マイクロソフトは、ドメインコントローラーや重要なウェブサーバーなどの高価値資産(HVA)を高度なサイバー攻撃から保護することに焦点を当てた、Defenderプラットフォームの大幅なアップグレードを導入しました。
これらの改善は、攻撃者がコアインフラストラクチャをターゲットにしてエンタープライズネットワークへの深いアクセスを獲得する傾向の増加に対処することを目的としています。
攻撃者がドメインコントローラーなどのシステムを制御すると、権限を昇格させてネットワーク全体を容易に横展開できます。
攻撃者は適切なコンテキストなしに通常のように見える正当な管理ツールを使用するため、従来のセキュリティツールはそのような活動を検出できないことがよくあります。
この課題を解決するために、マイクロソフトは Security Exposure Management ツールを搭載した新しいコンテキスト対応アプローチを統合しました。
このシステムは、組織にとっての重要性に基づいてデバイスとクラウドリソースを自動的に識別および分類します。
システムに重大度レベルでタグを付けることで、Defenderは最も重要な場所にあるシステムにより厳格な保護を適用できます。
プラットフォームはクラウドインテリジェンスを使用して、各高価値資産の通常の動作パターンを継続的に学習します。
異常なアクティビティが発生した場合、特に Tier-0 システムで、弱いシグナルを高信頼度のアラートに引き上げます。
これにより、セキュリティチームは脅威をより早く検出して対応でき、広範な被害のリスクを低減できます。
マイクロソフトはドメインコントローラーに関する実世界の攻撃シナリオも共有しました。この場合、攻撃者はスケジュールされたタスクを使用して NTDS データベースを抽出しようとしました。これは通常、定期的なバックアップ操作に溶け込む方法です。
しかし、Defenderはシステムを重要な資産として識別し、その広いコンテキスト内で疑わしい動作を認識しました。
プラットフォームは直ちにアクションをブロックし、侵害された管理者アカウントを無効化し、さらなるエスカレーションを防止しました。
ID インフラストラクチャの保護に加えて、Defenderは IIS ベースのウェブサーバーなどのインターネット向けシステムのセキュリティを強化しました。
これらのシステムはウェブシェル攻撃の頻繁なターゲットです。新しい機能により、Defenderは一般的に悪用されるディレクトリをより深く検査します。
このアプローチは、従来のペリメータ防御をバイパスしていた以前は未知のウェブシェルを検出および削除するのに役立っています。
プラットフォームは、認証情報ストア、レジストリハイブ、および ID 関連データに関する機密操作も監視します。
重要なサーバー上のプロセスチェーンを分析することで、Defenderはディレクトリレプリケーションや Entra Connect の悪用などの技術を通じて認証情報を抽出しようとする攻撃者を停止できます。
マイクロソフトは、組織が高価値資産の保護を最優先すべきであることを強調しています。これらのシステムの周囲の防御を強化すると、標準的なエンドポイントのみに焦点を当てるのと比べて、全体的なリスクをより大きく削減できます。
さらに、重要インフラを含むアラートへの迅速な調査と対応は、現代的なサイバー攻撃の影響を最小化するために不可欠です。
翻訳元: https://cyberpress.org/microsoft-real-world-attacks/