Active Directory を保護して攻撃の経路を遮断しよう
侵害の背景には必ずセキュリティが甘い Active Directory (AD) があります。AD は、権限昇格の足がかりとして恰好な標的となり、既知の欠陥や不適切な構成を利用して他の領域に水平移動する手段として利用されています。
ドメインの複雑化が進み、構成上の欠陥が増加する現在、多くの企業は Active Directory のセキュリティ対策まで手が回らないのが実情です。その結果、セキュリティ部門は欠陥の早期検知や修正ができず、事業に影響を与えるような問題につながることがあります。
Tenable.ad はすべてを可視化して重要な事柄を予知し、攻撃者がエクスプロイトを実行する前に Active Directory のリスクを対処することを可能にします。
デモを予約する防ぐ
権限昇格
水平伝搬
攻撃者の策略
Active Directory の弱点を攻撃される前に検出して修正
Tenable.ad の順を追った修正ガイダンスに沿って既存の Active Directory ドメイン内の弱点を検出、優先順位付けして、リスクを削減できます。
Active Directory 攻撃をリアルタイムで検知してリアルタイム対応につなげる
DCShadow、Brute Force、 Password Spraying、DCSync その他の Active Directory に対する攻撃を検知。Tenable.ad は攻撃に関するインサイトを既存の SIEM、SOC、SOAR などに追加して強化し、素早い対応で攻撃を阻止することができます。
「Tenable.ad のソリューションのおかげで、Active Directory のセキュリティの不安から解放されて、新しいビジネスの取り込みに専念できるようになりました」Vinci Energies、CIO - Dominique Tessaro 氏
製薬業大手 Sanofi は Active Directory のインフラストラクチャをグローバルに保護しています。
ケーススタディをご覧ください
Vinci Energies は、絶えず進化し続ける Active Directory インフラに強力なセキュリティ設定を講じています。
ケーススタディをご覧ください
Lagardère のグループ会社は、少ないリソースでも Active Directory インフラの保護を実行しています。
ケーススタディをご覧くださいActive Directory の保護
- Active Directory に影響を与えている水面下の問題を検出
- 危険な信頼関係を特定
- AD 内の変化をすべて認識
- AD 上の変化と悪意のある行動のつながりを理解
- 攻撃の詳細を深く分析
- 障害事案の詳細から直接 MITRE ATT&CK の内容説明を調査
Active Directory の攻撃を継続的に検知、予防
エージェントレスで権限も不必要。すばやく実行
エージェントや権限などを使わずに、高度の Active Directory 攻撃を防止、検知します。
クラウド対応
Azure Active Directory Domain Services、AWS Directory Service、Google Managed Service for Active Directory などのセキュリティをリアルタイムに確認します。
どこにでも導入
Tenable.ad は 2 種類のアーキテクチャ設計による柔軟性を提供します。データをオンサイトでしっかりとコントロールするためのオンプレミスと、 クラウドが活用できる SaaS の 2 種類です。
よくある質問
- Active Directory 内に隠されている弱点を明確にする
- AD セキュリティを脅かす、根底にある問題を発見する
- 個々の不適切な構成の詳細をシンプルに解明する
- 問題の 1 つひとつに対して推奨修正案を取得する
- AD セキュリティを管理してリスク削減効果を高めるカスタマイズされたダッシュボードを作成する
- 危険な信頼関係を発見する
- AD 内の変化をすべて認識
- AD 内の主な攻撃をドメイン別で明確にする
- 正確な攻撃のタイムラインから個々の脅威を可視化する
- 攻撃の分布を一元化して 1 つの画面に表示する
- AD 上の変化と悪意のある行動のつながりを理解
- AD 攻撃の詳細を深く分析する
- 侵害などの事象が発覚した場合、MITRE ATT&CK ® の記述内容と直接照合する
|
攻撃ベクトル |
説明/対策 |
既知の攻撃ツール |
MitreAttack 種別 |
|
Kerberos サービスを実行している特権アカウント |
ブルートフォースが可能な Kerberos の Service Principal 名を使っている高特権アカウント |
Kerberom |
権限昇格、水平移動、持続性 |
|
危険な Kerberos 権限移譲 |
危険な権限移譲 (無制限、プロトコルの変更、など) が承認されていないことを確認する |
Nishang |
権限昇格、水平移動、持続性 |
|
Active Directory PKI に解読されやすい暗号処理アルゴリズムが使われている |
Active Directory PKI 内部で配備されているルート証明書には、解読されやすい暗号処理アルゴリズムを使用してはならない |
ANSSI-ADCP |
権限昇格、水平移動、持続性 |
|
重要オブジェクトの危険なアクセス権の権限移譲 |
違法なユーザーが重要なオブジェクトをコントロールできるようにするアクセス権が発見された |
BloodHound |
データ抽出、水平移動、コマンド&コントロール、資格情報アクセス、権限昇格 |
|
パスワードポリシーに多数の問題がある |
一部の特定のアカウントでは、堅牢な資格情報の保護を確保するには不十分なパスワードポリシーが現在設定されている |
Patator |
防御回避、水平移動、資格情報アクセス、権限昇格 |
|
危険な RODC 管理アカウント |
読み取り専用のドメインコントローラーの責任を持つ管理グループに異常なアカウントが含まれている |
Impacket |
資格情報アクセス、防御回避、権限昇格 |
|
機密性の高い GPO が最重要オブジェクトとつながっている |
管理者外のアカウントによって管理されている GPO が、機密性の高い Active Directory オブジェクト (KDC アカウント、ドメインコントローラー、管理者グループ、など) とつなっている |
ANSSI-ADCP |
コマンド&コントロール、資格情報アクセス、持続性、権限昇格 |
|
管理者アカウントがドメインコントローラー以外のシステムと接続することが許可されている |
監視下のインフラストラクチャで導入されているセキュリティポリシーが、管理者が DC 以外のリソースに接続することを防止していないので、機密な資格情報の漏洩につながる |
CrackMapExec |
防御回避、資格情報アクセス |
|
危険な信頼関係 |
不適切に設定された信頼関係の属性は、ディレクトリインフラのセキュリティを低下させる |
Kekeo |
水平移動、資格情報アクセス、権限昇格、防御回避 |
|
GPO 内の可逆的パスワード |
すべての GPO に可逆的なフォーマットのパスワードが含まれていないことを検証する |
SMB パスワードクローラー |
資格情報アクセス、権限昇格 |
|
旧バージョンの OS を実行しているコンピューター |
旧式のシステムはエディターのサポートが切れており、インフラストラクチャの脆弱性をいっそう悪化させる |
Metasploit |
水平維号、コマンド&コントロール |
|
Windows 2000 より前のバージョンと互換性のあるアクセスコントロールを使っているアカウント |
Windows 2000 より前の互換性アクセうグループに属しているアカウントメンバーは、特定のセキュリティ対策を迂回できる |
Impacket |
水平移動、防御回避 |
|
ローカル管理者によるアカウント管理 |
ローカルの管理者アカウントは、LAPS を使用して安全に集中管理されていることを確認する |
CrackMapExec |
防御回避、資格情報アクセス、水平移動 |
|
危険な無記名のユーザー構成 |
無監視下の Active Directory インフラに無記名アクセスが有効化され、機密情報の漏洩につながる |
Impacket |
データ抽出 |
|
異常な RODC フィルター属性 |
一部の読み取り専用のドメインコントローラーに適用されているフィルタリングのポリシーは、権限昇格を許し、機密情報のキャッシュにつながる |
Mimikatz (DCShadow) |
権限昇格、防御回避 |
|
水平移動する攻撃のシナリオに対する制限の欠如 |
監視下 Active Directory インフラに水平移動に対する制限が有効化されておらず、攻撃者はマシンからマシンへと同じレベルの権限で飛び移ることができる |
CrackMapExec |
水平移動 |
|
DC シェアにパスワードがクリアテキストで保存されている |
認証されているユーザーなら誰でもアクセスできる DC シェア上のファイルには、平文のパスワードが格納されているものが多く、権限昇格につながる |
SMBSpider |
資格アクセス、権限昇格、持続性 |
|
ログオンスクリプトの危険なアクセスコントロール権 |
コンピュータまたはユーザーがログオン時に使うスクリプトには危険なアクセス権があるものがあり、権限昇格につながる |
Metasploit |
権限昇格、水平移動、持続性 |
|
GPO 内で危険なパラメーターが使用されている |
危険なパラメータ (制限のあるグループ、LM ハッシュの演算、NTLM 認証レベル、機密パラメーター、など) が GPO によって設定されており、セキュリティの侵害を起こしている |
Responder |
発見、資格情報アクセス、実行、持続性、権限昇格、防御回避 |
|
ユーザーアカウントコントロール設定に危険なパラメーターが定義されている |
アカウントコントロール属性に危険なパラメータ (PASSWD_NOTREQD または PARTIAL_SECRETS_ACCOUNT など) が定義されているユーザーアカウントのセキュリティが危険にさらされる |
Mimikatz (LSADump) |
防御回避、権限昇格、持続性 |
|
セキュリティパッチが適用されていない |
Active Directory に登録されているサーバーに最近のセキュリティアップデートが適用されなかった |
Metasploit |
コマンド&コントロール、権限昇格、防御回避 |
|
ユーザーアカウントに対するブルートフォース攻撃の試行 |
ブルートフォース攻撃が一部のユーザーアカウントを標的にして試行されたことがある |
Patator |
資格情報アクセス |
|
ユーザーアカウントの Kerberos 設定 |
弱い Kerberos 設定を使っているアカウントがある |
Mimikatz (シルバーチケット) |
資格情報アクセス、権限昇格 |
|
DC に保存されている異常なシェアまたはファイル |
一部のドメインコントローターは、必要でないファイルやネットワークをシェアをホストするのに使われている |
SMBSpider |
発見、データ抽出 |
|
バックドアテクニック/対策 |
説明/対策 |
既知の攻撃ツール |
Mitre Attack 種別 |
|
SDProp の一貫性を保つ |
adminSDHolder オブジェクトがクリーンな状態であるようにコントロールする |
Mimikatz (ゴールデンチケット) |
権限昇格、持続性 |
|
SDProp の一貫性を保つ |
ユーザーのプライマリグループが変更されていないことを検証する |
BloodHound |
権限昇格、持続性 |
|
ルートのドメインオブジェクトの権限を検証する |
ルートのドメインオブジェクトに設定されている権限が妥当であることを確認する |
BloodHound |
権限昇格、持続性 |
|
機密性のある GPO オブジェクトとファイル権限を検証する |
GPO オブジェクトや機密性のあるコンテナ (ドメインコントローラーの OU など) とつながりのあるファイルの権限が妥当なことを確認する |
BloodHound |
実行、権限昇格、持続性 |
|
RODC KDC アカウントの危険なアクセス権 |
読み取り専用のドメインコントローラーによっては、そこで使われている KDC アカウントが違法なユーザーアカウントから制御できる場合があり、資格情報の漏洩につながる |
Mimikatz (DCSync) |
権限昇格、持続性 |
|
機密性のある証明書がユーザーアカウントにマッピングされている |
X509 証明書にはユーザーアカウントの属性 altSecurityIdentities に保存されているものがあり、証明書のプライベートキーユーザーはそのアカウントのユーザーになりすまして認証ができる |
コマンド&コントロール、資格情報アクセス、権限昇格、持続性 |
|
|
標準アカウントに Rogue Krbtgt SPN が設定されている |
KDC の Service Principal 名が、一部の標準アカウントに存在すると、Kerberos のチケット偽造につながる |
Mimikatz (ゴールデンチケット) |
権限昇格、持続性 |
|
KDC パスワードの最終変更 |
KDC アカウントのパスワードは定期的に変更しなければならない |
Mimikatz (ゴールデンチケット) |
資格アクセス、権限昇格、持続性 |
|
危険な SID 履歴の属性のあるアカウント |
SID 履歴属性内で特権SIDを使っているユーザーアカウントまたはコンピューターアカウントを確認する |
DeathStar |
権限昇格、持続性 |
|
不正なドメインコントローラー |
Active Directory のインフラには承認済みのドメインコントローラーのみを登録する |
Mimikatz (DCShadow) |
実行、防御回避、権限昇格、持続性 |
|
Bitlocker キーの違法アクセスコントロール |
Active Directory に保存されている Bitlocker の復元キーが管理者や接続されたコンピュータ以外の者によってアクセスできる |
ANSSI-ADCP |
資格アクセス、権限昇格、持続性 |
|
Schema セキュリティ記述子のエントリが異常 |
Active Directory スキーマが修正され、監視下にあるインフラを危険にさらすような新しい標準のアクセス権やオブジェクトの生成につながる |
BloodHound |
権限昇格、持続性 |
|
DSRM アカウントが有効化されている |
Active Directory の復元アカウントが有効化され、資格情報盗取のリスクにさらされている |
Mimikatz (LSADump) |
資格情報アクセス、実行、防御回避、権限昇格、持続性 |
|
RODC上の危険なキャッシュポリシー |
読み取り専用のドメインコントローラー (RODC)には、グローバル管理者アカウントの資格情報をキャッシュしたり取り出したりすることを、RODC 管理アカウントにさせるようなキャッシュポリシーが設定されているものがある |
Mimikatz (DCSync) |
権限昇格、持続性 |
|
GPO が配備した証明書が DC に適用されている |
ドメインコントローラーに証明証を配備するのに使われる GPO があるが、この場合、証明書のプライベートキーの所有者がサーバーに不正侵入できる |
BloodHound |
権限昇格、持続性 |
|
スマートカード使用時に認証用ハッシュが更新されない |
スマートカード認証を使うユーザーのアカウントには、資格情報のハッシュ値が十分な頻度で更新されていないものがある |
Mimikatz (LSADump) |
持続性 |
|
ユーザーアカウントの可逆的なパスワード |
パスワードが可逆的なフォーマットで保存されないようにパラメータを検証する |
Mimikatz (DC Sync) |
資格情報アクセス |
|
コンテナのアクセスに Explicit Deny が使用されている |
Active Directory のコンテナまたは OU にはアクセスの拒否を明示的に定義するものがあり、バックドアの隠ぺいにつながる可能性がある |
BloodHound |
防御回避、持続性 |
AD の不適切な構成はいつでも起きることです。ですから、ある時点で行われた調査は、いざその結果の内容を精査しようする数分後には無効であり、侵害の兆候として考慮できません。
それに反して Tenable.ad は、継続的に AD をスキャンして新しい弱点や攻撃を検知するセキュリティプラットフォームです。問題はリアルタイムでユーザーに通知されます。
AD セキュリティは、セキュリティ対策の重要な一部分です。Tenable.ad は、既存のセキュリティエコシステムにシームレスに統合します。
Tenable の Syslog の統合方式により、すべての SIEM とほぼすべてのチケットシステムとの統合が標準装備で提供されています。QRadar、Splunk、Phantom のネイティブアプリケーションもあります。
