ハイブリッド環境の資格情報を守る！Azure ATP(前編)

2018年3月、クラウド環境の資格情報保護をおこなう Azure Advanced Threat Protection (Azure ATP) をリリースしました。これまで、オンプレミスのAzure Directory 環境では、ディレクトリに登録されているユーザーなどの資格情報を保護するサービスとして、Microsoft Advanced Threat Analytics(ATA)を提供しています。

今回リリースしたAzure ATP ではオンプレミスの環境だけではなく、クラウド環境のディレクトリも対応範囲に広げ、ハイブリッドな組織のディレクトリにおける資格情報を保護することができるようになりました。

Azure ATPでは、組織内の DNSやKerberos といったネットワーク通信や、イベントログなどの複数のデータソース、そしてマイクロソフトが集積している世界中の脅威情報を基に、組織のユーザーやコンピューター、リソースなどの資格情報に対する不正なアクティビティや、悪意のある攻撃者による攻撃を検知、分析し、組織の管理者が適切な対応を迅速にとることができます。

攻撃の検出

Azure ATPは、マイクロソフトが全世界から収集している数百万にも上る脅威情報Microsoft Intelligent Security Graphと、各テナント内のネットワークトラフィック、イベントログ、VPNデータなどのさまざまなデータソースを総合的に分析し、資格情報に対する脅威を検知・分析します。

まず、各テナント内のユーザー、デバイス、リソースに対して、それぞれの基本となる行動プロファイルを作成します。資格情報が窃盗され、攻撃者が成りすましている場合、取得したIDとパスワードを使ってほかの端末に侵入しようとしたり、普段は行うことのないコマンドを実行してディレクトリにクエリを実行したりすることがあります。

通常利用する端末、通常実施しているコマンドなど、日々の挙動をプロファイル化しておくことで、通常とは異なる動作をした場合に、通常利用しているユーザーではないものによってその資格情報が利用されている、すなわち攻撃者によって操作されている可能性が高いと判断し、アラートを上げます。

また、Azure ATP では、世界のさまざまな攻撃手法を収集し、Pass-the-hash、Overpass-the-hash, Golden Ticketといったよくある攻撃パターンの特徴を取り込むことで、類似の攻撃があった場合にアラートを上げます。

クラウドをベースとしたサービスであることの強みを生かし、新たに発見された攻撃手法は、すぐに自動ですべてのテナントに配信され脅威データベースが更新されます。これにより、それぞれの組織のテナントは常に最新の脅威情報を基に攻撃を分析することができます。

調査

Azure ATPでは、単に不審なアクティビティや攻撃のアラートを列挙のではなく、IT管理者やセキュリティ管理者が行っていた基本的なセキュリティ監視と分析、対応を自動化しています。上がったアラートは、DPI (Deep Packet Inspection) と機械学習 (Machine Learning) を活用した自動分析を行い、どこから、どのような攻撃が行われたかを時系列で表示します。

セキュリティ被害にむすびつく重要なアラートだけを攻撃の流れとしてわかりやすく可視化することで、管理者の負担を最小限にしながら、攻撃に対するレスポンスを迅速に行うことができるようになっています。

さらに、Azure ATP では、Windows Defender Advanced Threat Protection(「MS ゆりか先生が教えるWindows 10 セキュリティのアレコレ【第7回】」でも解説) との連携もおこなうことができ、組織内のデバイス上における攻撃のシグナルを統合することで、誤検知を減少し、より的確で詳細な分析を行うことができるようにもなっています。

次回は、実際の資格情報を軸とした組織への侵入の流れを追いながら、Azure ATPでどのように対応できるのかを紹介します。