• 製品
  • 関連ドキュメント
  • リソース
製品
関連ドキュメント
リソース
アトラシアン サポート
/
セキュリティ ポリシーとアクセス ポリシーのリソース
/
脅威の検出、調査、対応
/
検出を管理する

検出されるイベント

Beacon will soon be part of Atlassian Guard. Read the blog

Beacon beta (soon to be Guard Detect) helps teams detect, investigate, and respond to suspicious user activity and potentially sensitive data across Atlassian cloud products like Jira, Confluence, and Atlassian administration.

検出には以下の 2 種類があります。

  • ユーザー アクティビティ: これらの検出ではユーザーの行動を分析し、疑わしい行動について通知します。

  • コンテンツ スキャン: これらの検出ではデータに焦点を当て、機密性が高いと思われるデータが Confluence ページに追加されたときに警告します。

ユーザー アクティビティの検出

アトラシアンでは組織の以下の 5 種類のアクティビティをモニタリングしています。

  • 認証イベントとアクセス イベント

  • データ漏えいイベント

  • 異常なユーザー アクティビティ

  • 製品設定イベント

  • 統合変更イベント

認証イベントとアクセス イベント

内部か外部かを問わず、脅威アクターは通常、組織管理者などの権限の高いユーザー アカウントを標的にして組織のデータにアクセスするため、これらのアクティビティをモニタリングすることが重要となります。 アクセス権の変更を検出することで、アカウントの侵害や正当なアカウントの悪用を防ぐことができます。

このカテゴリの検出には以下が含まれます。

  • アクセス権とパスワードの変更: 別のユーザーとしての管理者ログイン (ユーザーのなりすまし)、組織管理者の変更、組織管理者のパスワード リセットなど

  • ポリシーの変更: IP 許可リスト ポリシーや認証ポリシーの変更、検証済みドメインの追加または削除など

  • 管理者 API キーの作成

例: ある IT 管理者が退職する予定なのですが、社内の Confluence スペースと Jira プロジェクトへのアクセス権を密かに維持したいと考えています。 この人物は会社の認証ポリシーに準拠していない別の管理者アカウントを作成することで、退職した後でもログインできるようにするつもりです。

新しい組織管理者アカウントが追加されると、それが検出されてチームにアラートが届くため、アカウントが悪用される前に脅威を調査して対応することができます。

データ漏えいイベント

組織のデータは最も貴重な資産の 1 つです。同時に、データには部外者と内部関係者両方の脅威から狙われやすい側面もあります。

データ漏えいが発生すると、脅威アクターは機密データや専有データを組織から盗み、組織の保護対象システム外で共有し、ビジネスにリスクをもたらそうとします。 疑わしいデータ漏えいイベントを検出することで、チームでそれらを調査し、必要に応じて、攻撃者が盗んだデータを使用できるようになる前に対応できます。

次のようなイベントを検出してチームにアラートを送信します。

  • Confluence ページとスペースのエクスポート、Confluence サイトのバックアップ、Atlassian Access の監査ログのエクスポート、ID プロバイダーの設定変更などのデータのエクスポート

例: 財務部門のある従業員が退職することになり、組織で最後となる週を過ごしています。 この人物は、個人的な参照用に、昨年取り組んだ戦略的イニシアチブに関する情報を含む一連の Confluence ページを保存したいと考えています。 この人物はプロジェクトに関連する 11 の Confluence ページを 30 分以内に PDF にエクスポートし、個人のメール アドレスに送信して自分のパソコンに保存しました。

短期間に異常な量の Confluence ページをユーザーがエクスポートしたときにチームにアラートが届くことで、チームではそのイベントを調査し、その従業員が雇用契約に違反していないかどうかを判断できます。

異常なユーザー アクティビティ

組織のシステムにアクセスできるユーザーには、それらを悪用する力もあります。 最小特権の原則に従うことで、厳重に保護されたシステムへの平均的な内部関係者のアクセスを制限できますが、それでもほぼすべてのユーザーは仕事を遂行するために機密データやシステムへのアクセスを必要とします。

しかし、ユーザー アクティビティの大規模なモニタリングは、ほとんどのセキュリティ チームにとって非常に困難か実行不可能です。 ユーザー アクティビティのモニタリングを自動化することで、通常とは異なるユーザーを把握し、不審な行動がエスカレートする前に検出できます。

次のようなイベントを検出してチームにアラートを送信します。

  • Confluence における不審な検索アクティビティ

  • Jira の課題と Confluence ページのクローリング

例: あるビジネス アナリストが最近、新しい生産性向上ソフトウェアをダウンロードしましたが、このソフトウェアには偶然にもコモディティ マルウェアの一種も含まれていました。 マルウェアの作成者はビジネス アナリスト ユーザーと同じレベルの権限で Confluence にアクセスできるようになり、盗んだりアクセス権の維持に使用したりできる機密情報を検索し始めました。

ビジネス アナリストのユーザー アカウントが Confluence で異常と思われる不審な検索を何度か行っているというアラートがチームに届くため、アクティビティを調査して根本原因に対処できます。

製品設定イベント

安全でない設定は悪意のある攻撃者が意図的に行うこともありますが、経験の浅い管理者が誤って起こしてしまう場合もあります。 アクターに善意があろうとなかろうと、安全でない設定は会社でホストしているデータすべてに悪影響を与える可能性があります。

組織全体の製品構成イベントをモニタリングすることで、安全でない設定が行われたり偶発的な変更が加えられた場合でも、チームでそれを把握して下流への影響を回避できます。

次のようなイベントを検出してチームにアラートを送信します。

  • パブリック設定: アプリ トンネルの作成と削除、Jira と Confluence への匿名またはパブリック アクセスの変更。

  • 組織管理者の変更

例: 新たにオンボードした管理者の 1 人が、Atlassian Cloud サイトから Confluence の Data Center インスタンスへのアプリ トンネルを作成しようとして、その過程で既存のアプリ トンネルをうっかり削除してしまいました。

アプリ トンネルが削除されたことで、通常のユーザーは必要なサイトやプロジェクトに数時間アクセスできなくなり、ビジネスに多くの遅延が生じました。

新しいアプリ トンネルが作成されるか削除されるとチームにアラートが届くので、チームで変更について把握し、業務でアプリ トンネルを利用している従業員に重大な混乱が生じる前に、問題のトリアージと修正に必要なコンテキストが得られます。

統合変更イベント

Atlassian Marketplace からサードパーティ アプリをインストールすると、クラウド サイトの 1 人または複数のユーザーに影響が及ぶ可能性があります。どのアプリがシステムにアクセスできるか、どのような種類のアクセス権を持っているかを追跡することがビジネスを守るうえで極めて重要となります。

次のようなイベントを検出してチームにアラートを送信します。

  • Marketplace アプリのインストールと削除: 現在、これらの検出は Forge アプリと、3LO アプリが組織に初めてインストールされたときにのみ発生します。

例: マーケティング チームのシニア リーダーが、組織全体の戦略的アップデートに取り組んでいて、提示している情報をわかりやすく説明するために Confluence に新しいカスタム チャート アプリを追加したいと考えています。 チームではスイート内の Cloud-Fortified アプリのみを許可していますが、このアプリはそのカテゴリには入りません。 しかし、メンバーは創業当初からの従業員であり、在職期間を通じて非常に特権的なアクセスを維持しているため、承認なしに新しいアプリをインストールすることができます。

新しい Marketplace アプリがインストールされるとすぐにチームに通知されます。 チームでアラートを調査してこのアプリが社内基準を満たしていないと判断したら、すぐに削除することができます。

モニタリング対象イベントの包括的なリストを確認するには、[Detections (検出)[ > [ユーザー アクティビティ] に移動します。

コンテンツ スキャンの検出

コンテンツ スキャン ルールでは、Confluence ページに追加される可能性のある機密データをモニタリングします。

ルールでは次のデータをモニタリングします。

  • 資格情報

  • 財務データ

  • 身元データ

資格情報

認証情報には、認証と暗号化に使用される API トークンや秘密鍵などのデータが含まれます。 たとえば、Jira を継続的インテグレーション ツールに連携したい場合は、API トークンを使用できます。 API トークンや秘密鍵が侵害された場合、重要なセキュリティ対策を迂回してデータにアクセスしたり盗み出したりされる可能性があります。

ユーザーがページを公開または更新すると、コンテンツをスキャンして、認証情報と思われるテキストを探します。

例: あるソフトウェア チームのチーム リーダーが今月、複数の新しいチーム メンバーの研修を行います。 新しいチーム メンバーに短期間で戦力になってもらうために、チーム リーダーは CI/CD ツールの API キーをチームのプライベート スペースにある Confluence ページに追加します。

API キー形式のデータがページに追加された直後に、チームにアラートが届きます。 チームではアラートを調査してから、データの削除、ページ履歴の完全削除、API キーの取り消しをチーム リーダーに依頼できます。

財務データ

財務情報は組織で保持するデータのなかでも最も機密性が高いものの 1 つです。 このデータの取り扱いは法律で規制されている場合があり、データ インシデントに対する罰則は厳しい場合があります。 データが侵害された人物が個人情報の盗難の危険にさらされたり、盗まれた認証情報を使って行われた金銭的義務を負ったりする可能性もあります。

ユーザーがページを公開または更新すると、コンテンツをスキャンして、クレジット カード番号、国際銀行勘定番号 (IBAN)、ビットコイン アドレスなどのテキストを探します。

例: 大規模な顧客会議が間近に迫っており、総出で準備に取り掛かっています。 準備をスムーズに進めるために、イベント チームのマネージャーは自社のクレジット カードの情報を Confluence ページに追加しました。そのため、イベントに携わるスタッフは、予約やデポジットの支払いの際にクレジット カード情報を尋ねる必要がありません。

クレジット カードと思われる番号がページに追加された直後に、チームにアラートが届きます。 チームではアラートを調査し、カード番号を削除してページ履歴を完全に削除するようマネージャーに依頼できます。

身元データ

個人データが含まれる場合がある身元データは、組織で保有する最も重要なデータの一部です。 その紛失は、情報が漏洩した個人に深刻な損害を与える可能性があります。

ユーザーがページを公開または更新すると、コンテンツをスキャンして、米国の社会保障番号 (SSN) である可能性のあるテキストを探します。

例: 自社の人事システムがアップグレード中であるため、数時間使用できません。 正式なシステムに入力できるようになるまで、チームのリクルーターは Confluence ページに新入社員の詳細を記録することにしました。 ページを自分たちのチームだけに制限していたので、データは安全だと確信しており、システムがオンラインに戻ったらすぐに削除する予定です。

社会保障番号 (SSN) と思われる番号がページに追加された直後に、チームにアラートが届きます。 チームではアラートを調査し、ページを削除してゴミ箱を空にするようリクルーターに依頼できます。

スキャン対象コンテンツの包括的なリストを確認するには、[Detections (検出)] > [Content scanning (コンテンツ スキャン)] に移動します。

その他のヘルプ

このページの内容ユーザー アクティビティの検出認証イベントとアクセス イベント データ漏えいイベント異常なユーザー アクティビティ製品設定イベント統合変更イベントコンテンツ スキャンの検出資格情報財務データ身元データ
コミュニティ質問、ディスカッション、記事