攻撃と乗っ取りを見つけ出す!Active Directory 脅威診断・監視サービス攻撃と乗っ取りを見つけ出す!Active Directory 脅威診断・監視サービス

Active Directoryが狙われている!

ユーザのアカウント管理にActive Directory(AD)を利用されている企業や組織は多くあります。
一方で、ADの脆弱性を狙ったサイバー攻撃は増加しています。ひとたびADの管理者権限が奪われてしまうと、ネットワーク上の端末情報やADユーザのアカウント情報、それに伴う個人情報などが攻撃者の手に渡ってしまいます。
社内ネットワークへ侵入に必要な情報で、攻撃者に決して渡してはいけない情報です。

最近、企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しています。特定の組織を標的としたランサムウェアが内部に侵入・感染して大規模なシステム障害を引き起こしたり、機密情報が大量に盗まれてダークウェブなどで公開されるといったインシデントが発生しています。

攻撃例

不審なPowerShell実行、不審なタスク登録

不審なPowerShell実行、不審なタスク登録

VPNルータ の脆弱性から侵入され、Active Directory が乗っ取られサーバが暗号化

VPNルータ の脆弱性から侵入され、Active Directory が乗っ取られサーバが暗号化

Active Directory への攻撃の対処方法については
お気軽にお問い合わせください!

こんな課題を解決しませんか?

不審なPowerShell実行、不審なタスク登録

対策のポイント

サイバー攻撃をうけ、情報が漏えいするまでの過程に応じたセキュリティ対策が必要となります。
Active Directory 脅威診断・監視サービスは、 メールやWebを経由した検知できない攻撃やGW(UTM/VPN)からの攻撃に有効です。

対策のポイント

Active Directory 脅威診断・監視サービスとは

Active Directory(AD)サーバおよびファイルサーバや管理者端末のイベントログを分析エージェント(以下エージェントと呼称)およびアナリストが分析し、管理者アカウントの窃取、不審な PowerShell 実行やグループポリシー改ざんなどを検出するサービスです。

不審なPowerShell実行、不審なタスク登録

主に検出する脅威

以下のような脅威が検出可能です。

  • パスワードスプレイ攻撃
  • Pass The Hash
  • Golden Ticketの利用
  • DCShadow
  • DCSync
  • BloodHound
  • Skeleton Key
  • メモリからのクレデンシャル情報流出
  • 不審なPowerShell実行
  • 登録外のIPと管理者の組み合わせでログオン
  • 登録管理者以外の管理者権限ログオン
  • 不審なタスク登録
  • イベントログ消去
  • アカウントロック
  • 不審なグループポリシー操作
  • 登録されていない管理者ユーザー情報
  • RDPログオン/ログオフ
  • 不審なレジストリ操作
  • PSEXECの実行
  • 遠隔コマンド実行
  • 不審なファイル共有

サービスメニュー

Active Directory 脅威診断・監視サービスでは、2つのメニューをご用意しております。

診断サービス

最新脅威動向を踏まえ、Active Directory やファイルサーバを狙ったサイバー攻撃をうけているか診断します。脅威を検出したり、脅威発生時に分析するために必要な監査ログの設定が 適切に行えているかを診断いたします。

診断サービス概要図

対象機器:ADサーバ、ファイルサーバ、管理者端末
監視方法:独自開発の監視用エージェント(AD Agent)をインストール

監視サービス

Active Directory に特化したロジックでSIEMやEDRではカバーできない脅威を検知します。 検知した脅威のログのみを送信するため、ログ量が格段に少なくなります。

監視サービス概要図

対象機器:Active Directory サーバ、ファイルサーバ
診断方法:イベントログを分析エージェント及びアナリストが分析して診断

Active Directory への攻撃の対処方法については
お気軽にお問い合わせください!