Active Directory の安全を確保して攻撃経路を排除する

サイバー被害の背景には必ずセキュリティが不十分な Active Directory (AD) があります。AD は、権限昇格の足がかりとして恰好な標的となり、既知の欠陥や不適切な構成を利用して他の領域を探索する手段として利用されています。
ドメインの複雑化が進み、構成・設定ミスが増加する現在、多くの企業は Active Directory のセキュリティ対策まで手が回らないのが実情です。その結果、セキュリティ部門は欠陥の早期検知や修正ができず、事業に影響を与えるような問題につながることがあります。
Tenable の Active Directory Security は、迅速でエージェントレスな負荷の少ないセキュリティソリューションです。複雑な AD 環境内にあるものすべてを可視化し、重要な問題を予測してリスクを削減し、攻撃に悪用される前に攻撃経路を排除します。
デモを予約するX
権限昇格
ラテラルムーブメント
攻撃者の策略
アクティブディレクトリのセキュリティ上の弱点を攻撃される前に検出して修正
Tenable.ad のガイダンスに沿って既存の Active Directory、ドメイン内の弱点を検出、優先順位付けして、リスクを削減できます。
Active Directory 攻撃をリアルタイムで検知して対応
DCShadow、DCSync、ブルートフォース、パスワードスプレイ、その他多くの Active Directory に対する攻撃を検知。Tenable.ad は攻撃に関するインサイトを既存の SIEM、SOC、SOAR などに追加して強化し、素早い対応で攻撃を阻止することができます。
「Tenable.ad のおかげで Active Directory のセキュリティの不安から解放され、新しいビジネスに専念できるようになりました」Vinci Energies、CIO - Dominique Tessaro 氏
Tenable.io は、Tenable One サイバーエクスポージャー管理プラットフォームに内蔵されています
Tenable One は、DX 時代のアタックサーフェス全体を可視化して、可能性のある攻撃を防止し、サイバーリスクについて正確に伝達して最適なビジネスパフォーマンスを促進する、サイバーエクスポージャー管理プラットフォームです。 Tenable One プラットフォームは、IT 資産、クラウドリソース、コンテナ、ウェブアプリケーション、ID システムにわたる、高い網羅性を誇る脆弱性カバレッジを提供します。
詳細はこちらActive Directory の保護
- アクティブディレクトリに影響を与えている問題を検出
- 危険な信頼関係を特定
- AD 内の変化をすべて認識
- AD 上の変化と悪意のある行動のつながりを理解
- 攻撃の詳細を深く分析
- 障害事案の詳細から直接 MITRE ATT&CK の内容説明を調査

よくあるご質問
- Active Directory 内に隠されている弱点を明確にする
- AD セキュリティを脅かす、根底にある問題を発見する
- 個々の不適切な構成の詳細をシンプルに解明する
- 問題の 1 つひとつに対して推奨修正案を取得する
- カスタムダッシュボードの作成により AD セキュリティを管理し、リスク低減を推進
- 危険な信頼関係を発見する
- AD 内の変化をすべて認識
- AD 内の主な攻撃をドメイン別で明確にする
- 正確な攻撃のタイムラインから個々の脅威を可視化する
- 攻撃の分布を一元化して 1 つの画面に表示する
- AD 上の変化と悪意のある行動のつながりを理解
- AD 攻撃の詳細を深く分析する
- 侵害などの事象が発覚した場合、MITRE ATT&CK ® の記述内容と直接照合する
攻撃ベクトル |
説明/対策 |
既知の攻撃ツール |
MitreAttack 種別 |
Kerberos サービスを実行している特権アカウント |
ブルートフォースが可能な Kerberos の Service Principal 名を使っている高特権アカウント |
Kerberom |
権限昇格、ラテラルムーブメント、持続性 |
危険な Kerberos 権限移譲 |
危険な権限移譲 (無制限、プロトコルの変更、など) が承認されていないことを確認する |
Nishang |
権限昇格、ラテラルムーブメント、持続性 |
解読されやすい暗号処理アルゴリズムがActive Directory PKI に使われている |
Active Directory PKI 内部で配備されているルート証明書には、解読されやすい暗号処理アルゴリズムを使用してはならない |
ANSSI-ADCP |
権限昇格、ラテラルムーブメント、持続性 |
重要オブジェクトの危険なアクセス権の権限移譲 |
違法なユーザーが重要なオブジェクトをコントロールできるようにするアクセス権が発見された |
BloodHound |
データ抽出、ラテラルムーブメント、コマンド&コントロール、アイデンティティ情報アクセス、権限昇格 |
パスワードポリシーに多数の問題がある |
一部の特定のアカウントでは、堅牢な資格情報の保護を確保するには不十分なパスワードポリシーが現在設定されている |
Patator |
防御回避、ラテラルムーブメント、アイデンティティ情報アクセス、権限昇格 |
危険な RODC 管理アカウント |
読み取り専用のドメインコントローラーの責任を持つ管理グループに異常なアカウントが含まれている |
Impacket |
資格情報アクセス、防御回避、権限昇格 |
機密性の高い GPO が最重要オブジェクトとつながっている |
管理者外のアカウントによって管理されている GPO が、機密性の高い Active Directory オブジェクト (KDC アカウント、ドメインコントローラー、管理者グループ、など) とつなっている |
ANSSI-ADCP |
コマンド&コントロール、資格情報アクセス、持続性、権限昇格 |
管理者アカウントがドメインコントローラー以外のシステムと接続することが許可されている |
監視下のインフラストラクチャで導入されているセキュリティポリシーが、管理者が DC 以外のリソースに接続することを防止していないので、機密な資格情報の漏洩につながる |
CrackMapExec |
防御回避、資格情報アクセス |
危険な信頼関係 |
不適切に設定された信頼関係の属性は、ディレクトリインフラのセキュリティを低下させる |
Kekeo |
ラテラルムーブメント、資格情報アクセス、権限昇格、防御回避 |
GPO 内の可逆的パスワード |
すべての GPO に可逆的なフォーマットのパスワードが含まれていないことを検証する |
SMB パスワードクローラー |
資格情報アクセス、権限昇格 |
廃止されたバージョンの OS を実行しているコンピュータ |
旧式のシステムはエディターのサポートが切れており、インフラストラクチャの脆弱性をいっそう悪化させる |
Metasploit |
水平維号、コマンド&コントロール |
Windows 2000 以前と互換性のあるアクセスコントロールを使っているアカウント |
Windows 2000 より前の互換性アクセスグループに属しているアカウントメンバーは、特定のセキュリティ対策を迂回できる |
Impacket |
ラテラルムーブメント、防御回避 |
ローカル管理者によるアカウント管理 |
ローカルの管理者アカウントは、LAPS を使用して安全に集中管理されていることを確認する |
CrackMapExec |
防御回避、資格情報アクセス、ラテラル無^部面と水平移動 |
危険な無記名のユーザー構成 |
無監視下の Active Directory インフラに無記名アクセスが有効化され、機密情報の漏洩につながる |
Impacket |
データ抽出 |
異常な RODC フィルター属性 |
一部の読み取り専用のドメインコントローラーに適用されているフィルタリングのポリシーは、権限昇格を許し、機密情報のキャッシュにつながる |
Mimikatz (DCShadow) |
権限昇格、防御回避 |
ラテラルムーブメントを使った攻撃のシナリオが阻止できない |
監視下 Active Directory インフラの探索を阻止対策が有効化されておらず、攻撃者はマシンからマシンへと同じレベルの権限で飛び移ることができる |
CrackMapExec |
ラテラルムーブメント |
DC シェアにパスワードがクリアテキストで保存されている |
認証されているユーザーなら誰でもアクセスできる DC シェア上のファイルには、平文のパスワードが格納されているものが多く、権限昇格につながる |
SMBSpider |
資格アクセス、権限昇格、持続性 |
ログオンスクリプトの危険なアクセスコントロール権 |
コンピュータまたはユーザーがログオン時に使うスクリプトには危険なアクセス権があるものがあり、権限昇格につながる |
Metasploit |
権限昇格、ラテラルムーブメント、持続性 |
GPO 内で危険なパラメーターが使用されている |
危険なパラメータ (制限のあるグループ、LM ハッシュの演算、NTLM 認証レベル、機密パラメーター、など) が GPO によって設定されており、セキュリティの侵害を起こしている |
Responder |
発見、資格情報アクセス、実行、持続性、権限昇格、防御回避 |
ユーザーアカウントコントロール設定に危険なパラメーターが定義されている |
アカウントコントロール属性に危険なパラメータ (PASSWD_NOTREQD または PARTIAL_SECRETS_ACCOUNT など) が定義されているユーザーアカウントのセキュリティが危険にさらされる |
Mimikatz (LSADump) |
防御回避、権限昇格、持続性 |
セキュリティパッチが適用されていない |
Active Directory に登録されているサーバーに最近のセキュリティアップデートが適用されなかった |
Metasploit |
コマンド&コントロール、権限昇格、防御回避 |
ユーザーアカウントに対するブルートフォース攻撃の試行 |
ブルートフォース攻撃が一部のユーザーアカウントを標的にして試行されたことがある |
Patator |
資格情報アクセス |
ユーザーアカウントの Kerberos 設定 |
弱い Kerberos 設定を使っているアカウントがある |
Mimikatz (シルバーチケット) |
資格情報アクセス、権限昇格 |
DC に保存されている異常なシェアまたはファイル |
一部のドメインコントローターは、必要でないファイルやネットワークをシェアをホストするのに使われている |
SMBSpider |
発見、データ抽出 |
バックドアテクニック/対策 |
説明/対策 |
既知の攻撃ツール |
Mitre Attack 種別 |
SDProp の一貫性の確保 |
adminSDHolder オブジェクトがクリーンな状態であるようにコントロールする |
Mimikatz (ゴールデンチケット) |
権限昇格、持続性 |
SDProp の一貫性の確保 |
ユーザーのプライマリグループが変更されていないことを検証する |
BloodHound |
権限昇格、持続性 |
ルートのドメインオブジェクトの権限を検証する |
ルートのドメインオブジェクトに設定されている権限が妥当であることを確認する |
BloodHound |
権限昇格、持続性 |
機密性の高い GPO オブジェクトとファイル権限の検証 |
GPO オブジェクトや機密性のあるコンテナ (ドメインコントローラーの OU など) とつながりのあるファイルの権限が妥当なことを確認する |
BloodHound |
実行、権限昇格、持続性 |
RODC KDC アカウントの危険なアクセス権 |
読み取り専用のドメインコントローラーによっては、そこで使われている KDC アカウントが違法なユーザーアカウントから制御できる場合があり、資格情報の漏洩につながる |
Mimikatz (DCSync) |
権限昇格、持続性 |
機密性のある証明書がユーザーアカウントにマッピングされている |
X509 証明書にはユーザーアカウントの属性 altSecurityIdentities に保存されているものがあり、証明書のプライベートキーユーザーはそのアカウントのユーザーになりすまして認証ができる |
コマンド&コントロール、資格情報アクセス、権限昇格、持続性 |
|
標準アカウントに Rogue Krbtgt SPN が設定されている |
KDC の Service Principal 名が、一部の標準アカウントに存在すると、Kerberos のチケット偽造につながる |
Mimikatz (ゴールデンチケット) |
権限昇格、持続性 |
KDC パスワードの最終変更 |
KDC アカウントのパスワードは定期的に変更しなければならない |
Mimikatz (ゴールデンチケット) |
資格アクセス、権限昇格、持続性 |
危険な SID 履歴の属性のあるアカウント |
SID 履歴属性内で特権SIDを使っているユーザーアカウントまたはコンピューターアカウントを確認する |
DeathStar |
権限昇格、持続性 |
不正なドメインコントローラー |
Active Directory のインフラには承認済みのドメインコントローラーのみを登録する |
Mimikatz (DCShadow) |
実行、防御回避、権限昇格、持続性 |
Bitlocker キーの違法アクセスコントロール |
Active Directory に保存されている Bitlocker の復元キーが管理者や接続されたコンピュータ以外の者によってアクセスできる |
ANSSI-ADCP |
資格アクセス、権限昇格、持続性 |
Schema セキュリティ記述子のエントリが異常 |
Active Directory スキーマが修正され、監視下にあるインフラを危険にさらすような新しい標準のアクセス権やオブジェクトの生成につながる |
BloodHound |
権限昇格、持続性 |
DSRM アカウントが有効化されている |
Active Directory の復元アカウントが有効化され、資格情報盗取のリスクにさらされている |
Mimikatz (LSADump) |
資格情報アクセス、実行、防御回避、権限昇格、持続性 |
スマートカード使用時に認証用ハッシュが更新されない |
スマートカード認証を使うユーザーのアカウントには、資格情報のハッシュ値が十分な頻度で更新されていないものがある |
Mimikatz (LSADump) |
持続性 |
ユーザーアカウントの可逆的なパスワード |
パスワードが可逆的なフォーマットで保存されないようにパラメータを検証する |
Mimikatz (DC Sync) |
資格情報アクセス |
コンテナのアクセスに Explicit Deny が使用されている |
Active Directory のコンテナまたは OU にはアクセスの拒否を明示的に定義するものがあり、バックドアの隠ぺいにつながる可能性がある |
BloodHound |
防御回避、持続性 |
AD の不適切な構成はいつでも起きることです。ですから、ある時点で行われた調査は、いざその結果の内容を精査しようする数分後には無効であり、侵害の兆候として考慮できません。
それに反して Tenable.ad は、継続的に AD をスキャンして新しい弱点や攻撃を検知するセキュリティプラットフォームです。問題はリアルタイムでユーザーに通知されます。
AD セキュリティは、セキュリティ対策の重要な一部分です。Tenable.ad は、既存のセキュリティエコシステムにシームレスに統合します。
Tenable の Syslog の統合方式により、すべての SIEM とほぼすべてのチケットシステムとの統合が標準装備で提供されています。QRadar、Splunk、Phantom のネイティブアプリケーションもあります。