した場合に、このポリシーによってアラートが生成されます。ポリシー アラートの送信元 IP アドレスとユーザー情報を確認します。それが正規のログイン試行でない場合は、ユーザーを無効化する、強制的にパスワードを変更する、またはユーザーに多要素認証 (MFA) を適用するという措置を講じることができます。

影響を受けたユーザーに関して生成された他のポリシー アラートも確認することが勧められます。これには、内部ファイルの外部共有、不審な割合のファイル アクティビティ、内部ファイルの公開など、潜在的なデータ漏洩に関係するアラートが含まれます。

それが正規のログイン試行であった場合は、このポリシーを編集して例外を追加し、その送信元 IP アドレスを例外リストに含めることができます。

パスワードスプレー攻撃の試みの可能性

このポリシーでは、アプリケーションで既定のパスワードを使用しているユーザー名のリストに基づいて、攻撃者が総当たりでログインを試行した場合に、アラートが生成されます。

仕組み

このポリシーにより、同じターゲット リストを使用して同じ場所から短期間に複数のユーザーに対して行われるログイン試行の失敗が監視されます。

調整方法

それが正規のログイン試行であった場合は、このポリシーを編集して例外を追加し、その送信元 IP アドレスを例外リストに含めることができます。

パスワードスプレー攻撃の試み

このポリシーでは、アプリケーションで既定のパスワードを使用しているユーザー名のリストに基づいて、攻撃者が総当たりでログインを試みて成功した場合に、アラートが生成されます。

仕組み

このポリシーにより、同じターゲット リストを使用して同じ場所から短期間に複数のユーザーに対して行われるログイン試行の失敗と成功が監視されます。

調整方法

これは、パスワード スプレー攻撃を試した末に攻撃者が一部のアカウントにログインできた状況であるため、ポリシー アラートの送信元 IP アドレスとユーザー情報を確認する必要があります。それが正規のログイン試行でない場合は、ユーザーを無効化する、強制的にパスワードを変更する、またはユーザーに多要素認証 (MFA) を適用するという措置を講じることができます。

影響を受けたユーザーに関して生成された他のポリシー アラートも確認することが勧められます。これには、内部ファイルの外部共有、不審な割合のファイル アクティビティ、内部ファイルの公開など、潜在的なデータ漏洩に関係するアラートが含まれます。

それが正規のログイン試行であった場合は、このポリシーを編集して例外を追加し、その送信元 IP アドレスを例外リストに含めることができます。

関連トピック

ThreatSync+ ポリシーを構成する

ThreatSync+ ゾーンを管理する

ポリシーの調整

ThreatSync+ NDR レベル 1 ポリシー

ThreatSync+ ゾーンを管理する