このような兆候は、総当たり攻撃(ブルートフォース)の初期段階であることが多く、
早期に検知できるとセキュリティ対応の質もぐっと高まります。

今回は、Sentinelでこのような 「ログオン失敗の多発」 を検知する カスタムアラート の作成方法を紹介します!

1. どんなときに使える?

以下のようなケースに有効です。

  • 同じユーザーで何度も失敗している(なりすましの可能性)
  • 同じIPから多くのユーザーへのログオン失敗がある(自動スキャンの可能性)
  • 深夜に不自然な回数のログオン失敗がある(外部攻撃の兆候)

2. クエリ例:同一IPからの失敗が5回以上

kql

SigninLogs
| where ResultType != 0  // ログオン失敗
| summarize Count = count() by IPAddress, bin(TimeGenerated, 5m)
| where Count >= 5

このクエリでは、「5分間に5回以上ログオン失敗したIP」を抽出します。

💡 ポイント:

  • ResultType != 0 はログオン失敗を示す条件
  • summarize で集計
  • bin() で時間を丸めて処理負荷を軽減

3. アラートルール作成手順

  1. Sentinel → 分析(Analytics) を開く
  2. 「+ 作成」をクリック
  3. 種類:スケジュール済みクエリルール を選択
  4. 以下を設定

4. 自動対応との連携(Logic Apps)

アラート発報後、以下のような自動処理と連携が可能です。

  • Microsoft Teams や Slack への通知
  • 対象IPをFirewallで一時ブロック
  • セキュリティチームへの自動メール送信
  • ServiceNow や Backlog でチケット自動起票

5. 実装後のチェックポイント

  • 本当に攻撃か?
    誤検知防止のため、正常な失敗と区別がつくか確認
  • 通知が多すぎないか?
    アラートの条件を見直し、ノイズを最小化
  • 他のルールと重複していないか?
    同様のルールが既に存在していないか確認

6. まとめ:ブルートフォース対策は早期検知がカギ

テンプレートではカバーしづらい攻撃の兆候も、カスタムアラートなら柔軟に対応可能です。
アラート設計や自動対応にお困りの際は、Colorkrew Securityまでお気軽にご相談ください!