Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

	                    tenable-ad

サイバー被害の背景には必ずセキュリティが不十分な Active Directory (AD) があります。AD は、権限昇格の足がかりとして恰好な標的となり、既知の欠陥や不適切な構成を利用して他の領域を探索する手段として利用されています。

ドメインの複雑化が進み、構成・設定ミスが増加する現在、多くの企業は Active Directory のセキュリティ対策まで手が回らないのが実情です。その結果、セキュリティ部門は欠陥の早期検知や修正ができず、事業に影響を与えるような問題につながることがあります。

Tenable の Active Directory Security は、迅速でエージェントレスな負荷の少ないセキュリティソリューションです。複雑な AD 環境内にあるものすべてを可視化し、重要な問題を予測してリスクを削減し、攻撃に悪用される前に攻撃経路を排除します。

デモを予約する

X

権限昇格

ラテラルムーブメント

攻撃者の策略

アクティブディレクトリのセキュリティ上の弱点を攻撃される前に検出して修正

Tenable.ad のガイダンスに沿って既存の Active Directory、ドメイン内の弱点を検出、優先順位付けして、リスクを削減できます。

Active Directory 攻撃をリアルタイムで検知して対応

DCShadow、DCSync、ブルートフォース、パスワードスプレイ、その他多くの Active Directory に対する攻撃を検知。Tenable.ad は攻撃に関するインサイトを既存の SIEM、SOC、SOAR などに追加して強化し、素早い対応で攻撃を阻止することができます。

攻撃経路の排除

攻撃経路とは、サイバーハイジーンの不備を収益化する攻撃に使われる可能性のある、IT 環境内のルートです。 リスクベースの脆弱性管理と Active Directory Security を組み合わせることによって Tenable は攻撃経路を排除し、ハッカーが環境内に足掛かりを作ることを困難にし、足掛かりが作れたとしても次に進むことを封鎖します。

最初の足がかり

フィッシングや脆弱性を利用

攻撃の経路

権限昇格

アクセス権限を取得

回避

侵入の足跡を隠す

確立

永続コードを埋め込む

データ抽出

データ盗取または身代金を要求

探索

侵入した環境を探索

「Tenable.ad のおかげで Active Directory のセキュリティの不安から解放され、新しいビジネスに専念できるようになりました」 Vinci Energies、CIO - Dominique Tessaro 氏
製薬業大手 Sanofi は Active Directory のインフラストラクチャセキュリティをグローバルに保護しています。

製薬業大手 Sanofi は Active Directory のインフラストラクチャセキュリティをグローバルに保護しています。

成功事例
Vinci Energies は、絶えず進化し続ける Active Directory インフラに強力なセキュリティ設定を講じています。

Vinci Energies は、絶えず進化し続ける Active Directory インフラに強力なセキュリティ設定を講じています。

成功事例
Lagardère のグループ会社は、少ないリソースでも Active Directory インフラのセキュリティ保護を実行しています。

Lagardère のグループ会社は、少ないリソースでも Active Directory インフラのセキュリティ保護を実行しています。

成功事例

Tenable.io は、Tenable One サイバーエクスポージャー管理プラットフォームに内蔵されています

Tenable One は、DX 時代のアタックサーフェス全体を可視化して、可能性のある攻撃を防止し、サイバーリスクについて正確に伝達して最適なビジネスパフォーマンスを促進する、サイバーエクスポージャー管理プラットフォームです。 Tenable One プラットフォームは、IT 資産、クラウドリソース、コンテナ、ウェブアプリケーション、ID システムにわたる、高い網羅性を誇る脆弱性カバレッジを提供します。

詳細はこちら

Active Directory の保護

  • アクティブディレクトリに影響を与えている問題を検出
  • 危険な信頼関係を特定
  • AD 内の変化をすべて認識
  • AD 上の変化と悪意のある行動のつながりを理解
  • 攻撃の詳細を深く分析
  • 障害事案の詳細から直接 MITRE ATT&CK の内容説明を調査
ウェビナーを視聴する

Active Directory の攻撃を継続的に検知、予防

エージェントレスで権限も不必要。すばやく実行

エージェントレスで権限も不必要、すばやく実行

エージェントや権限などを使わずに、高度の Active Directory 攻撃を防止、検知します。

どこにでも導入

どこにでも導入

Tenable.ad は 2 種類のアーキテクチャ設計による柔軟性を提供します。データをオンサイトでしっかりとコントロールするためのオンプレミスと、 SaaS ではクラウドを活用できます。

よくあるご質問

Tenable.ad の主な機能は何ですか?
Tenable.ad は、Active Directory 内の弱点を攻撃者が悪用する前に検知して修正し、攻撃されてもリアルタイムに検知してリアルタイム対応を可能にします。Tenable.ad の主な機能は次のとおりです。
  • Active Directory 内に隠されている弱点を明確にする
  • AD セキュリティを脅かす、根底にある問題を発見する
  • 個々の不適切な構成の詳細をシンプルに解明する
  • 問題の 1 つひとつに対して推奨修正案を取得する
  • カスタムダッシュボードの作成により AD セキュリティを管理し、リスク低減を推進
  • 危険な信頼関係を発見する
  • AD 内の変化をすべて認識
  • AD 内の主な攻撃をドメイン別で明確にする
  • 正確な攻撃のタイムラインから個々の脅威を可視化する
  • 攻撃の分布を一元化して 1 つの画面に表示する
  • AD 上の変化と悪意のある行動のつながりを理解
  • AD 攻撃の詳細を深く分析する
  • 侵害などの事象が発覚した場合、MITRE ATT&CK ® の記述内容と直接照合する
Tenable.ad はどのような Active Directory の攻撃やテクニックを検知できますか?
Tenable.ad は、サイバー攻撃でよく使われる、権限昇格やラテラルムーブメントのテクニックを検知します。(DCShadow、ブルートフォース、パスワードスプレー、DCSync、ゴールデンチケット、その他多数)
Active Directory 上のどの特権攻撃ベクトルを Tenable.ad は識別できますか?
Tenable.ad には、攻撃者が特権取得に使う、既知の攻撃ベクトルを集めた膨大なライブラリがあります。 このライブラリに含まれているベクトルは次のとおりです。

攻撃ベクトル

説明/対策

既知の攻撃ツール

MitreAttack 種別

Kerberos サービスを実行している特権アカウント

ブルートフォースが可能な Kerberos の Service Principal 名を使っている高特権アカウント

Kerberom

権限昇格、ラテラルムーブメント、持続性

危険な Kerberos 権限移譲

危険な権限移譲 (無制限、プロトコルの変更、など) が承認されていないことを確認する

Nishang

権限昇格、ラテラルムーブメント、持続性

解読されやすい暗号処理アルゴリズムがActive Directory PKI に使われている

Active Directory PKI 内部で配備されているルート証明書には、解読されやすい暗号処理アルゴリズムを使用してはならない

ANSSI-ADCP

権限昇格、ラテラルムーブメント、持続性

重要オブジェクトの危険なアクセス権の権限移譲

違法なユーザーが重要なオブジェクトをコントロールできるようにするアクセス権が発見された

BloodHound

データ抽出、ラテラルムーブメント、コマンド&コントロール、アイデンティティ情報アクセス、権限昇格

パスワードポリシーに多数の問題がある

一部の特定のアカウントでは、堅牢な資格情報の保護を確保するには不十分なパスワードポリシーが現在設定されている

Patator

防御回避、ラテラルムーブメント、アイデンティティ情報アクセス、権限昇格

危険な RODC 管理アカウント

読み取り専用のドメインコントローラーの責任を持つ管理グループに異常なアカウントが含まれている

Impacket

資格情報アクセス、防御回避、権限昇格

機密性の高い GPO が最重要オブジェクトとつながっている

管理者外のアカウントによって管理されている GPO が、機密性の高い Active Directory オブジェクト (KDC アカウント、ドメインコントローラー、管理者グループ、など) とつなっている

ANSSI-ADCP

コマンド&コントロール、資格情報アクセス、持続性、権限昇格

管理者アカウントがドメインコントローラー以外のシステムと接続することが許可されている

監視下のインフラストラクチャで導入されているセキュリティポリシーが、管理者が DC 以外のリソースに接続することを防止していないので、機密な資格情報の漏洩につながる

CrackMapExec

防御回避、資格情報アクセス

危険な信頼関係

不適切に設定された信頼関係の属性は、ディレクトリインフラのセキュリティを低下させる

Kekeo

ラテラルムーブメント、資格情報アクセス、権限昇格、防御回避

GPO 内の可逆的パスワード

すべての GPO に可逆的なフォーマットのパスワードが含まれていないことを検証する

SMB パスワードクローラー

資格情報アクセス、権限昇格

廃止されたバージョンの OS を実行しているコンピュータ

旧式のシステムはエディターのサポートが切れており、インフラストラクチャの脆弱性をいっそう悪化させる

Metasploit

水平維号、コマンド&コントロール

Windows 2000 以前と互換性のあるアクセスコントロールを使っているアカウント

Windows 2000 より前の互換性アクセスグループに属しているアカウントメンバーは、特定のセキュリティ対策を迂回できる

Impacket

ラテラルムーブメント、防御回避

ローカル管理者によるアカウント管理

ローカルの管理者アカウントは、LAPS を使用して安全に集中管理されていることを確認する

CrackMapExec

防御回避、資格情報アクセス、ラテラル無^部面と水平移動

危険な無記名のユーザー構成

無監視下の Active Directory インフラに無記名アクセスが有効化され、機密情報の漏洩につながる

Impacket

データ抽出

異常な RODC フィルター属性

一部の読み取り専用のドメインコントローラーに適用されているフィルタリングのポリシーは、権限昇格を許し、機密情報のキャッシュにつながる

Mimikatz (DCShadow)

権限昇格、防御回避

ラテラルムーブメントを使った攻撃のシナリオが阻止できない

監視下 Active Directory インフラの探索を阻止対策が有効化されておらず、攻撃者はマシンからマシンへと同じレベルの権限で飛び移ることができる

CrackMapExec

ラテラルムーブメント

DC シェアにパスワードがクリアテキストで保存されている

認証されているユーザーなら誰でもアクセスできる DC シェア上のファイルには、平文のパスワードが格納されているものが多く、権限昇格につながる

SMBSpider

資格アクセス、権限昇格、持続性

ログオンスクリプトの危険なアクセスコントロール権

コンピュータまたはユーザーがログオン時に使うスクリプトには危険なアクセス権があるものがあり、権限昇格につながる

Metasploit

権限昇格、ラテラルムーブメント、持続性

GPO 内で危険なパラメーターが使用されている

危険なパラメータ (制限のあるグループ、LM ハッシュの演算、NTLM 認証レベル、機密パラメーター、など) が GPO によって設定されており、セキュリティの侵害を起こしている

Responder

発見、資格情報アクセス、実行、持続性、権限昇格、防御回避

ユーザーアカウントコントロール設定に危険なパラメーターが定義されている

アカウントコントロール属性に危険なパラメータ (PASSWD_NOTREQD または PARTIAL_SECRETS_ACCOUNT など) が定義されているユーザーアカウントのセキュリティが危険にさらされる

Mimikatz (LSADump)

防御回避、権限昇格、持続性

セキュリティパッチが適用されていない

Active Directory に登録されているサーバーに最近のセキュリティアップデートが適用されなかった

Metasploit

コマンド&コントロール、権限昇格、防御回避

ユーザーアカウントに対するブルートフォース攻撃の試行

ブルートフォース攻撃が一部のユーザーアカウントを標的にして試行されたことがある

Patator

資格情報アクセス

ユーザーアカウントの Kerberos 設定

弱い Kerberos 設定を使っているアカウントがある

Mimikatz (シルバーチケット)

資格情報アクセス、権限昇格

DC に保存されている異常なシェアまたはファイル

一部のドメインコントローターは、必要でないファイルやネットワークをシェアをホストするのに使われている

SMBSpider

発見、データ抽出

Active Directory 上のどのバックドア配置のテクニックを Tenable.ad は識別できますか?
Tenable.ad には、攻撃者が持続性を得るのに使う、既知のバックドア配置のテクニックを集めた膨大なライブラリがあります。このライブラリに含まれているテクニックは次のとおりです。

バックドアテクニック/対策

説明/対策

既知の攻撃ツール

Mitre Attack 種別

SDProp の一貫性の確保

adminSDHolder オブジェクトがクリーンな状態であるようにコントロールする

Mimikatz (ゴールデンチケット)

権限昇格、持続性

SDProp の一貫性の確保

ユーザーのプライマリグループが変更されていないことを検証する

BloodHound

権限昇格、持続性

ルートのドメインオブジェクトの権限を検証する

ルートのドメインオブジェクトに設定されている権限が妥当であることを確認する

BloodHound

権限昇格、持続性

機密性の高い GPO オブジェクトとファイル権限の検証

GPO オブジェクトや機密性のあるコンテナ (ドメインコントローラーの OU など) とつながりのあるファイルの権限が妥当なことを確認する

BloodHound

実行、権限昇格、持続性

RODC KDC アカウントの危険なアクセス権

読み取り専用のドメインコントローラーによっては、そこで使われている KDC アカウントが違法なユーザーアカウントから制御できる場合があり、資格情報の漏洩につながる

Mimikatz (DCSync)

権限昇格、持続性

機密性のある証明書がユーザーアカウントにマッピングされている

X509 証明書にはユーザーアカウントの属性 altSecurityIdentities に保存されているものがあり、証明書のプライベートキーユーザーはそのアカウントのユーザーになりすまして認証ができる

コマンド&コントロール、資格情報アクセス、権限昇格、持続性

標準アカウントに Rogue Krbtgt SPN が設定されている

KDC の Service Principal 名が、一部の標準アカウントに存在すると、Kerberos のチケット偽造につながる

Mimikatz (ゴールデンチケット)

権限昇格、持続性

KDC パスワードの最終変更

KDC アカウントのパスワードは定期的に変更しなければならない

Mimikatz (ゴールデンチケット)

資格アクセス、権限昇格、持続性

危険な SID 履歴の属性のあるアカウント

SID 履歴属性内で特権SIDを使っているユーザーアカウントまたはコンピューターアカウントを確認する

DeathStar

権限昇格、持続性

不正なドメインコントローラー

Active Directory のインフラには承認済みのドメインコントローラーのみを登録する

Mimikatz (DCShadow)

実行、防御回避、権限昇格、持続性

Bitlocker キーの違法アクセスコントロール

Active Directory に保存されている Bitlocker の復元キーが管理者や接続されたコンピュータ以外の者によってアクセスできる

ANSSI-ADCP

資格アクセス、権限昇格、持続性

Schema セキュリティ記述子のエントリが異常

Active Directory スキーマが修正され、監視下にあるインフラを危険にさらすような新しい標準のアクセス権やオブジェクトの生成につながる

BloodHound

権限昇格、持続性

DSRM アカウントが有効化されている

Active Directory の復元アカウントが有効化され、資格情報盗取のリスクにさらされている

Mimikatz (LSADump)

資格情報アクセス、実行、防御回避、権限昇格、持続性

スマートカード使用時に認証用ハッシュが更新されない

スマートカード認証を使うユーザーのアカウントには、資格情報のハッシュ値が十分な頻度で更新されていないものがある

Mimikatz (LSADump)

持続性

ユーザーアカウントの可逆的なパスワード

パスワードが可逆的なフォーマットで保存されないようにパラメータを検証する

Mimikatz (DC Sync)

資格情報アクセス

コンテナのアクセスに Explicit Deny が使用されている

Active Directory のコンテナまたは OU にはアクセスの拒否を明示的に定義するものがあり、バックドアの隠ぺいにつながる可能性がある

BloodHound

防御回避、持続性

Tenable.ad はどのような方法で Active Directory を調査するのですか?
Tenable.ad のようにドメインコントローラやエンドポイントに配備の必要のないソリューションは、他にありません。その上、ユーザーレベルの権限のみで使用できます。この Tenable.ad 独自のアーキテクチャにより、セキュリティ担当者は複雑なデプロイメントの問題を避けて、Active Directory の構成を迅速に調査することができます。
Tenable.ad は AD の状態をある時点で調査するセキュリティツールですか?

AD の不適切な構成はいつでも起きることです。ですから、ある時点で行われた調査は、いざその結果の内容を精査しようする数分後には無効であり、侵害の兆候として考慮できません。

それに反して Tenable.ad は、継続的に AD をスキャンして新しい弱点や攻撃を検知するセキュリティプラットフォームです。問題はリアルタイムでユーザーに通知されます。

Tenable.ad は「ゴールデンチケット攻撃」を検知できますか?
できます。Tenable.ad は、ゴールデンチケットなど多くの攻撃のテクニックを検知して攻撃防止に役立てることができます。何百ものセキュリティチェックや相関を並行して実行しているので、Tenable.ad は、入手可能な AD 対応のセキュリティツールとして、最も幅広いカバレッジを提供しています。
Tenable.ad は現在使っている SIEM / SOAR / チケットシステム /その他と統合できますか?

AD セキュリティは、セキュリティ対策の重要な一部分です。Tenable.ad は、既存のセキュリティエコシステムにシームレスに統合します。

Tenable の Syslog の統合方式により、すべての SIEM とほぼすべてのチケットシステムとの統合が標準装備で提供されています。QRadar、Splunk、Phantom のネイティブアプリケーションもあります。

Tenable.ad はクラウドベースのソリューションですか?
このソリューションは、クラウドでもオンプレミスでも導入できます。どちらのデプロイメントのアプローチでも、機能的な違いはありません。
Tenable.ad は複数の企業や、複数のフォレスト型の Active Directory デプロイメントにスケーリングできますか?
世界で最大でもっとも機密な AD がすでに Tenable.ad によって保護されています。私たちのプラットフォームは、エンタープライズグレードのソリューションとして構築されており、AD ネイティブのアーキテクチャにより、複雑で複数ある組織やマルチフォレストの Active Directory デプロイメントをサポートできるようにしています。
Tenable.ad のライセンスモデルはどのようになっていますか?
Tenable.ad は有効なユーザーアカウント単位にライセンスが付与されます。
Tenable.ad は Active Directory で弱点を検知したり攻撃に対応したりするのに特権アクセスが必要ですか?
特権アクセスの必要はありません。 Tenable.ad は標準のユーザ―アカウントのみを必要とし、Active Directory の構成と攻撃特定のための調査を実行できます。
Tenable.ad の購入方法は?
Tenable.sc のご購入については、お近くの Tenable 認定パートナーまたは Tenable の担当者にお問い合わせください。
Tenable.ad には評価バージョンがありますか?
あります。Tenable.ad を評価するには、評価リクエストフォームにご記入ください。今日にも評価を開始することができます。

関連資料

巨額の身代金: AD を介したランサムウェアの拡散を止める方法

企業を襲う世界的な脅威: AD 攻撃の衝撃

Active Directory の保護: 攻撃を先行的に検知する方法

今すぐTENABLE.AD 導入を始める


「Tenable.ad をグローバルネットワークの境界に配備したことによって、ステークホルダーにとって懸案事項だった企業全体のサイバーセキュリティリスクの可視化が可能になりました」Sanofi、サイバーセキュリティ グローバル責任者 - Jean-Yves Poichotte 氏
tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。

新製品 - Nessus Expert をご利用ください

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。 Nessus Expert を試してみるにはここをクリック。

Nessus Professional のトライアルの場合には下のフォームに入力してください。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみるには

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。トライアルの方法について詳しく見るにはここをクリック

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加