コンテンツにスキップ

ID検出結果🔗

ID検出結果

ID検出結果では、すべての検出結果がリスク順に並んだテーブルが表示されます。検出結果は、お客様のIDインフラストラクチャに対して実行される体制チェックの出力です。各検出結果には、以下のいずれかのステータス、割り当てられたリスクレベル、およびカテゴリが付与されます。

検出結果のステータス🔗

新しい検出結果のステータスは「オープン」に設定されており、検出結果の詳細から、トリアージや問題の緩和に応じて調整できます。ステータスは以下の通りです。

  • オープン — 検出結果がまだ対処されていない、または環境内に存在しています。
  • 解決済み — 検出結果が対処または緩和されています。
  • 却下済み — 検出結果が想定されており、対処の必要がありません。

検出結果のリスクレベル🔗

各検出結果には、基礎となるチェックおよび組織に対する潜在的なセキュリティリスクに基づいて、以下のいずれかのリスクレベルが割り当てられます。

  • 重大 — 重大なリスクをもたらすため、直ちに対処が必要です。
  • — 直ちに対処が必要です。
  • — 対処が必要ですが、重大なリスクではありません。
  • — 軽微なリスクです。
  • 情報 — リスクはほとんど、または全くありませんが、時間があるときに確認してください。

IDリスクレベル

検出結果のカテゴリ🔗

検出結果は、実施されたチェックの種類に基づいて分類され、該当する場合はMITRE ATT&CKフレームワークに準拠しています。

MITRE ATT&CKマッピング:

  • ユーザー行動
  • 設定
  • Entra条件付きアクセスのギャップ
  • 休眠リソース
  • ラテラルムーブメント
  • 資格情報の侵害
  • 永続化
  • 権限昇格
  • 防御回避
  • 情報流出

検出結果のトリアージ🔗

ID検出結果は、リスクレベルが最も高いものから優先的に対処することで、ID攻撃対象領域の縮小と体制スコアの向上に最も大きな効果があります。各検出結果は、お客様のビジネスニーズ、固有の環境、リスク許容度、および対処能力に基づいて評価してください。これは、設定変更がユーザー、アプリケーション、アクセスに悪影響を及ぼす可能性があるため重要です。

注意

すべての検出結果を修正することが現実的でない場合もあります。たとえば、サードパーティアプリケーションが昇格権限を必要とする、または弱い認証方式しかサポートしていない場合など、お客様の管理外の問題があるかもしれません。しかし、これらも組織にとって潜在的なリスクであるため、認識し、継続的に監視する必要があります。

検出結果を評価した後、以下のいずれかの対応が可能です。

  • IDシステム内で問題を修正して検出結果を解決し、次回(24時間ごと)の計算時に全体のリスクスコアから除外します。
  • 検出結果を却下し、該当オブジェクト(例:application_abcが弱い認証を持つ)に対する今後の同様の検出を抑止し、全体のリスクスコアから除外します。検出結果はテーブル上には残りますが、ダッシュボードには含まれません。
  • 対処できない検出結果を追跡するためにオープンのままにし、全体のリスクスコアに引き続き反映させます。

ID検出結果テーブル🔗

ID検出結果テーブルには、データの並べ替え、フィルタリング、配置を行うためのコントロールが含まれています。テーブル左側の折りたたみ式フィルターメニューを使用して、検出結果のリストを絞り込んでください。

  • フィルターを選択すると、テーブルとURLが動的に更新され、選択内容が反映されます。URLを同僚と共有したり、特定の検出結果リストを保存したりできます。
  • 選択したフィルターはテーブル上部に表示されます。Xを選択すると単一のフィルターを削除でき、すべてクリアを選択するとすべてのフィルターを削除して全検出結果を表示できます。

検出結果のフィルタリング🔗

ID検出結果テーブルは、以下のような複数のフィルターを組み合わせて絞り込むことができます。

  • リスク — 検出結果のリスクレベル

  • ステータス — 検出結果のステータス

    • オープン
    • 解決済み
    • 却下済み

  • 参照タイプ — 検出結果が関連するオブジェクトの種類

    • ユーザーオブジェクト
    • アプリケーション/サービスプリンシパルオブジェクト
    • グループオブジェクト
    • デバイスオブジェクト
    • テナント設定

  • カテゴリ — 検出結果のカテゴリ

  • 新規first_seen_dateが過去7日以内の検出結果
  • 検出結果 — 検出結果のタイトル
  • 初回検出 — 検出結果が初めて検出された日時
  • 最終検出 — 検出結果が最後に検出された日時

列メニュー🔗

列名の右側にあるメニューアイコンを選択して、テーブルで利用可能な列のメニューを開きます。

以下のオプションから選択できます。

  • 列を固定 — 列をテーブルの左または右に固定します。
  • この列の自動サイズ調整 — 選択した列のみサイズを調整し、隠れている情報を表示します。
  • すべての列の自動サイズ調整 — すべての表示列のサイズを調整し、隠れている情報を表示します。
  • 列のリセット — すべての列をデフォルトのサイズと順序にリセットします。

表示する列を選択🔗

列メニューを開き、列アイコンを選択し、表示したい列にチェックを入れるか外すことで、テーブルに表示する列を選択できます。

テキストボックスを使用して、列名を素早くフィルタリングできます。

列の並べ替え🔗

ヘッダーをドラッグ&ドロップして列を並べ替えてください。

列で並べ替え🔗

利用可能な場合は、列ヘッダーを選択して並べ替えを変更できます。切り替えは3つの状態があります。

  • 初期状態 — デフォルトの並べ替え
  • 昇順 — 列の内容を昇順で並べ替え
  • 降順 — 列の内容を降順で並べ替え

一度に並べ替えを適用できるのは1つの列のみです。

検出結果のエクスポート🔗

テーブル上部のすべてエクスポートを選択すると、現在テーブルに表示されているすべての検出結果のCSVファイルをエクスポートできます。特定の検出結果のみをエクスポートしたい場合は、まずテーブル左側のフィルターを使用し、フィルター結果をエクスポートを選択してください。

検出結果のエクスポート

検出結果の詳細表示🔗

検出結果列のリンクを選択すると、主な参照、その他の参照、リスク、初回検出日時、最終検出日時、最終更新日時、推奨事項などの詳細を表示できます。

  • 検出結果の詳細 — リスクレベル、ステータス、コメント、タイムスタンプ、タグを含む検出結果の概要
  • 説明 — 検出結果の説明
  • 推奨事項 — 検出結果の緩和に関するSecureworksの推奨事項
  • 定義 — 関連するIDチェックおよび参照情報

検出結果詳細パネル

検出結果の全詳細を表示するには、 アイコンを選択して新しいタブで全画面表示してください。

ヒント

主な参照またはその他の参照をクリックすると、Azureポータル内の該当オブジェクトに直接移動できます。

検出結果ステータスの更新🔗

ステータスドロップダウンメニューから、検出結果のステータスを選択して更新できます。

  • オープン — 検出結果がまだ対処されていない、または環境内に存在しています。
  • 却下済み — 検出結果が想定されており、対処の必要がありません。この問題に関する新たな検出結果は生成されません。
  • 解決済み — 検出結果が対処または緩和されています。

注意

検出結果は手動で、またはシステムによって自動的に解決される場合があります。システムによって解決された場合は、自動解決された旨のコメントが追加されます。検出結果が「解決済み」または「却下済み」となった場合、それ以降はお客様の環境に対するリスクとは見なされません。手動で解決した検出結果が再度検出された場合、システムによって再オープンされます。必要な緩和策やクローズ作業が完了していることを確認してください。

結果タブ🔗

結果タブには、実施されたチェックから得られた生のJSON形式の出力が含まれています。これを利用して、生成された検出結果の追加詳細を確認できます。

履歴タブ🔗

履歴タブでは、検出結果に対して過去に実施されたアクションを確認できます。差分表示機能により、正確な変更内容を確認できます。

検出結果履歴

重大および高リスク検出結果の通知🔗

通知設定で利用可能な重大および高リスクID検出結果の通知ルールにより、エスカレーションポリシーを割り当てることができ、重大または高リスクの検出結果が作成または再オープンされた際に、指定したユーザーに通知されます。

検出のエンリッチメント🔗

該当するID情報を持つ検出は、IDRモジュールで収集されたユーザー情報と相関・エンリッチメントされます。

検出のIDエンリッチメント