This is the Trace Id: f5e227498f2ab8caf1090e7965f3c058
メイン コンテンツへスキップ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel すべての製品を表示 AI 搭載のサイバーセキュリティ クラウド セキュリティ データ セキュリティとガバナンス ID とネットワーク アクセス プライバシーとリスク管理 AI 対応のセキュリティ 中小規模企業 統合セキュリティ オペレーション ゼロ トラスト 価格 サービス パートナー Microsoft Security が選ばれる理由 サイバーセキュリティ意識向上 お客様導入事例 セキュリティ 101 製品試用版 業界での評価 Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security のブログ Microsoft Security のイベント Microsoft Tech Community ドキュメント 技術コンテンツ ライブラリ トレーニングと認定 Compliance Program for Microsoft Cloud Microsoft トラスト センター Service Trust Portal Microsoft セキュア フューチャー イニシアティブ ビジネス ソリューション ハブ 営業に問い合わせる 無料試用を開始する Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva 量子コンピューティング 教育機関 自動車 金融サービス 行政機関 医療 製造業 小売業 パートナーを探す パートナーになる パートナー ネットワーク Microsoft Marketplace Marketplace Rewards ソフトウェア会社 ブログ Microsoft Advertising デベロッパー センター ドキュメント イベント ライセンス Microsoft Learn Microsoft Research サイトマップの表示
ぼかした顔には言及せず、要求に従った代替テキストがここに入ります。**代替テキスト:** サーバー室でタブレットを持ち、画面に表示されたグラフとシステム メトリックのダッシュボードを見ている人。

侵害インジケーター (IOC) とは?

侵害インジケーターを監視、識別、使用、対応する方法について説明します。

侵害インジケーターの説明

侵害インジケーター (IOC) は、誰かが組織のネットワークまたはエンドポイントを侵害した可能性があることを示す証拠です。このフォレンジック データは潜在的な脅威を示すだけでなく、マルウェア、侵害された資格情報、データ流出などの攻撃が既に発生していることを示します。セキュリティ担当者は、イベント ログ、拡張検出と応答 (XDR) ソリューション、およびセキュリティ情報イベント管理 (SIEM) ソリューションで IOC を検索します。攻撃中、チームは IOC を使用して脅威を排除し、損害を軽減します。回復後、IOC は何が起こったかを組織が理解するのに役立ちます。そのため、組織のセキュリティ チームはセキュリティを強化し、別の同様のインシデントのリスクを軽減できます。

IOC の例

IOC セキュリティでは、IT が環境を監視し、攻撃が進行中であることを示す次の手掛かりを探します:

ネットワーク トラフィックの異常

ほとんどの組織では、デジタル環境に出入りするネットワーク トラフィックに一貫したパターンがあります。状況に変化が生じた場合、例えば組織から流出するデータが著しく増加したり、ネットワーク内の通常とは異なる場所からのアクティビティが検出されたりした場合は、攻撃の兆候である可能性があります。

通常とは異なるサインインの試行

ネットワーク トラフィックと同様に、ユーザーの仕事習慣は予測可能です。通常、同じ場所から、週のほぼ同じ時刻にサインインします。セキュリティ担当者は、1 日の奇数時や、組織にオフィスがない国などの通常とは異なる地域からのサインインに注意を払うことで、侵害されたアカウントを検出できます。また、同じアカウントから複数回のサインイン失敗ばあれば、これに注意を払うことも重要です。ユーザーは定期的にパスワードを忘れたり、サインインに問題が発生したりしますが、通常は数回試行した後にこれを解決できます。サインインの試行が繰り返し失敗した場合、誰かが盗まれたアカウントを使用して組織にアクセスしようとしていることを示唆している可能性があります。

特権アカウントの不正使用

多くの攻撃者は、内部関係者であっても部外者であっても、管理アカウントへのアクセスと機密データの取得に関心を持っています。これらのアカウントに関連付けられている特殊な動作 (特権のエスカレートを試みるなど) は、侵害の兆候である可能性があります。

システム構成の変更

多くの場合、マルウェアは、リモート アクセスの有効化やセキュリティ ソフトウェアの無効化など、システム構成に変更を加えるようにプログラミングされます。これらの予期しない構成変更を監視することで、セキュリティ担当者は、過剰な損害が発生する前に侵害を特定できます。

予期しないソフトウェアのインストールまたは更新

多くの攻撃は、ファイルにアクセスできないようにしたり、攻撃者がネットワークにアクセスできるように設計された、マルウェアやランサムウェアなどのソフトウェアのインストールから始まります。計画外のソフトウェアのインストールと更新を監視することで、組織はこれらの IOC を迅速にキャッチできます。

同じファイルに対する多数の要求

1 つのファイルに対する複数の要求は、不正なアクターがファイルを盗もうとし、それにアクセスするためのいくつかの方法を試みたことを示唆している可能性があります。

通常とは異なるドメイン ネーム システム要求

悪意のある攻撃者の中には、コマンド アンド コントロールと呼ばれる攻撃手法を使う人もいます。これらアクターは組織のサーバーにマルウェアをインストールして、自分たちの所有するサーバーへの接続を作成します。その後、サーバーから感染したコンピューターにコマンドを送信して、データを盗んだり、操作を中断したりしようとします。通常とは異なるドメイン ネーム システム (DNS) 要求は、IT がこれらの攻撃を検出するのに役立ちます。

IOC を識別する方法

デジタル攻撃の兆候は、ログ ファイルに記録されます。IOC サイバーセキュリティの一環として、チームは定期的にデジタル システムの不審なアクティビティを監視します。最新の SIEM と XDR ソリューションは、AI と機械学習アルゴリズムを使ってこのプロセスを簡素化し、組織における正常な状態のベースラインを確立し、異常についてチームに警告します。また、不審な電子メールを受け取ったり、誤って感染したファイルをダウンロードしたりする可能性のあるセキュリティ担当以外の従業員を関与させることも重要です。優れたセキュリティ トレーニング プログラムは、従業員が侵害されたメールを検出できるようにし、何か不審な点があれば報告できるようにします。

IOC が重要な理由

IOC の監視は、組織のセキュリティ リスクを軽減するために不可欠です。IOC を早期に検出することで、セキュリティ チームは攻撃に迅速に応答して解決できるため、ダウンタイムと混乱の量が削減されます。また、定期的な監視により、チームは組織の脆弱性について、より詳細な分析情報を得ることができ、脆弱性を軽減できます。

侵害インジケーターへの対応

セキュリティ チームが IOC を特定したら、組織に対する損害をできるだけ少なくするために効果的に対応する必要があります。組織が集中し続け、可能な限り迅速に脅威を停止するのに次の手順が役立ちます:

インシデント応答計画の確立

インシデントへの応答はストレスが多く、時間が重要です。攻撃者が検出されない時間が長いほど、攻撃者が目標を達成する可能性が高くなります。多くの組織は、対応の重要なフェーズでチームをガイドするのに役立つインシデント応答計画を策定しています。この計画では、組織がインシデント、役割、責任を定義する方法、インシデントを解決するために必要な手順、およびチームが従業員や外部の関係者とどのように通信する必要があるかについて概説しています。

侵害されたシステムとデバイスを分離する

組織が脅威を特定すると、セキュリティ チームは攻撃を受けているアプリケーションまたはシステムをネットワークの他の部分から迅速に分離します。これにより、攻撃者が会社の他の部分にアクセスするのを防ぐことができます。

フォレンジック分析の実施

フォレンジック分析は、ソース、攻撃の種類、攻撃者の目標など、侵害のあらゆる側面を明らかにするのに役立ちます。攻撃中に、侵害の程度を把握するために分析が行われます。組織が攻撃から回復すると、考えられる脆弱性やその他の分析情報をチームが理解するために、追加の分析が役立ちます。

脅威の排除

チームは、影響を受けるシステムやリソースから攻撃者とマルウェアを削除します。それには、システムをオフラインにする必要があります。

セキュリティとプロセス改善の実装

組織がインシデントから回復したら、攻撃が発生した理由と、それを防ぐために組織が実行できたはずの操作があるかどうかを評価することが重要です。将来、同様の攻撃を受けるリスクを低減するための単純なプロセスやポリシーの改善の可能性もあれば、セキュリティ ロードマップに追加する長期的な解決策をチームが特定できることもあります。



SOC ソリューション

ほとんどのセキュリティ侵害は、ログ ファイルとシステムにフォレンジック証跡を残します。これらの IOC の識別と監視を学習することで、組織は攻撃者を迅速に分離して排除できます。AI と自動化を使用して IOC を表示し、それらを他のイベントと関連付ける Microsoft Sentinel や Microsoft Defender XDR などの SIEM ソリューションに目を向けているチームは多くあります。インシデント応答計画を使用すると、チームは攻撃を先取りし、迅速にシャットダウンできます。サイバーセキュリティに関しては、企業が何が起こっているかを理解する速度が速いほど、コストがかかったり評判が損なわれる前に攻撃を停止できる可能性が高くなります。IOC セキュリティは、組織がコストのかかる侵害のリスクを減らすのに役立つ鍵です。
よくあるご質問

よく寄せられる質問

  • IOC にはいくつかの種類があります。最も一般的なものは次のとおりです:
    • ネットワーク トラフィックの異常
    • 通常とは異なるサインインの試行
    • 特権アカウントの権限
    • システム構成の変更
    • 予期しないソフトウェアのインストールまたは更新
    • 同じファイルに対する多数の要求
    • 通常とは異なるドメイン ネーム システム要求
  • 侵害インジケーターは、攻撃が既に発生したデジタル証拠です。攻撃のインジケーターは、攻撃が発生する可能性が高い証拠です。たとえば、フィッシングの攻撃活動は、攻撃者が会社を侵害した証拠がないため、攻撃の指標です。ただし、誰かがフィッシング リンクをクリックしてマルウェアをダウンロードした場合、マルウェアのインストールは侵害インジケーターです。
  • メールの侵害インジケーターには、突然の迷惑メールのオーバーフロー、異常な添付ファイルやリンク、または知っている人からの予期しないメールが含まれます。たとえば、従業員が同僚に異様な添付ファイルを含むメールを送信した場合、その従業員のアカウントが侵害されたことを示している可能性があります。
  • 侵害されたシステムを識別するには、複数の方法があります。特定のコンピューターからのネットワーク トラフィックの変更は、それが侵害されたことを示すインジケーターである可能性があります。システムを通常必要としないユーザーが定期的にアクセスをし始めると、それは赤信号です。システム上の構成の変更や、予期しないソフトウェアのインストールも、侵害があった可能性を示します。
  • IOC の例を 3 つ挙げると:
    • 北米に基づくユーザー アカウントは、ヨーロッパから会社のリソースへのサインインを開始します。
    • 組織がブルート フォース攻撃の被害を受けていることを示す、複数のユーザー アカウントにわたる何千ものアクセス要求。
    • 従業員と顧客が存在しない新しいホストまたは国から送信されている新しいドメイン ネーム システムの要求。

Microsoft Security をフォロー

日本語 (日本) コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について