[EMS] Microsoft Advanced Threat Analytics (ATA) による AD上のID・認証情報に対する不正なアクセスやふるまいの検知


皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。

今回は標的型攻撃対策 / サイバーセキュリティ対策をテーマに、

8月にリリースされた製品である Microsoft Advanced Threat Analytics (ATA) についてご紹介を致します。


標的型攻撃の代表的なものには「標的型メール」が挙げられます。

「標的型メール」は悪意のある攻撃者が最終的な目的を達成するのための足掛かりの一つとして利用されることが一般的ですが、

その多くの場合は端末の認証情報 (ID / Password) を取得することを目的としていると考えられます。


「標的型メール」を通して取得された端末の認証情報 (ID / Password) は、

企業のネットワーク内に存在するより重要な情報を取得するために、

ネットワーク内の他の端末へのアクセスと認証情報の取得に利用されます。

そして、最終的には Active Directory ドメインのドメイン管理者の認証情報を取得し、

重要な情報の取得を誰にも気づかれないように実施します。

残念ながら、これらの悪意のある攻撃者の不正な活動は従来型のセキュリティ対策では発見が難しいのが現状となります。

つまり、企業には ID・認証情報を利用した悪意のある攻撃者の不正なアクセスやふるまいを検知できる仕組みが必要となります。

Microsoft Advanced Threat Analytics (ATA) は上記の脅威への対策としてご活用頂けます。

ATA はActive Directory への認証情報を監視・学習することができます。

これにより、ネットワーク内に存在するユーザーが通常と異なる動作をしていないか、

悪意のある攻撃者が利用する Pass the Ticket や Pass the Hash などの 代表的な攻撃手法が行われていないかを検知します。

 (1) 悪意のある攻撃の検出

悪意のある既知の攻撃をほぼ瞬時に検出します。

・Pass-the-Ticket (PtT)

・Pass-the-Hash (PtH)

・Overpass-the-Hash

・PAC の偽造 (MS14-068)

・ゴールデン チケット

・スケルトン キー マルウェア

・アカウント列挙攻撃による偵察

・ブルート フォース

・リモート実行






(2) 異常な動作の検出

Machine Learning を活用した行動分析によって、疑わしいアクティビティや異常な動作を発見します。

・変則的なログイン

・未知の脅威

・パスワード共有

・侵入後の活動拡大


 
(3) セキュリティ問題とリスクの検出

既知のセキュリティ問題を検出します。

・無効な信頼関係

・脆弱なプロトコル

・プロトコルの既知の 脆弱性

 
標的型攻撃、サイバー攻撃の脅威は日々増すばかりです。

これらの脅威への対策の一環として、ATA が皆様のお役に立てますと幸いです。

■ Advanced Threat Analytics 試用版
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
 

Comments (0)

Skip to main content