Active Directory 監視サービス

Active Directory 監視サービスは、Active Directory やファイルサーバ（Windows Server）に対するサイバー攻撃を監視するサービスです。
S＆J が開発した「AD Agent」を利用して、イベントログだけでは検出できない脅威の検知が可能になります。 Active Dierctory へのサイバー攻撃の脅威を監視することで、早期に脅威を検知でき、Active Directory の乗っ取られる被害に遭うなどのリスクを低減できます。

よくあるお悩みActive Directory のセキュリティ対策で悩んでしませんか？

Active Directoryは、多くの企業でユーザやデバイスの認証・認可を行う認証基盤として導入され非常に重要です。昨今、Active Directory の脆弱性を狙ったサイバー攻撃が増加しています。ひとたび Active Directory の管理者権限が奪われてしまうと、ネットワーク上の端末情報やユーザのアカウント情報、それに伴う個人情報などが攻撃者の手に渡ってしまい、機密情報が盗まれてしまいます。
企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しないようにするための対策を行うことは非常に重要ですが、以下のような悩みはありませんか？

Active Directory がサイバー攻撃に遭った場合の影響度がわからない

Active Directory の運用は構成管理は行っているが、脆弱性の管理までは手が回らないといった自体になっていないだろうか。Active Direcotory は社内にあるからセキュリティ対策が後手になりがちだ。しかし、昨今は、Active Directory の脆弱性を狙った攻撃が増加している。管理者権限を奪取し、機密情報が格納されているサーバに侵入して、機密情報を外部に送信したり、身代金要求のために暗号化したりする。そうなった場合、企業の事業存続にも影響を及ぼしかねない自体になりえます。

SIEM や EDR で検出できない脅威への対策がしたい

常に増え続ける新しい脅威などのサイバー攻撃に対抗するため、SIEM（Security Information and Event Management）やEDR（Endpoint Detection and Response）を導入しているが、これらの対策で検出できない脅威があるのかわからない。また、そのような脅威に対して、どのようなセキュリティ対策をすればいいかわからないなど、セキュリティに対する悩みはつきません。

イベントログの量が多いため確認に時間がかかる

サーバや業務システム、ネットワーク機器やセキュリティ製品などは、ログを出力し続けています。エラーやアクセス状況の管理や監視を行う上で、ログは非常に重要なものです。しかし、システムが異なるが故に分散して格納されていたり、確認する方法も様々です。いざ、ログを確認しようと思ってもログの量が多く、時間がかかってしまうという悩みをお持ちではないでしょうか。

対策のポイント

サイバー攻撃により情報が漏えいするまでの過程に応じたセキュリティ対策が必要となります。
Active Directory 監視サービスは、メールやWebを経由した検知できない攻撃やGW（UTM/VPN）からの攻撃に有効です。

解決策Active Directory に対する攻撃と乗っ取りを監視する！！

Active Directory 監視サービスは、 Active Directory(AD)およびファイルサーバや管理者端末のイベントログを分析エージェント(以下エージェントと呼称)およびアナリストが分析し、管理者アカウントの窃取、不審な PowerShell 実行やグループポリシー改ざんなどを監視するサービスです。
Active Directory に特化したロジックで SIEM や EDR ではカバーできない脅威を検知します。検知した脅威のログのみを送信するため、ログ量が格段に少なくなります。
サイバー攻撃に対抗するには、情報が漏えいするまでの過程に応じたセキュリティ対策が必要となります。メールやWebを経由した検知できない攻撃やGW（UTM/VPN）からの攻撃にも有効です。

※監視方法：独自開発の監視用エージェント（AD Agent）とアナリストで24時間365日監視

メールや Web を経由した攻撃への対策

サイバー攻撃を受けて、情報が漏えいするまでの過程に応じたセキュリティ対策が必要となります。
Active Directory 脅威診断・監視サービスは、メールやWebを経由した検知できない攻撃やGW（UTM/VPN）からの攻撃に有効です。

Active Directory をセキュアに運用

Active Directory への攻撃は、認証情報の悪用、Active Directory、ドメインコントローラーや Windows Server の脆弱性を悪用、ローカル管理者の権限を悪用するなどがあります。 Active Directory に対する脅威は、下記のような攻撃が検出可能です。

主に検出する脅威

アカウントロック
不審なPowerShell実行
不信な管理共有
Golden Ticketの利用
登録管理者以外の管理者権限ログオン
イベントログ消失
PrintNightmare
パスワードスプレー攻撃
BloodHound
不審なタスク登録
RDPログオン／ログオフ
不審なレジストリ操作
PSEXECの実行
不審なコマンドの実行
Pass The Hash
DCShadow
DCSync
Skeleton Key
メモリからのクレデンシャル情報流出
意図しない管理者登録
Kerberoasting攻撃
Zelologon
登録外のIPと管理者の組み合わせによるログオン
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用

導入効果Active Directory の監視でいち早く攻撃を検知！

サイバー攻撃は、高度化かつ巧妙化しており、気づくのがますます難しくなってきています。Active Direcotry は、認証・認可をつかさどる重要なシステムです。ひとたび、管理者権限を奪われてしまった場合、社内ネットワークに横断して侵入され、機密情報が奪われる自体になりかねません。

Acitve Directory 脅威診断・監視サービスにより、Active Directory に特化したロジックにより、SIEM や EDR で検出できない脅威をいち早く検知します。

致命的な脅威をいち早く検知できる

サイバー攻撃により、Active Directory に対するサイバー攻撃を早い段階で気づくことで、被害の発生を防ぐことができます。Active Directory に対する脅威を監視しておくことで、脅威を検知し、攻撃に対する対処をいち早く行えます。

Active Directory や端末に対する攻撃を検知できるようになる

SIEMでは検知が困難な脅威な DCShadow、DCSync、Pass The Hash、Golden Ticket、BloodHoundなどを検知できるようになります。

ログを確認する運用負荷が低くなる

検知した情報のみを送信するため、SIEM よりもログ量が格段に少なくなります。

Active Directory の攻撃例Active Directory が狙われている！

ユーザのアカウント管理にActive Directory（AD）を利用されている企業や組織は多くあります。
一方で、ADの脆弱性を狙ったサイバー攻撃は増加しています。ひとたびADの管理者権限が奪われてしまうと、ネットワーク上の端末情報やADユーザのアカウント情報、それに伴う個人情報などが攻撃者の手に渡ってしまいます。
社内ネットワークへ侵入に必要な情報で、攻撃者に決して渡してはいけない情報です。

最近、企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しています。特定の組織を標的としたランサムウェアが内部に侵入・感染して大規模なシステム障害を引き起こしたり、機密情報が大量に盗まれてダークウェブなどで公開されるといったインシデントが発生しています。