Microsoft Defender for Identity を使用して攻撃を特定する

  • 5 分

組織のセキュリティ アナリストとして、組織の環境全体で、特に ID を標的にした攻撃があることをあなたは理解しています。 組織には多数のユーザーとデバイスが含まれているので、こうした攻撃を監視できる必要があります。 ここでは、Microsoft Defender for Identity を使用して組織の ID に対する脅威を検出する方法について説明します。

攻撃者による組織からの ID 情報の取得の試みは、多くの場合、次のようなタスクの一部またはすべてを実行するプロセスと要求の要求により示唆されます:

  • セキュリティおよび ID 情報のシステムの偵察または監視。
  • ユーザー、コンピューター、またはサービスの資格情報を侵害する試み。
  • 比較的オープンで、低い特権のサービスからユーザー アカウントや ID などの情報を、より価値の高い資産に対して使用するための収集。
  • ドメインのキーとディレクトリ構造を変更しようとする試み。
  • サービスまたはコンピューターからの機密データの予期しない逆浸出。

攻撃者は、多くの場合、これらのタスクを一連のフェーズとして実行します。 たとえば偵察フェーズは、攻撃者の開始点となる場合が多く、その後に侵害フェーズを実行して、保護の弱いコンピューター、サービス、またはユーザー アカウントにアクセスすることで、システムの足掛かりを得ます。 この時点で、攻撃者は侵害されたアカウントを収集フェーズで使用し、環境内の他のより重要なアカウントや資産に関する情報を収集することで、システムの他の部分を調査して侵入しようとします。

攻撃者は、横方向の移動パスを利用して、ドメイン全体に対する権限を取得するまで、特権を増やすアカウントにアクセスする増分アプローチを採用する可能性があります。 この時点で、攻撃者はドメインのセキュリティ構造を変更し、暗号化キーを置き換え、ユーザーに権限を付与および拒否し、ドメイン内のあらゆるデータを読み取りまたは書き込みできます。 このステージは、ドメイン支配フェーズと呼ばれます。 攻撃者が制御を握ってしまうと、アカウントとセキュリティ データ (キー、パスワードなど) をオフサイトの場所に転送して、その後の使用に備える可能性があります。 この段階は、浸出フェーズです。 将来のどこかの時点で、この情報が、システムに対する大規模な攻撃を開始したり、組織からデータを盗んだりするのに使われる可能性があります。

攻撃のフェーズを示す図。

悪意のあるアクティビティの検出

Microsoft Defender for Identity を使用すると、タスク中に攻撃者のアクションに関連する多くのイベントを検出し、観察されたアクティビティのデータをキャプチャするアラートを発することができます。 組織の管理者は、これらのアクティビティを詳細に調査できます。

Microsoft Defender for Identity のアラートのタイムラインを示す図。

偵察活動の検出

Microsoft Defender for Identity を使用して、偵察アクティビティを検出できます。 偵察活動は、いくつかの異なる形式を取り得ます。 たとえば、攻撃者はサインイン要求を送信して、どの資格情報が機能するかを確認することで、ドメイン内のユーザー名を推測しようとするアカウント偵察プロセスをマウントする可能性があります。

その他の種類の偵察アクティビティには、次のものが含まれます:

  • Active Directory のスキャン。 攻撃者は、ディレクトリにアクセスして、その構造、ユーザー アカウント、コンピューター、デバイス、グループ メンバーシップ、他のドメインへの接続など、ドメインに関する情報を取得しようとする可能性があります。 LDAP 攻撃では、ディレクトリに格納されているセキュリティ プリンシパルをターゲットにし、特権アカウントとサービスを識別することも可能です。
  • ネットワーク マッピング。 この種類の偵察では、攻撃者がドメイン名サーバー (DNS) クエリを送信して、ネットワークの構造とネットワーク上のデバイスの名前とアドレスを確立しようとします。

進行中のユーザーと IP アドレスの偵察を示すスクリーンショット。

資格情報を侵害する試みを検出する

攻撃者が使用する一般的な戦略はブルート フォース攻撃で、有効なユーザー名とパスワードの組み合わせが見つかるまで、サインイン要求が繰り返し行われます。 攻撃者はこれらの資格情報を保存して、後に利用する可能性があります。 攻撃者は、その名前にもかかわらず、疑いを減らすために、正当なユーザーが従うアクションと同様のパターンに自分のアクションも従うようにすることで、微妙な方法でブルート フォース攻撃を実行することもできます。 たとえば、通常から環境で大量のサインインが行なわれる場合、パスワードを推測しようとするプロセスは、多くの場合、大量の実際のサインイン アクティビティの影に隠れてしまう可能性があります。Microsoft Defender for Identity を使用すると、これらの種類の攻撃を監視できます。

横方向の移動攻撃の可能性を検出する

横方向の移動攻撃は、優先度が低いアカウントまたはあまり保護されていないアカウント (ユーザーまたはサーバー) から盗まれた資格情報が、より多くの組織の機密性の高いアカウントとサービスへのアクセスに使用される場合に発生します。 攻撃者が一旦ネットワークにアクセスしてしまうと、さまざまなツールや手法を使用して、侵害された環境を深く掘り下げ、より多くの特権を取得し、組織の機密性の高いサーバーに侵入する可能性があります。

この形式の攻撃は、2 つのアカウントがリソースを共有している場合によく発生します。 たとえば、機密性の高いユーザーのハッシュされた資格情報は、機密性の低いユーザーのデバイスに格納できます。 攻撃者は、機密ユーザーが利用できる他のリソースにアクセスするために、これらの資格情報を取得できる可能性があります。 2 つのアカウント間のリンクは、横方向の移動パスと呼ばれます。

機密性の高いアイテムの流出を検出

Microsoft Defender for Identity を使用して、ドメイン コントローラーからコピーされている Active Directory データベースを検出し、DNS 経由の通信を監視してデータ浸出を検出することもできます。