ID 検出結果🔗

ID 検出結果は、すべての検出結果をリスク順に並べたテーブルを表示します。検出結果は、お客様のIDインフラストラクチャに対して実行される体制チェックの出力です。各検出結果には、以下のいずれかのステータス、割り当てられたリスクレベル、およびカテゴリがあります。

検出結果のステータス🔗

新しい検出結果のステータスはオープンに設定されており、検出結果の詳細からトリアージや問題の緩和に応じて調整できます。ステータスは以下の通りです。

オープン — 検出結果がまだ対処されていない、または環境内に存在しています。
解決済み — 検出結果が対処または緩和されています。
却下済み — 検出結果は想定されており、対処する必要はありません。

検出結果のリスクレベル🔗

各検出結果には、基礎となるチェックおよび組織に対する潜在的なセキュリティリスクに基づいて、以下のいずれかのリスクレベルが割り当てられます。

重大 — 重大なリスクをもたらすため、直ちに対処する必要があります。
高 — 直ちに対処する必要があります。
中 — 対処する必要がありますが、重大なリスクではありません。
低 — 軽微なリスクです。
情報 — リスクはほとんど、または全くありませんが、時間があるときに確認してください。

検出結果のカテゴリ🔗

検出結果は、実施されたチェックの種類に基づいて分類され、該当する場合は MITRE ATT&CK フレームワークに準拠しています。

MITRE ATT&CK マッピング:

ユーザーの行動
設定
Entra 条件付きアクセスのギャップ
休眠リソース
ラテラルムーブメント
資格情報の侵害
永続化
権限昇格
防御回避
情報流出

検出結果のトリアージ🔗

ID 検出結果は、リスクレベルが最も高いものから優先的に対処することで、ID 攻撃対象領域の縮小と体制スコアの向上に最も大きな効果があります。

重要

各検出結果およびその推奨事項は、お客様のビジネスニーズ、固有の環境、リスク許容度、および検出結果に対処する能力に基づいて評価する必要があります。これは、設定変更がユーザー、アプリケーション、アクセスに悪影響を及ぼす可能性があるため重要です。推奨事項を適用する前に、環境に基づく影響を評価し、可能な限りテストを行ってください。

注意

すべての検出結果を修正することが現実的でない場合もあります。たとえば、特権が必要なサードパーティアプリケーションや、弱い認証方式しかサポートしないアプリケーションなど、お客様の管理外の問題がある場合です。しかし、これらも組織にとって潜在的なリスクであるため、認識し、継続的に監視する必要があります。

検出結果を評価した後、以下のいずれかの対応が可能です。

検出された ID システム内の問題を修正して検出結果を解決します。これにより、次回（24時間ごと）リスクスコアが計算される際に、全体のリスクスコアから除外されます。
検出結果を却下すると、該当オブジェクト（例：application_abc の認証が弱いなど）に対する今後の同様の検出結果が抑止され、全体のリスクスコアから除外されます。検出結果はテーブル上には残りますが、ダッシュボードには表示されません。
対処できない検出結果を追跡するためにオープンのままにしておくと、全体のリスクスコアに引き続き反映されます。

ID 検出結果テーブル🔗

ID 検出結果テーブルには、データの並べ替え、フィルタリング、配置を行うためのコントロールが含まれています。テーブル左側の折りたたみ式フィルターメニューを使用して、検出結果のリストを絞り込んでください。

フィルターを選択すると、テーブルとURLが動的に更新され、選択内容が反映されます。URLを同僚と共有したり、特定の検出結果リストを保存したりできます。
選択したフィルターはテーブル上部に表示されます。X を選択すると単一のフィルターを削除でき、すべてクリア を選択するとすべてのフィルターが削除され、すべての検出結果が表示されます。

検出結果のフィルタリング🔗

ID 検出結果テーブルは、以下のような複数のフィルターを組み合わせて絞り込むことができます。

リスク — 検出結果のリスクレベル
ステータス — 検出結果のステータス
- オープン
- 解決済み
- 却下済み
参照タイプ — 検出結果が関連するオブジェクトの種類
- ユーザーオブジェクト
- アプリケーション/サービスプリンシパルオブジェクト
- グループオブジェクト
- デバイスオブジェクト
- テナント設定
カテゴリ — 検出結果のカテゴリ
新規 — first_seen_date が過去7日以内の検出結果
検出結果 — 検出結果のタイトル
初回検出日 — 検出結果が初めて検出された日時
最終検出日 — 検出結果が最後に検出された日時

列名の右側にあるメニューアイコンを選択して、テーブルで利用可能な列のメニューを開きます。

以下のオプションから選択できます。

列を固定 — 列をテーブルの左または右に固定します。
この列の自動サイズ調整 — 選択した列のみサイズを調整し、隠れている情報を表示します。
すべての列の自動サイズ調整 — すべての表示列のサイズを調整し、隠れている情報を表示します。
列のリセット — すべての列をデフォルトのサイズと順序にリセットします。

表示する列を選択🔗

列メニューを開き、列アイコンを選択し、表示したい列にチェックを入れるか外すことで、テーブルに表示する列を選択できます。

テキストボックスを使用して、列名を素早くフィルタリングできます。

列の並べ替え🔗

ヘッダーをドラッグ＆ドロップして列を並べ替えてください。

列で並べ替え🔗

利用可能な場合は、列ヘッダーを選択して並べ替えを変更できます。切り替えは3つの状態があります。

初期状態 — デフォルトの並べ替え
昇順 — 列の内容を昇順で並べ替え
降順 — 列の内容を降順で並べ替え

一度に並べ替えを適用できるのは1つの列のみです。

検出結果のエクスポート🔗

テーブル上部の すべてエクスポート を選択すると、現在テーブルに含まれているすべての検出結果のCSVファイルをエクスポートできます。特定の検出結果のみをエクスポートしたい場合は、まずテーブル左側のフィルターを使用し、フィルター結果をエクスポート を選択してください。

検出結果の詳細表示🔗

検出結果 列のリンクを選択すると、主な参照、その他の参照、リスク、初回検出日時、最終検出日時、最終更新日時、推奨事項などの詳細を表示できます。

検出結果の詳細 — リスクレベル、ステータス、コメント、タイムスタンプ、タグを含む検出結果の概要
説明 — 検出結果の説明
推奨事項 — 検出結果の緩和に関するSecureworksの推奨事項
定義 — 関連するIDチェックおよび参照情報

検出結果の全詳細を表示するには、アイコンを選択して新しいタブで全画面表示を開いてください。

ヒント

主な参照 または その他の参照 をクリックすると、Azure Portal 内の該当オブジェクトに直接移動できます。

検出結果のステータス更新🔗

ステータス ドロップダウンメニューから、検出結果のステータスを選択して更新できます。

オープン — 検出結果がまだ対処されていない、または環境内に存在しています。
却下済み — 検出結果は想定されており、対処する必要はありません。この問題に関する新しい検出結果は生成されません。
解決済み — 検出結果が対処または緩和されています。

注意

検出結果は手動で、またはシステムによって自動的に解決される場合があります。システムによって解決された検出結果には、自動的に解決されたことを示すコメントが含まれます。検出結果が「解決済み」または「却下済み」とラベル付けされると、環境に対するリスクとは見なされません。手動で解決した検出結果が再度検出された場合、システムによって再オープンされます。必要な緩和策やクローズ作業が完了していることを確認してください。

結果タブ🔗

結果タブには、実施されたチェックから得られた生のJSON形式の出力が含まれています。これを使用して、生成された検出結果の追加詳細を確認できます。

履歴タブ🔗

履歴タブには、検出結果に対して行われた過去のアクションが表示されます。差分表示 機能により、正確な変更内容を確認できます。

重大および高リスク検出結果の通知🔗

通知設定で利用可能な 重大および高リスクID検出結果 の通知ルールにより、エスカレーションポリシーを割り当てることができ、重大または高リスクの検出結果が作成または再オープンされた際に、指定したユーザーに通知されます。

検出のエンリッチメント🔗

検出で該当するID情報がある場合、IDRモジュールで収集されたユーザー情報と相関・エンリッチメントされます。