Tenable Identity Exposure
Active Directory の安全を確保して攻撃経路を排除
Active Directory (AD) と Azure AD のセキュリティを制御して、ビジネスに悪影響を与える問題となる前に欠陥を見つけて修正します。
Tenable Identity Exposure は、高速でエージェントレスの Active Directory セキュリティソリューションです。複雑な Active Directory 環境内のすべての資産を可視化して、重大な事態を予測することでリスクを軽減し、攻撃者が悪用する前に攻撃経路を排除できます。
デモを予約する
X
権限昇格
ラテラルムーブメント
攻撃者の策略
Active Directory のセキュリティ上の弱点を攻撃される前に検出して修正
Tenable のアイデンティティリスクスコアを使用して、Active Directory 内のエクスポージャーを検出し、優先順位を付けます。段階的な修復ガイダンスにより、アイデンティティリスクを軽減します。
Active Directory 攻撃をリアルタイムで検知して対応
DCShadow、DCSync、ブルートフォース、パスワードスプレイ、その他多くの Active Directory に対する攻撃を検知。Tenable Identity Exposure は攻撃に関するインサイトを追加することで既存の SIEM、SOC、SOAR などを強化し、素早い対応で攻撃を阻止できます。
お客様の成功事例
「Tenable のソリューションのおかげで Active Directory のセキュリティの不安から解放され、新しいビジネスの取り込みに専念できるようになりました」Dominique Tessaro 氏
Tenable.io は、Tenable One サイバーエクスポージャー管理プラットフォームに内蔵されています
Tenable One は、DX 時代のアタックサーフェス全体を可視化して、可能性のある攻撃を防止し、サイバーリスクについて正確に伝達して最適なビジネスパフォーマンスを促進する、サイバーエクスポージャー管理プラットフォームです。 Tenable One プラットフォームは、IT 資産、クラウドリソース、コンテナ、ウェブアプリケーション、ID システムにわたる、高い網羅性を誇る脆弱性カバレッジを提供します。
詳細はこちら
Active Directory の保護
- Active Directory のセキュリティを脅かす根本的な問題を発見
- 危険な信頼関係を特定
- アイデンティティリスクスコアを使用してサイバーエクスポージャーをスコアリングし、修復に優先順位を付ける
- Active Directory と Azure AD のあらゆる変更をキャッチ
- Active Directory の変更と悪意のあるアクションを結びつける
- Active Directory と Azure AD でアイデンティティを統合
- 攻撃の詳細を視覚化
- 障害事案の詳細から直接 MITRE ATT&CK の内容説明を調査
Active Directory の攻撃を継続的に検知、予防
エージェントや特権不要。遅延なし。
エージェントや権限などを使わずに、高度の Active Directory 攻撃を防止して異常を検知します。
どこにでも導入
Tenable Identity Exposure は、データをオンサイトで管理下に置くオンプレミスと、クラウドを活用する SaaS という柔軟なアーキテクチャ設計を提供します。Active Directory と Azure Active Directory をサポートします。
よくあるご質問
- Active Directory 内に隠されている弱点を明確にする
- Active Directory のセキュリティを脅かす根本的な問題を発見
- 個々の不適切な構成の詳細をシンプルに解明する
- 新しく導入された資産のエクスポージャースコア (AES) 機能は、脆弱性、エクスポージャー、アイデンティティ権限を組み合わせて資産リスクを定量化します (Tenable の人工知能とデータサイエンスエンジンを活用)
- 問題の 1 つひとつに対して推奨修正案を取得する
- カスタムダッシュボードを作成して Active Directory セキュリティを管理し、リスク軽減を推進
- 危険な信頼関係を発見する
- Active Directory および Azure AD のアイデンティティを統合表示
- AD 内の変化をすべて認識
- Active Directory 内のドメインごとに主要な攻撃を検出
- 正確な攻撃のタイムラインから個々の脅威を可視化する
- 攻撃の分布を一元化して 1 つの画面に表示する
- Active Directory の変更と悪意のあるアクションを結びつける
- Active Directory に対する攻撃の詳細を詳細に分析
- 侵害などの事象が発覚した場合、MITRE ATT&CK ® の記述内容と直接照合する
|
攻撃ベクトル |
説明/対策 |
既知の攻撃ツール |
MitreAttack 種別 |
|
Kerberos サービスを実行している特権アカウント |
ブルートフォースが可能な Kerberos の Service Principal 名を使っている高特権アカウント |
Kerberom |
権限昇格、ラテラルムーブメント、持続性 |
|
危険な Kerberos 権限移譲 |
危険な権限移譲 (無制限、プロトコルの変更、など) が承認されていないことを確認する |
Nishang |
権限昇格、ラテラルムーブメント、持続性 |
|
解読されやすい暗号処理アルゴリズムがActive Directory PKI に使われている |
Active Directory PKI 内部で配備されているルート証明書には、解読されやすい暗号処理アルゴリズムを使用してはならない |
ANSSI-ADCP |
権限昇格、ラテラルムーブメント、持続性 |
|
重要オブジェクトの危険なアクセス権の権限移譲 |
違法なユーザーが重要なオブジェクトをコントロールできるようにするアクセス権が発見された |
BloodHound |
データ抽出、ラテラルムーブメント、コマンド&コントロール、アイデンティティ情報アクセス、権限昇格 |
|
パスワードポリシーに多数の問題がある |
一部の特定のアカウントでは、堅牢な資格情報の保護を確保するには不十分なパスワードポリシーが現在設定されている |
Patator |
防御回避、ラテラルムーブメント、アイデンティティ情報アクセス、権限昇格 |
|
危険な RODC 管理アカウント |
読み取り専用のドメインコントローラーの責任を持つ管理グループに異常なアカウントが含まれている |
Impacket |
資格情報アクセス、防御回避、権限昇格 |
|
機密性の高い GPO が最重要オブジェクトとつながっている |
管理者外のアカウントによって管理されている GPO が、機密性の高い Active Directory オブジェクト (KDC アカウント、ドメインコントローラー、管理者グループ、など) とつなっている |
ANSSI-ADCP |
コマンド&コントロール、資格情報アクセス、持続性、権限昇格 |
|
管理者アカウントがドメインコントローラー以外のシステムと接続することが許可されている |
監視下のインフラストラクチャで導入されているセキュリティポリシーが、管理者が DC 以外のリソースに接続することを防止していないので、機密な資格情報の漏洩につながる |
CrackMapExec |
防御回避、資格情報アクセス |
|
危険な信頼関係 |
不適切に設定された信頼関係の属性は、ディレクトリインフラのセキュリティを低下させる |
Kekeo |
ラテラルムーブメント、資格情報アクセス、権限昇格、防御回避 |
|
GPO 内の可逆的パスワード |
すべての GPO に可逆的なフォーマットのパスワードが含まれていないことを検証する |
SMB パスワードクローラー |
資格情報アクセス、権限昇格 |
|
廃止されたバージョンの OS を実行しているコンピュータ |
旧式のシステムはエディターのサポートが切れており、インフラストラクチャの脆弱性をいっそう悪化させる |
Metasploit |
水平維号、コマンド&コントロール |
|
Windows 2000 以前と互換性のあるアクセスコントロールを使っているアカウント |
Windows 2000 より前の互換性アクセスグループに属しているアカウントメンバーは、特定のセキュリティ対策を迂回できる |
Impacket |
ラテラルムーブメント、防御回避 |
|
ローカル管理者によるアカウント管理 |
ローカルの管理者アカウントは、LAPS を使用して安全に集中管理されていることを確認する |
CrackMapExec |
防御回避、資格情報アクセス、ラテラル無^部面と水平移動 |
|
危険な無記名のユーザー構成 |
無監視下の Active Directory インフラに無記名アクセスが有効化され、機密情報の漏洩につながる |
Impacket |
データ抽出 |
|
異常な RODC フィルター属性 |
一部の読み取り専用のドメインコントローラーに適用されているフィルタリングのポリシーは、権限昇格を許し、機密情報のキャッシュにつながる |
Mimikatz (DCShadow) |
権限昇格、防御回避 |
|
ラテラルムーブメントを使った攻撃のシナリオが阻止できない |
監視下 Active Directory インフラの探索を阻止対策が有効化されておらず、攻撃者はマシンからマシンへと同じレベルの権限で飛び移ることができる |
CrackMapExec |
ラテラルムーブメント |
|
DC シェアにパスワードがクリアテキストで保存されている |
認証されているユーザーなら誰でもアクセスできる DC シェア上のファイルには、平文のパスワードが格納されているものが多く、権限昇格につながる |
SMBSpider |
資格アクセス、権限昇格、持続性 |
|
ログオンスクリプトの危険なアクセスコントロール権 |
コンピュータまたはユーザーがログオン時に使うスクリプトには危険なアクセス権があるものがあり、権限昇格につながる |
Metasploit |
権限昇格、ラテラルムーブメント、持続性 |
|
GPO 内で危険なパラメーターが使用されている |
危険なパラメータ (制限のあるグループ、LM ハッシュの演算、NTLM 認証レベル、機密パラメーター、など) が GPO によって設定されており、セキュリティの侵害を起こしている |
Responder |
発見、資格情報アクセス、実行、持続性、権限昇格、防御回避 |
|
ユーザーアカウントコントロール設定に危険なパラメーターが定義されている |
アカウントコントロール属性に危険なパラメータ (PASSWD_NOTREQD または PARTIAL_SECRETS_ACCOUNT など) が定義されているユーザーアカウントのセキュリティが危険にさらされる |
Mimikatz (LSADump) |
防御回避、権限昇格、持続性 |
|
セキュリティパッチが適用されていない |
Active Directory に登録されているサーバーに最近のセキュリティアップデートが適用されなかった |
Metasploit |
コマンド&コントロール、権限昇格、防御回避 |
|
ユーザーアカウントに対するブルートフォース攻撃の試行 |
ブルートフォース攻撃が一部のユーザーアカウントを標的にして試行されたことがある |
Patator |
資格情報アクセス |
|
ユーザーアカウントの Kerberos 設定 |
弱い Kerberos 設定を使っているアカウントがある |
Mimikatz (シルバーチケット) |
資格情報アクセス、権限昇格 |
|
DC に保存されている異常なシェアまたはファイル |
一部のドメインコントローターは、必要でないファイルやネットワークをシェアをホストするのに使われている |
SMBSpider |
発見、データ抽出 |
|
バックドアテクニック/対策 |
説明/対策 |
既知の攻撃ツール |
Mitre Attack 種別 |
|
SDProp の一貫性の確保 |
adminSDHolder オブジェクトがクリーンな状態であるようにコントロールする |
Mimikatz (ゴールデンチケット) |
権限昇格、持続性 |
|
SDProp の一貫性の確保 |
ユーザーのプライマリグループが変更されていないことを検証する |
BloodHound |
権限昇格、持続性 |
|
ルートのドメインオブジェクトの権限を検証する |
ルートのドメインオブジェクトに設定されている権限が妥当であることを確認する |
BloodHound |
権限昇格、持続性 |
|
機密性の高い GPO オブジェクトとファイル権限の検証 |
GPO オブジェクトや機密性のあるコンテナ (ドメインコントローラーの OU など) とつながりのあるファイルの権限が妥当なことを確認する |
BloodHound |
実行、権限昇格、持続性 |
|
RODC KDC アカウントの危険なアクセス権 |
読み取り専用のドメインコントローラーによっては、そこで使われている KDC アカウントが違法なユーザーアカウントから制御できる場合があり、資格情報の漏洩につながる |
Mimikatz (DCSync) |
権限昇格、持続性 |
|
機密性のある証明書がユーザーアカウントにマッピングされている |
X509 証明書にはユーザーアカウントの属性 altSecurityIdentities に保存されているものがあり、証明書のプライベートキーユーザーはそのアカウントのユーザーになりすまして認証ができる |
コマンド&コントロール、資格情報アクセス、権限昇格、持続性 |
|
|
標準アカウントに Rogue Krbtgt SPN が設定されている |
KDC の Service Principal 名が、一部の標準アカウントに存在すると、Kerberos のチケット偽造につながる |
Mimikatz (ゴールデンチケット) |
権限昇格、持続性 |
|
KDC パスワードの最終変更 |
KDC アカウントのパスワードは定期的に変更しなければならない |
Mimikatz (ゴールデンチケット) |
資格アクセス、権限昇格、持続性 |
|
危険な SID 履歴の属性のあるアカウント |
SID 履歴属性内で特権SIDを使っているユーザーアカウントまたはコンピューターアカウントを確認する |
DeathStar |
権限昇格、持続性 |
|
不正なドメインコントローラー |
Active Directory のインフラには承認済みのドメインコントローラーのみを登録する |
Mimikatz (DCShadow) |
実行、防御回避、権限昇格、持続性 |
|
Bitlocker キーの違法アクセスコントロール |
Active Directory に保存されている Bitlocker の復元キーが管理者や接続されたコンピュータ以外の者によってアクセスできる |
ANSSI-ADCP |
資格アクセス、権限昇格、持続性 |
|
Schema セキュリティ記述子のエントリが異常 |
Active Directory スキーマが修正され、監視下にあるインフラを危険にさらすような新しい標準のアクセス権やオブジェクトの生成につながる |
BloodHound |
権限昇格、持続性 |
|
DSRM アカウントが有効化されている |
Active Directory の復元アカウントが有効化され、資格情報盗取のリスクにさらされている |
Mimikatz (LSADump) |
資格情報アクセス、実行、防御回避、権限昇格、持続性 |
|
スマートカード使用時に認証用ハッシュが更新されない |
スマートカード認証を使うユーザーのアカウントには、資格情報のハッシュ値が十分な頻度で更新されていないものがある |
Mimikatz (LSADump) |
持続性 |
|
ユーザーアカウントの可逆的なパスワード |
パスワードが可逆的なフォーマットで保存されないようにパラメータを検証する |
Mimikatz (DC Sync) |
資格情報アクセス |
|
コンテナのアクセスに Explicit Deny が使用されている |
Active Directory のコンテナまたは OU にはアクセスの拒否を明示的に定義するものがあり、バックドアの隠ぺいにつながる可能性がある |
BloodHound |
防御回避、持続性 |
AD の不適切な構成はいつでも起きることです。ですから、ある時点で行われた調査は、いざその結果の内容を精査しようする数分後には無効であり、侵害の兆候として考慮できません。
一方、Tenable Identity Exposure は AD のスキャンを継続的に行い、新たな弱点や攻撃を検出して、問題についてユーザーにリアルタイムで警告するセキュリティプラットフォームです。
AD セキュリティは、セキュリティ対策の重要な一部分です。Tenable Identity Exposure は、既存のセキュリティエコシステムにシームレスに統合します。
Tenable の Syslog の統合方式により、すべての SIEM およびほぼすべてのチケットシステムと Tenable Identity Exposure との統合が標準装備で提供されています。 QRadar、Splunk、Phantom のネイティブアプリもあります。
Tenable Identity Exposure は本当に目をみはるように素晴らしい。Active Directory に対する攻撃をリアルタイムに検出して応答できるようにするばかりでなく、悪用される前に弱点を明らかにして修正することにも役立ちます。CISO
