Azure Advanced Threat Protection とはWhat is Azure Advanced Threat Protection?

Azure Advanced Threat Protection (ATP) はクラウド ベースのセキュリティ ソリューションであり、オンプレミスの Active Directory シグナルを利用して、組織を対象とする高度な脅威、侵害された ID、および悪意のあるインサイダーによるアクションの識別、検出、調査支援を行います。Azure Advanced Threat Protection (ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization. Azure ATP を利用することで、ハイブリッド環境での高度な攻撃を検出するために苦労している SecOp アナリストやセキュリティ専門家は、以下のことができます。Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • 学習ベースの分析を使用してユーザー、エンティティの動作、アクティビティを監視しますMonitor users, entity behavior, and activities with learning-based analytics
  • Active Directory に格納されているユーザー ID と資格情報を保護しますProtect user identities and credentials stored in Active Directory
  • ユーザーの疑わしいアクティビティおよび kill チェーン全体での高度な攻撃を識別して調査しますIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • 高速なトリアージのためにシンプルなタイムラインで明確なインシデント情報を提供しますProvide clear incident information on a simple timeline for fast triage

ユーザーの動作とアクティビティを監視してプロファイリングしますMonitor and profile user behavior and activities

Azure ATP では、ネットワーク全体でユーザーのアクティビティと情報 (アクセス許可やグループ メンバーシップなど) が監視されて、各ユーザーの行動ベースラインが作成されます。Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. その後、Azure ATP では、適応型の組み込みインテリジェンスによって異常が識別され、不審なアクティビティやイベントに関する分析情報がユーザーに提供されて、組織に対する高度な脅威、侵害されたユーザー、インサイダーの脅威が明らかにされます。Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Azure ATP の独自センサーにより組織のドメイン コントローラーが監視されて、すべてのデバイスからのすべてのユーザー アクティビティに関する包括的なビューが提供されます。Azure ATP’s proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

ユーザーの ID を保護して攻撃対象領域を減らすProtect user identities and reduce the attack surface

Azure ATP では、ID の構成と推奨されるセキュリティのベスト プラクティスに関する貴重な分析情報が提供されます。Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. Azure ATP のセキュリティ レポートとユーザー プロファイル分析を使用することで、組織の攻撃対象領域を劇的に削減し、ユーザーの資格情報を侵害したり攻撃を進めたりするのを困難にします。Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Azure ATP の視覚的な横移動パスは、攻撃者が組織内を横断的に移動して機密性の高いアカウントを侵害する方法を正確にすばやく理解するのに役立ち、そのようなリスクを事前に防止するのに役立ちます。Azure ATP’s visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Azure ATP のセキュリティ レポートは、クリアテキストのパスワードを使用して認証を行っているユーザーとデバイスを特定するのに役立ち、組織のセキュリティ体制とポリシーを向上させるための追加の分析情報を提供します。Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

サイバー攻撃 kill チェーン全体で不審なアクティビティと高度な攻撃を識別するIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

通常、攻撃は、低い特権のユーザーなどの任意のアクセス可能なエンティティに対して開始された後、攻撃者が機密性の高いアカウント、ドメイン管理者、機密性の高いデータなどの貴重な資産にアクセスするまで、すばやい横断的な移動が続けられます。Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Azure ATP では、サイバー攻撃 kill チェーン全体のソースでこのような高度な脅威が識別されます。Azure ATP identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

偵察Reconnaissance

悪意のあるユーザーおよび攻撃者による情報取得の試みを識別します。Identify rogue users and attackers’ attempts to gain information. 攻撃者は、さまざまな方法を使用して、ユーザー名、ユーザーのグループ メンバーシップ、デバイスやリソースなどに割り当てられた IP アドレスに関する情報を検索しています。Attackers are searching for information about user names, users’ group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

資格情報の侵害Compromised credentials

ブルート フォース攻撃、失敗した認証、ユーザー グループ メンバーシップの変更、その他の方法を使用することによるユーザー資格情報の侵害の試みを識別します。Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

水平方向の活動Lateral movements

Pass-the-Ticket、Pass-the-Hash、Overpass-the-Hash などの手段を用いて、ネットワークの横断的移動により機密性の高いユーザーを制御しようとする試みを検出します。Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

ドメインの支配Domain dominance

ドメイン コントローラーでのリモート コード実行、および DC シャドウ、悪意のあるドメイン コントローラーのレプリケーション、ゴールデン チケット アクティビティなどの手段により、ドメインの支配が達成された場合に、攻撃者の動作を強調表示します。Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

アラートとユーザー アクティビティを調査するInvestigate alerts and user activities

Azure ATP は一般的なアラート ノイズを減らすように設計されており、関連のある重要なセキュリティ アラートのみを、シンプルなリアルタイムの組織攻撃タイムラインで提供します。Azure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Azure ATP の攻撃タイムライン ビューでは、スマート分析のインテリジェンスを利用して、簡単に問題に集中し続けることができます。The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Azure ATP を使用すると、脅威をすばやく調査し、組織全体のユーザー、デバイス、ネットワーク リソースに関する分析情報を得ることができます。Use Azure ATP to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. Windows Defender ATP とのシームレスな統合により、オペレーティング システムでの高度な永続的脅威に対する検出と保護が追加されて、強化されたセキュリティの新しいレイヤーが提供されます。Seamless integration with Windows Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Azure ATP に関するその他のリソースAdditional resources for Azure ATP

無料試用版の使用開始Start a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Microsoft Tech Community で Azure ATP をフォローするFollow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Azure ATP Yammer コミュニティに参加するJoin the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Azure ATP の製品ページを見るVisit the Azure ATP product page

https://azure.microsoft.com/features/azure-advanced-threat-protection/

Azure ATP のアーキテクチャの詳細Learn more about Azure ATP architecture

Azure ATP のアーキテクチャAzure ATP Architecture

Microsoft IgniteMicrosoft Ignite

Microsoft Ignite 2018 では、Azure Advanced Threat Protection に重点を置いた複数のセッションが大きく取り上げられました。Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. セッションは記録されているので、イベントを見逃してしまった場合は、以下の内容をご覧になることをお勧めします。Sessions were recorded, so if you missed the event, we recommend you watch here:

Azure ATPAzure ATP

BRK3117 SecOp と、Azure ATP を使用したインシデント対応 - YouTube のビデオをご覧くださいBRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

Azure ATP および Azure AD IP (Active Directory Identity Protection)Azure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237 - ご利用のハイブリッド クラウド環境を Azure AD Identity Protection と Azure ATP を使用してセキュリティで保護する - YouTube のビデオをご覧くださいBRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157 - Microsoft Information Protection ソリューションのデプロイと導入を加速させる - YouTube ビデオをご覧くださいBRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

Ignite 2018 で伝えられた Azure ATP に関するお知らせの概要については、Azure Advanced Threat Protection による統合、検出、および法科学機能の強化に関するブログ記事を参照してください。For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

次のステップWhat's next?

Azure ATP を次の 3 つのフェーズでデプロイすることをお勧めします。We recommend deploying Azure ATP in three phases:

フェーズ 1Phase 1

  1. ご利用の主要な環境を保護するように Azure ATP を設定します。Set up Azure ATP to protect your primary environments. Azure ATP の高速デプロイ モデルにより、組織の保護をすぐに開始できます。Azure ATP's fast deployment model enables you to start protecting your organization today. Azure ATP のインストールInstall Azure ATP
  2. 機密性の高いアカウントハニートークン アカウントを設定します。Set sensitive accounts and honeytoken accounts.
  3. レポートと横移動パスを確認します。Review reports and lateral movement paths.

フェーズ 2Phase 2

  1. 組織内のすべてのドメイン コントローラーとフォレストを保護します。Protect all the domain controllers and forests in your organization.
  2. すべてのアラートを監視し、水平方向の移動とドメインの支配アラートを調査します。Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. セキュリティ アラート ガイドを参考にして、脅威について理解し、潜在的な攻撃をトリアージします。Work with the Security Alert guide to understand threats and triage potential attacks.

フェーズ 3Phase 3

  1. Azure ATP アラートを SecOp ワークフローに統合します。Integrate Azure ATP alerts into your SecOp workflows.

関連項目See Also