コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=identity-detection-findings

調査結果

調査結果」ページには、調査結果 (ファインディング) がリスクレベル順に一覧表示されます。これは、アイデンティティインフラストラクチャに対して実行した全般チェックの結果です。それぞれの調査結果 (ファインディング) に、ステータス、リスクレベル、カテゴリが割り当てられます。

アイデンティティの調査結果。

調査結果のステータス

新しい調査結果 (ファインディング) のステータスは「オープン」になります。優先順位を判断し、対処したら、詳細画面からステータスを変更できます。状態は以下のいずれかです:

  • 開く:まだ対処しておらず、環境内に存在している。
  • 解決済み:対処済み、または、問題を緩和済み。
  • 却下:想定内であり、対処は不要。

調査結果のリスクレベル

実施したチェック、および、潜在的なリスクに基づき、以下のいずれかのリスクレベルが割り当てられます。

  • 重要:重大なリスクがあり、直ちに対処が必要。
  • :直ちに対処が必要。
  • :重大なリスクはないが、調査を推奨。
  • :微小なリスクがある。
  • 情報レベル:リスクはほとんどないが、可能であれば確認するとよい。

アイデンティティのリスクレベル。

調査結果のカテゴリ

調査結果 (ファインディング) は、実施したチェックの種類に基づき、MITRE ATT&CK フレームワークに沿って以下のように分類されます。

  • ユーザーの動作
  • 設定
  • Entra 条件付きアクセスの不備
  • 休眠リソース
  • ラテラルムーブメント
  • 認証情報の侵害
  • 常駐
  • 権限昇格
  • 防御の回避
  • 盗み出し

調査結果の優先順位

調査結果 (ファインディング) は、リスクレベルの高いものから優先的に対処しましょう。そうすることで、アイデンティティ攻撃を受けるリスクを効果的に減らし、リスク状況スコアを向上できます

Warning

ビジネス上のニーズや、個々の環境、リスクへの耐性、対処能力などに基づいて、調査結果と推奨事項を検討してください。対処するために何らかの変更を加えると、ユーザー、アプリケーション、アクセスに思わぬ影響が出ることがあるため、慎重な検討が必要です。推奨事項を適用する前に、お客様の環境に基づいてこの潜在的な影響を評価し、可能であればテストしてください。

また、すべての調査結果 (ファインディング) に対処することは現実的ではありません。たとえば、サードパーティのアプリケーションで特権が必要な場合や、脆弱な認証メカニズムしかサポートされていない場合は、対処のしようがないからです。しかし、組織にとって潜在的なリスクであるという認識をもって、監視を続ける必要があります。

調査結果についてよく検討したうえで、以下の対処を行ってください。

  • 解決する:アイデンティティシステム内で適宜対処します。これにより、全体的なリスクスコアが下がります (リスクスコアは 24時間ごとに計算されるため、次回の計算時に反映されます)。
  • 却下する:対象オブジェクトについてこの調査結果を無効にし、今後、検出されないようにします。全体的なリスクスコアからも除外されます。この調査結果はダッシュボードから消えますが、調査結果表には引き続き表示されます。
  • オープンのままにする:対処を保留にして、監視を続けます。全体的なリスクスコアに引き続き反映されます。

アイデンティティの調査結果表

アイデンティティの調査結果」表では、データの並べ替え、フィルタリング、配置変更が可能です。左側にあるフィルタメニューを使って、調査結果のリストを絞り込めます。

フィルタを選択すると、選択した条件に従って、表と URL が更新されます。この URL を同僚に共有したり、絞り込んだ調査結果を保存したりできます。

表の上部に、選択したフィルタが表示されます。X をクリックして個々のフィルタを取り消せます。すべてのフィルタを取り消して全項目を表示するには、「すべてクリア」をクリックします。

調査結果のフィルタリング

アイデンティティの調査結果」では、以下のフィルタを組み合わせて適用できます。

  • リスク:リスクレベル。

  • 状態:以下のいずれかになります。

    • 開く
    • 解決済み
    • 消去

  • 参照の種類:調査結果に関係するオブジェクトの種類。以下のいずれかになります。

    • ユーザーオブジェクト
    • アプリケーション
    • グループオブジェクト
    • デバイスオブジェクト
    • テナントの構成

  • カテゴリ:調査結果のカテゴリ。

  • 新規:過去 7日以内に初めて見つかったもの。
  • 調査結果:調査結果のタイトル。
  • 初回検出日:最初に検出された日。
  • 最終検出日:最後に検出された日。

調査結果の詳細

調査結果」列のリンクをクリックすると詳細画面が開き、基本的な参照元、その他の参照元、リスク、初回検出日 (日時)、最終検出日 (日時)、最終変更日 (日時)、推奨事項が表示されます。

その他の情報を表示するには、左上のアイコンをクリックして、別のタブでページ全体を開いてください。どちらの画面でも、以下の情報が表示されます。

  • 調査結果の詳細:リスクレベル、ステータス、コメント、日時、タグなど。
  • 説明:調査結果の説明。
  • 定義:アイデンティティチェックおよび参照元に関する情報。
  • 推奨事項:問題を緩和するための推奨事項。

調査結果の詳細パネル。

Tip

基本的な参照元」または「その他の参照元」をクリックすると、Entra ID 内のオブジェクトに直接移動できます。

調査結果のステータスの更新

ステータス」メニューをクリックして、調査結果のステータスを更新できます。

  • 開く:まだ対処しておらず、環境内に存在している。
  • 却下:想定内であり、対処は不要。この問題について、新たな調査結果は生成されません。
  • 解決済み:対処済み、または、問題を緩和済み。

ステータスを「解決済み」または「却下」に変更すると、環境へのリスクとみなされなくなります。手動で解決した問題が再発した場合、ステータスが再び「オープン」に切り替わります。必要な緩和措置や、解決または却下の手順が完了していることを確認してください。

また、調査結果としてリストアップされていた問題が見られなくなった場合は、自動的に「解決済み」になり、コメントにその旨が記されます。

結果タブ

結果」タブには、実行したチェックの出力結果がそのまま JSON 形式で表示されます。ここで詳細を把握できます。

履歴タブ

履歴」タブには、対処の履歴が表示されます。「差を表示」をクリックすると、具体的な変更点を確認できます。