Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Active Directory を保護して攻撃の経路を遮断しよう

tenable-ad

侵害の背景には必ずセキュリティが甘い Active Directory (AD) があります。AD は、権限昇格の足がかりとして恰好な標的となり、既知の欠陥や不適切な構成を利用して他の領域を探索する手段として利用されています。

ドメインの複雑化が進み、構成上の欠陥が増加する現在、多くの企業は Active Directory のセキュリティ対策まで手が回らないのが実情です。その結果、セキュリティ部門は欠陥の早期検知や修正ができず、事業に影響を与えるような問題につながることがあります。

Tenable.ad はすべてを可視化して重要な事柄を予知し、攻撃者がエクスプロイトを実行する前に Active Directory のリスクを対処することを可能にします。

デモを予約する

防ぐ

権限昇格

水平移動

攻撃者の策略

Active Directory の弱点を攻撃される前に検出して修正

Tenable.ad の順を追った修正ガイダンスに沿って既存の Active Directory ドメイン内の弱点を検出、優先順位付けして、リスクを削減できます。

Active Directory 攻撃をリアルタイムで検知してリアルタイム対応につなげる

DCShadow、Brute Force、 Password Spraying、DCSync その他の Active Directory に対する攻撃を検知。Tenable.ad は攻撃に関するインサイトを既存の SIEM、SOC、SOAR などに追加して強化し、素早い対応で攻撃を阻止することができます。

攻撃経路の阻止

攻撃経路とは、攻撃者が頻繁に使うネットワーク上の経路で、サイバー衛生の不備に付け込んだ金銭盗取の目的に使われます。Tenable は、リスクベースの脆弱性管理と Active Directory セキュリティ対策を組み合わせて、攻撃経路を遮断して攻撃者が攻撃の足掛かりになる場所を見つけにくくし、足掛かりを作っても次のステップに進めないようにして攻撃を防ぎます。

最初の足がかり

フィッシングや脆弱性を利用

攻撃の経路

権限昇格

アクセス権限を取得

回避

侵入の足跡を隠す

確立

永続コードを埋め込む

データ抽出

データ盗取または身代金取得

探索

侵入した環境を探索

「Tenable.ad のソリューションのおかげで、Active Directory のセキュリティの不安から解放されて、新しいビジネスの取り込みに専念できるようになりました」 Vinci Energies、CIO - Dominique Tessaro 氏
製薬業大手 Sanofi は Active Directory のインフラストラクチャをグローバルに保護しています。

製薬業大手 Sanofi は世界を網羅する Active Directory のインフラストラクチャを保護しています。

ケーススタディをご覧ください
Vinci Energies は、絶えず進化し続ける Active Directory インフラに強力なセキュリティ設定を講じることができました。

Vinci Energies は、絶えず進化し続ける Active Directory インフラに強力なセキュリティ設定を講じています。

ケーススタディをご覧ください
Lagardère のグループ会社は、少ないリソースでも Active Directory インフラの保護を実行しています。

Lagardère のグループ会社は、少ないリソースでも Active Directory インフラの保護を実行しています。

ケーススタディをご覧ください

Active Directory の保護

  • Active Directory に影響を与えている水面下の問題を検出
  • 危険な信頼関係を特定
  • AD 内の変化をすべて認識
  • AD 上の変化と悪意のある行動のつながりを理解
  • 攻撃の詳細を深く分析
  • 障害事案の詳細から直接 MITRE ATT&CK の内容説明を調査
ウェビナーを視聴する

Active Directory の攻撃を継続的に検知、予防

エージェントレスで権限も不必要。すばやく実行

エージェントレスで権限も不必要、すばやく実行

エージェントや権限などを使わずに、高度の Active Directory 攻撃を防止、検知します。

クラウド対応

クラウド対応

Azure Active Directory Domain Services、AWS Directory Service、Google Managed Service for Active Directory などのセキュリティをリアルタイムに確認します。

どこにでも導入

どこにでも導入

Tenable.ad は 2 種類のアーキテクチャ設計による柔軟性を提供します。データをオンサイトでしっかりとコントロールするためのオンプレミスと、 クラウドが活用できる SaaS の 2 種類です。

よくある質問

Tenable.ad の主な機能は何ですか?
Tenable.ad は、Active Directory 内の弱点を攻撃者が悪用する前に検知して修正し、攻撃されてもリアルタイムに検知してリアルタイム対応を可能にします。Tenable.ad の主な機能は次のとおりです。
  • Active Directory 内に隠されている弱点を明確にする
  • AD セキュリティを脅かす、根底にある問題を発見する
  • 個々の不適切な構成の詳細をシンプルに解明する
  • 問題の 1 つひとつに対して推奨修正案を取得する
  • AD セキュリティを管理してリスク削減効果を高めるカスタマイズされたダッシュボードを作成する
  • 危険な信頼関係を発見する
  • AD 内の変化をすべて認識
  • AD 内の主な攻撃をドメイン別で明確にする
  • 正確な攻撃のタイムラインから個々の脅威を可視化する
  • 攻撃の分布を一元化して 1 つの画面に表示する
  • AD 上の変化と悪意のある行動のつながりを理解
  • AD 攻撃の詳細を深く分析する
  • 侵害などの事象が発覚した場合、MITRE ATT&CK ® の記述内容と直接照合する
Tenable.ad はどのような Active Directory の攻撃やテクニックを検知できますか?
Tenable.ad は、サイバー攻撃でよく使われる、権限昇格や水平移動のテクニックを検知します。(DCShadow、ブルートフォース、パスワードスプレー、DCSync、ゴールデンチケット、その他多数)
Active Directory 上のどの特権攻撃ベクトルを Tenable.ad は識別できますか?
Tenable.ad には、攻撃者が特権取得に使う、既知の攻撃ベクトルを集めた膨大なライブラリがあります。 このライブラリに含まれているベクトルは次のとおりです。

攻撃ベクトル

説明/対策

既知の攻撃ツール

MitreAttack 種別

Kerberos サービスを実行している特権アカウント

ブルートフォースが可能な Kerberos の Service Principal 名を使っている高特権アカウント

Kerberom

権限昇格、水平移動、持続性

危険な Kerberos 権限移譲

危険な権限移譲 (無制限、プロトコルの変更、など) が承認されていないことを確認する

Nishang

権限昇格、水平移動、持続性

Active Directory PKI に解読されやすい暗号処理アルゴリズムが使われている

Active Directory PKI 内部で配備されているルート証明書には、解読されやすい暗号処理アルゴリズムを使用してはならない

ANSSI-ADCP

権限昇格、水平移動、持続性

重要オブジェクトの危険なアクセス権の権限移譲

違法なユーザーが重要なオブジェクトをコントロールできるようにするアクセス権が発見された

BloodHound

データ抽出、ラテラルムーブメント、コマンド&コントロール、アイデンティティ情報アクセス、権限昇格

パスワードポリシーに多数の問題がある

一部の特定のアカウントでは、堅牢な資格情報の保護を確保するには不十分なパスワードポリシーが現在設定されている

Patator

防御回避、ラテラルムーブメント、アイデンティティ情報アクセス、権限昇格

危険な RODC 管理アカウント

読み取り専用のドメインコントローラーの責任を持つ管理グループに異常なアカウントが含まれている

Impacket

資格情報アクセス、防御回避、権限昇格

機密性の高い GPO が最重要オブジェクトとつながっている

管理者外のアカウントによって管理されている GPO が、機密性の高い Active Directory オブジェクト (KDC アカウント、ドメインコントローラー、管理者グループ、など) とつなっている

ANSSI-ADCP

コマンド&コントロール、資格情報アクセス、持続性、権限昇格

管理者アカウントがドメインコントローラー以外のシステムと接続することが許可されている

監視下のインフラストラクチャで導入されているセキュリティポリシーが、管理者が DC 以外のリソースに接続することを防止していないので、機密な資格情報の漏洩につながる

CrackMapExec

防御回避、資格情報アクセス

危険な信頼関係

不適切に設定された信頼関係の属性は、ディレクトリインフラのセキュリティを低下させる

Kekeo

水平移動、資格情報アクセス、権限昇格、防御回避

GPO 内の可逆的パスワード

すべての GPO に可逆的なフォーマットのパスワードが含まれていないことを検証する

SMB パスワードクローラー

資格情報アクセス、権限昇格

旧バージョンの OS を実行しているコンピューター

旧式のシステムはエディターのサポートが切れており、インフラストラクチャの脆弱性をいっそう悪化させる

Metasploit

水平維号、コマンド&コントロール

Windows 2000 より前のバージョンと互換性のあるアクセスコントロールを使っているアカウント

Windows 2000 より前の互換性アクセうグループに属しているアカウントメンバーは、特定のセキュリティ対策を迂回できる

Impacket

水平移動、防御回避

ローカル管理者によるアカウント管理

ローカルの管理者アカウントは、LAPS を使用して安全に集中管理されていることを確認する

CrackMapExec

防御回避、資格情報アクセス、水平移動

危険な無記名のユーザー構成

無監視下の Active Directory インフラに無記名アクセスが有効化され、機密情報の漏洩につながる

Impacket

データ抽出

異常な RODC フィルター属性

一部の読み取り専用のドメインコントローラーに適用されているフィルタリングのポリシーは、権限昇格を許し、機密情報のキャッシュにつながる

Mimikatz (DCShadow)

権限昇格、防御回避

水平移動する攻撃のシナリオに対する制限の欠如

監視下 Active Directory インフラに水平移動に対する制限が有効化されておらず、攻撃者はマシンからマシンへと同じレベルの権限で飛び移ることができる

CrackMapExec

水平移動

DC シェアにパスワードがクリアテキストで保存されている

認証されているユーザーなら誰でもアクセスできる DC シェア上のファイルには、平文のパスワードが格納されているものが多く、権限昇格につながる

SMBSpider

資格アクセス、権限昇格、持続性

ログオンスクリプトの危険なアクセスコントロール権

コンピュータまたはユーザーがログオン時に使うスクリプトには危険なアクセス権があるものがあり、権限昇格につながる

Metasploit

権限昇格、水平移動、持続性

GPO 内で危険なパラメーターが使用されている

危険なパラメータ (制限のあるグループ、LM ハッシュの演算、NTLM 認証レベル、機密パラメーター、など) が GPO によって設定されており、セキュリティの侵害を起こしている

Responder

発見、資格情報アクセス、実行、持続性、権限昇格、防御回避

ユーザーアカウントコントロール設定に危険なパラメーターが定義されている

アカウントコントロール属性に危険なパラメータ (PASSWD_NOTREQD または PARTIAL_SECRETS_ACCOUNT など) が定義されているユーザーアカウントのセキュリティが危険にさらされる

Mimikatz (LSADump)

防御回避、権限昇格、持続性

セキュリティパッチが適用されていない

Active Directory に登録されているサーバーに最近のセキュリティアップデートが適用されなかった

Metasploit

コマンド&コントロール、権限昇格、防御回避

ユーザーアカウントに対するブルートフォース攻撃の試行

ブルートフォース攻撃が一部のユーザーアカウントを標的にして試行されたことがある

Patator

資格情報アクセス

ユーザーアカウントの Kerberos 設定

弱い Kerberos 設定を使っているアカウントがある

Mimikatz (シルバーチケット)

資格情報アクセス、権限昇格

DC に保存されている異常なシェアまたはファイル

一部のドメインコントローターは、必要でないファイルやネットワークをシェアをホストするのに使われている

SMBSpider

発見、データ抽出

Active Directory 上のどのバックドア配置のテクニックを Tenable.ad は識別できますか?
Tenable.ad には、攻撃者が持続性を得るのに使う、既知のバックドア配置のテクニックを集めた膨大なライブラリがあります。このライブラリに含まれているテクニックは次のとおりです。

バックドアテクニック/対策

説明/対策

既知の攻撃ツール

Mitre Attack 種別

SDProp の一貫性を保つ

adminSDHolder オブジェクトがクリーンな状態であるようにコントロールする

Mimikatz (ゴールデンチケット)

権限昇格、持続性

SDProp の一貫性を保つ

ユーザーのプライマリグループが変更されていないことを検証する

BloodHound

権限昇格、持続性

ルートのドメインオブジェクトの権限を検証する

ルートのドメインオブジェクトに設定されている権限が妥当であることを確認する

BloodHound

権限昇格、持続性

機密性のある GPO オブジェクトとファイル権限を検証する

GPO オブジェクトや機密性のあるコンテナ (ドメインコントローラーの OU など) とつながりのあるファイルの権限が妥当なことを確認する

BloodHound

実行、権限昇格、持続性

RODC KDC アカウントの危険なアクセス権

読み取り専用のドメインコントローラーによっては、そこで使われている KDC アカウントが違法なユーザーアカウントから制御できる場合があり、資格情報の漏洩につながる

Mimikatz (DCSync)

権限昇格、持続性

機密性のある証明書がユーザーアカウントにマッピングされている

X509 証明書にはユーザーアカウントの属性 altSecurityIdentities に保存されているものがあり、証明書のプライベートキーユーザーはそのアカウントのユーザーになりすまして認証ができる

コマンド&コントロール、資格情報アクセス、権限昇格、持続性

標準アカウントに Rogue Krbtgt SPN が設定されている

KDC の Service Principal 名が、一部の標準アカウントに存在すると、Kerberos のチケット偽造につながる

Mimikatz (ゴールデンチケット)

権限昇格、持続性

KDC パスワードの最終変更

KDC アカウントのパスワードは定期的に変更しなければならない

Mimikatz (ゴールデンチケット)

資格アクセス、権限昇格、持続性

危険な SID 履歴の属性のあるアカウント

SID 履歴属性内で特権SIDを使っているユーザーアカウントまたはコンピューターアカウントを確認する

DeathStar

権限昇格、持続性

不正なドメインコントローラー

Active Directory のインフラには承認済みのドメインコントローラーのみを登録する

Mimikatz (DCShadow)

実行、防御回避、権限昇格、持続性

Bitlocker キーの違法アクセスコントロール

Active Directory に保存されている Bitlocker の復元キーが管理者や接続されたコンピュータ以外の者によってアクセスできる

ANSSI-ADCP

資格アクセス、権限昇格、持続性

Schema セキュリティ記述子のエントリが異常

Active Directory スキーマが修正され、監視下にあるインフラを危険にさらすような新しい標準のアクセス権やオブジェクトの生成につながる

BloodHound

権限昇格、持続性

DSRM アカウントが有効化されている

Active Directory の復元アカウントが有効化され、資格情報盗取のリスクにさらされている

Mimikatz (LSADump)

資格情報アクセス、実行、防御回避、権限昇格、持続性

RODC上の危険なキャッシュポリシー

読み取り専用のドメインコントローラー (RODC)には、グローバル管理者アカウントの資格情報をキャッシュしたり取り出したりすることを、RODC 管理アカウントにさせるようなキャッシュポリシーが設定されているものがある

Mimikatz (DCSync)

権限昇格、持続性

GPO が配備した証明書が DC に適用されている

ドメインコントローラーに証明証を配備するのに使われる GPO があるが、この場合、証明書のプライベートキーの所有者がサーバーに不正侵入できる

BloodHound

権限昇格、持続性

スマートカード使用時に認証用ハッシュが更新されない

スマートカード認証を使うユーザーのアカウントには、資格情報のハッシュ値が十分な頻度で更新されていないものがある

Mimikatz (LSADump)

持続性

ユーザーアカウントの可逆的なパスワード

パスワードが可逆的なフォーマットで保存されないようにパラメータを検証する

Mimikatz (DC Sync)

資格情報アクセス

コンテナのアクセスに Explicit Deny が使用されている

Active Directory のコンテナまたは OU にはアクセスの拒否を明示的に定義するものがあり、バックドアの隠ぺいにつながる可能性がある

BloodHound

防御回避、持続性

Tenable.ad はどのような方法で Active Directory を調査するのですか?
Tenable.ad のようにドメインコントローラやエンドポイントに配備の必要のないソリューションは、他にありません。その上、ユーザーレベルの権限のみで使用できます。この Tenable.ad 独自のアーキテクチャにより、セキュリティ担当者は複雑なデプロイメントの問題を避けて、Active Directory の構成を迅速に調査することができます。
Tenable.ad は AD の状態をある時点で調査するセキュリティツールですか?

AD の不適切な構成はいつでも起きることです。ですから、ある時点で行われた調査は、いざその結果の内容を精査しようする数分後には無効であり、侵害の兆候として考慮できません。

それに反して Tenable.ad は、継続的に AD をスキャンして新しい弱点や攻撃を検知するセキュリティプラットフォームです。問題はリアルタイムでユーザーに通知されます。

Tenable.ad は「ゴールデンチケット攻撃」を検知できますか?
できます。Tenable.ad は、ゴールデンチケットなど多くの攻撃のテクニックを検知して攻撃防止に役立てることができます。何百ものセキュリティチェックや相関を並行して実行しているので、Tenable.ad は、入手可能な AD 対応のセキュリティツールとして、最も幅広いカバレッジを提供しています。
Tenable.ad は現在使っている SIEM / SOAR / チケットシステム /その他と統合できますか?

AD セキュリティは、セキュリティ対策の重要な一部分です。Tenable.ad は、既存のセキュリティエコシステムにシームレスに統合します。

Tenable の Syslog の統合方式により、すべての SIEM とほぼすべてのチケットシステムとの統合が標準装備で提供されています。QRadar、Splunk、Phantom のネイティブアプリケーションもあります。

Tenable.ad はクラウドベースのソリューションですか?
このソリューションは、クラウドでもオンプレミスでも導入できます。どちらのデプロイメントのアプローチでも、機能的な違いはありません。
Tenable.ad は複数の企業や、複数のフォレスト型の Active Directory デプロイメントにスケーリングできますか?
世界で最大でもっとも機密な AD がすでに Tenable.ad によって保護されています。Tenable.ad のプラットフォームは、エンタープライズグレードのソリューションとして構築されており、エージェントレスで AD ネイティブのアーキテクチャなので、複雑な複数企業、複数フォレストの Active Directory のデプロイメントのサポートが可能です。
Tenable.ad のライセンスモデルはどのようになっていますか?
Tenable.ad is licensed per enabled user account.
Tenable.ad は Active Directory で弱点を検知したり攻撃に対応したりするのに特権アクセスが必要ですか?
特権アクセスの必要はありません。 Tenable.ad は標準のユーザ―アカウントのみを必要とし、Active Directory の構成と攻撃特定のための調査を実行できます。
Tenable.ad の購入方法は?
Tenable.sc のご購入については、お近くの Tenable 認定パートナーまたは Tenable の担当者にお問い合わせください。
Tenable.ad には評価バージョンがありますか?
あります。Tenable.ad を評価するには、評価リクエストフォームにご記入ください。今日にも評価を開始することができます。

関連資料

巨額の身代金: AD を介したランサムウェアの拡散を止める方法

企業を襲う世界的な脅威: AD 攻撃の衝撃

Active Directory の保護: 攻撃を先行的に検知する方法

今すぐTENABLE.AD 導入を始める


「Tenable.ad をグローバルネットワークの境界に配備したことによって、ステークホルダーにとって懸案事項だった企業全体のサイバーセキュリティリスクの可視化が可能になりました」Sanofi、サイバーセキュリティ グローバル責任者 - Jean-Yves Poichotte 氏
無料でお試し 今すぐ購入

Tenable.ioを試用する

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスのご購入で、お得にご利用いただけます。 電話、コミュニティ、チャットによる 24 時間年中無休の拡張サポートオプションもご用意しています。 製品の詳細を見る

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

デモを申請

Tenable.scのデモを入手する

右のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます (255文字以内)。アスタリスク(*) マークの付いた欄は必須です。

試用リクエスト送信 お問合せはこちらから

Tenable Luminを試用する

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

デモをリクエストする

Tenable.ot のデモを予約する

組織の OT セキュリティニーズのために。
リスクを削減します。

デモをリクエストする

Tenable.ad

Active Directory に対する攻撃を継続的に検知して対応。エージェントレス。 権限も不必要。オンプレミスとクラウドの両方をサポート