侵害されたアカウント(異常)検出

Anomaly Detection エンジンは、組織およびユーザ's の過去のアクティビティの文脈で観察した場合に異常と思われる振る舞いとアクションを検出します。これは、ログイン場所や時刻、データ転送の振る舞い、メールメッセージのパターンなどの過去のイベントに基づいてプロファイルを構築する機械学習アルゴリズムを使用して振る舞いを分析します。異常は、多くの場合、アカウントが侵害されている兆候です。

異常が検出されると、調査に必要なコンテキストやその他の情報を提供するセキュリティイベントが生成されます。Severity Level に応じて、異常は 重大 または 疑わしい に分類されます。

  • 重大な異常は、アカウント侵害の可能性が高いことを示すイベントです。これらの異常は管理者による調査と検証が必要であり、直ちに対処する必要があります。

    - 検出された侵害アカウントを自動的にブロックするように Anomaly Detection エンジンを設定できます。詳細:異常検出ワークフローの構成.

  • 疑わしい異常は、アカウント侵害を示している可能性があるイベントであり、緊急度をやや低くして確認できます。

- 侵害されたアカウントとは、重大度レベルが Critical の異常(イベント)を指します。一方、侵害が疑われるアカウントとは、重大度レベルがそれより低い High、Medium、Low の異常を指します。

デフォルトでは、重大な異常については、Anomaly Detection エンジンは管理者にメールアラートを送信するだけです。メールアラートを送信するだけでなく、検出された侵害アカウントを自動的にブロックするように Anomaly Detection エンジンを設定するには、異常検出ワークフローの構成.

一部の組織では、異なるセキュリティチームのメンバ間で共有される専用メールボックスを通じてセキュリティアラートを管理したり、サードパーティソリューションとの統合に使用したりしています。

Email Security では、検出された侵害アカウントに関するアラート用の専用メールボックスを設定できます。メールボックスを設定するには、異常検出ワークフローの構成.

高い確率のアカウント乗っ取りに注目するには、次のいずれかを実行します。

  • Events ページで、イベントを Type (Anomaly) および Severity Level (Critical) でフィルタします。

  • Overview ページで、Anomalies カードの主要インジケータをクリックします。

  • Overview ページで、Security Events の下の Filter by Type をクリックし、Critical Anomalies を選択します。

侵害されたアカウント(異常)ワークフロー

Email Security が高信頼度の侵害アカウントを検出すると、過去 3 時間分のユーザ's メールを自動的に再検査します。

これらのメールは悪意のある可能性がより高いため、アンチフィッシング セキュリティエンジンは感度を高めてこの検査を実行します。

このユーザから送信されたフィッシングメールを検出すると、そのユーザに適用されているポリシーに基づいて修復アクションを実行します。

  • ポリシーが Detect モードの場合、アクションは実行されません。

  • ポリシーが Prevent (Inline) または Detect & Remediate モードの場合、メールは隔離されます。

サポートされる異常

重大な異常

この異常は、受信メールをすべて削除するように設定された新しいルールを検査します。受信メールをすべて削除する可能性のある悪意のある設定を検出します。この振る舞いは、アカウント乗っ取りを示している可能性があります。

この異常は最も影響が大きいものです。

この異常は、内部ユーザが内部および/または外部の受信者にフィッシングメールまたはスパムメールを送信したときにトリガされます。

- 例外を使用すると、管理者は特定のユーザまたはすべてのユーザに対してこの異常を無効にできます。

この異常は、受信メールをすべてサブフォルダに移動するように設定された新しいルールを検査します。受信メールをすべて特定のサブフォルダに移動する可能性のある悪意のある設定を検出します。この振る舞いは、アカウント乗っ取りを示している可能性があります。

この異常は、悪意のある攻撃者が行うログインイベントを特定するために、ログインイベントのすべてのパラメータを検査するよう設計された AI エンジンを使用します。

AI エンジンは、IP アドレス、ブラウザの種類、ブラウザのバージョン、デバイス、VPN ブランドなど、さまざまなパラメータを検査します。

この AI エンジンによって検出されたログインイベントは、対応するユーザに侵害済みのフラグを付けます。

この異常は、攻撃者が Microsoft 365 にログインした IP アドレスに基づいて侵害アカウントを検出します。

フィッシングメールの送信元として検出された IP アドレス、または Check Point によって悪意があると認識されている IP アドレスから Microsoft 365 にログインしたユーザには、侵害済みのフラグが付けられます。

疑わしい異常

この異常は、ユーザがこれまで一度もログインしたことのない国からログインしたときにトリガされます。

- ユーザ's の役職名に国名が含まれている場合、その国からのログインにはフラグが付けられません。

この異常は、Office 365 の管理イベントの読み取りに基づいています。メールボックスの自動転送ルールが作成されたときにトリガされる特定のイベントを処理します。

この異常は次のタスクを実行します。

  • Office 365 で作成された新しい自動転送ルールを検査します。

  • 対象のメールアドレスが組織に対して'外部'であるかどうかを確認します。メールアドレスが外部である場合、異常がトリガされます。

- 異常の重大度は転送条件に基づいて決定されます。条件がない場合、重大度は高に設定されます。デフォルトでは、重大度は中に設定されます。

この異常は、フィッシングの試みおよびさまざまな種類のサイバー攻撃に関連する国からの受信メールを検出します。

デフォルトでは、これらの国はナイジェリアと中国です。許可リストを使用すると、これら2か国のいずれかからのイベントを無視できます。

この異常は、別の場所からの認証情報の窃取と使用の可能性を検出します。異なる場所からの頻繁なログインおよびメールイベントを検出し、企業の従業員のアカウントを別人が操作している可能性が高いことを管理者に警告します。

アカウントの許可リストルールを作成できます(たとえば、VPN や同様のツールを頻繁に使用する従業員など)。

この異常は、多要素認証(MFA)/第2要素認証(2FA)の実行中に失敗したログイン操作を検出します。誤検出率を低減するために、失敗した MFA を追加イベントまたはその後のログイン成功と相関分析します。

イベント テキスト - <email> の不審なログイン失敗。<geo location> からのログインを試行し、MFA 段階で失敗しました。

- 過去のイベントと成功したログインを相関分析して解析するため、この検出はリアルタイムでは生成されません。アラートは、ログイン失敗の数時間後に生成される場合があります。

この異常は、クライアント ブラウザの脆弱性を確認します。イベントを実行したエンド ユーザが使用したブラウザのバージョン(SaaS によって報告された場合)を確認し、それを古いバージョンのリスト(既知の脆弱性があるもの)と比較します。

- 侵害されたアカウントとは、重大度レベルが Critical の異常(イベント)を指します。一方、侵害が疑われるアカウントとは、重大度レベルがそれより低い High、Medium、Low の異常を指します。

異常検出ワークフローの構成

Email Security が侵害された、または侵害された疑いのあるアカウントを検出すると、管理者は Anomaly Detection セキュリティ エンジンが自動アクションを実行するよう構成できます。そのためには、管理者はさまざまなシナリオに対して必要なワークフローを選択する必要があります。

異常検出ワークフローを構成するには:

  1. Security Settings > Security Engines に移動します。

  2. ConfigureAnomaly Detection をクリックします。

  3. Compromised accounts workflow で、重大な異常(アカウントが侵害されていることを示します)が検出された場合の必要なワークフローを選択します。

    • 管理者にメールアラートを送信し、侵害されたアカウントを自動的にブロックするには、Alert admins, automatically block user を選択します。

    • 管理者にメールアラートのみを送信するには、Alert admins を選択します。

    • 侵害されたアカウントの送信メールを自動的にブロックするには、Compromised accounts workflow セクションで、Add Anti-Phishing block list for outgoing emails チェックボックスを選択します。詳細:すべての送信Eメールを自動的にブロックする.

  4. Compromised Microsoft administrators で、侵害されたグローバル管理者アカウントが検出された場合の必要なワークフローを選択します。

    1. 侵害されたグローバル管理者アカウントをブロックするには、Automatically block adminを選択します。

    2. 侵害されたグローバル管理者アカウントのブロックを回避するには、Do nothingを選択します。

  5. 疑わしい異常(アカウントが侵害されている可能性を示す)が検出されたときにEメールアラートを送信するには、Suspected compromised accounts workflowで、Alert Adminsを選択します。

  6. 侵害されたアカウントに関するアラート専用のメールボックスを設定するには:

    1. Dedicated mailbox for alerts on compromised accountsチェックボックスをオンにします。

    2. Dedicated Alert Mailboxで、Eメール アドレスを入力します。

  7. Saveをクリックします。

:

  • Office 365 GCC環境のログインイベントを有効にするには、次にお問い合わせくださいCheck Point Support.

  • 異常の例外を作成するには、次を参照してください異常の例外.

  • 侵害されたアカウントとは、重大度レベルがCriticalの異常(イベント)を指し、侵害の疑いがあるアカウントとは、重大度レベルがそれより低いHigh、Medium、Lowの異常を指します。

  • 企業アセットのSAML/SSOIdentity ProviderとしてMicrosoft Entra ID(旧Azure AD)を使用している場合、ユーザはMicrosoft 365を含むすべてのアセットへのアクセスをブロックされます。

  • ユーザアカウントをブロックすると、そのアカウントに関連付けられているすべてのアクティブセッションが終了します。

  • Microsoftユーザアカウントをブロックすると、アカウントのパスワードがリセットされ、アカウントのブロック解除時にユーザは新しいパスワードを設定する必要があります。

すべての送信Eメールを自動的にブロックする

侵害されたアカウントが検出されてブロックされた後でも、管理者は次の理由により、侵害されたアカウントからのすべての送信Eメールをブロックして、別のセキュリティレイヤーを追加することを選択できます。

  • スケジュールされた悪意のあるメッセージ: 攻撃者は、侵害されたアカウントがいつでもブロックされる可能性を見越して、後で送信されるようにEメールをスケジュールすることがあります。

  • ハイブリッド環境: オンプレミスのActive DirectoryがAzure Active Directoryを上書きする環境では、ブロックされたユーザのブロックが解除される可能性があります。すべての送信Eメールをブロックすると、ユーザのブロックが解除された場合でも、侵害されたアカウントからEメールを送信できないことが保証されます。

すべての送信Eメールを自動的にブロックするには:

  1. Security Settings > Security Enginesに移動します。

  2. ConfigureAnomaly Detectionをクリックします。

  3. 侵害されたアカウントの送信Eメールを自動的にブロックするには、Compromised accounts workflowセクションで、Add Anti-Phishing block list for outgoing emailsチェックボックスをオンにします。

  4. 侵害の疑いがあるアカウントの送信Eメールを自動的にブロックするには、Suspected compromised accounts workflowセクションで、Add Anti-Phishing block list for outgoing emailsチェックボックスをオンにします。

  5. ここをSave.

:

  • このオプションを選択すると、システムが侵害されたユーザアカウントを検出したときに、自動的にアンチフィッシングのブロックリストが作成されます。このユーザからのすべてのEメールをフィッシングとしてフラグ付けし、設定されたフィッシングワークフローを適用します。

  • ブロックされた侵害アカウントのブロックを解除した後は、そのアカウントのブロックリストを手動で削除する必要があります。参照: アンチフィッシング例外の削除.

特定の異常の設定

不可能な移動の異常

ユーザが同じ国内の複数の場所からログインした場合でもImpossible Travel Anomalyイベントを生成するには:

  1. Security Settings >Security Engines にアクセス。

  2. ConfigureAnomaly Detectionをクリックします。

  3. Impossible Travel Anomalyで、Generate event even if the impossible travel is within the same countryチェックボックスをオンにします。

    詳細:不審な地理情報の異常(不可能な移動).

  4. Saveをクリックします。

異常の例外

誤ってフラグ付けされたイベントに対処するために、管理者は異常検出の例外を作成する必要がある場合があります。

異常の例外を作成するには:

  1. Events画面に移動します。

  2. 例外を作成する異常イベントを選択します。

  3. 縦三点アイコン(選択した異常イベントの右側)をクリックし、Add Exceptionを選択します。

    Create allow-list for anomalyポップアップ画面が表示されます。

  4. Allow-List typeで、ドロップダウンから必要な例外を選択します。

    - ドロップダウンには、選択した異常イベントに適用可能なさまざまなオプションが表示されます。

  5. Apply for all past eventsで、YesまたはNoを選択します。

    • Yes- 例外は、過去のすべてのイベントと今後のイベントに適用されます。

    • No- 例外は、選択したイベントのみに適用され、今後のすべてのイベントにも適用されます。

  6. 必要に応じて、異常の例外のCommentを入力します。

  7. ここをOK.

すべての異常の例外を表示するには、Security Settings > Exceptions > Anomalyに移動します。