Active Directory
脅威診断サービス
Active Directory陥落の脅威!陥落から始まる新型ランサムウェア、恐怖のシナリオ
現在の脅威動向を踏まえ、攻撃を検出することによって致命的なインシデント発生リスクを低減
現在の脅威動向を踏まえて、Active Directoyサーバー、ファイルサーバー(Windows Server OS)に対する攻撃検知に特化した診断サービスです。
Active Directoy、ファイルサーバーに対する攻撃検知に特化したロジックを搭載している分析エージェント(以下エージェントと呼称)およびアナリストがイベントログを分析し、報告いたします。
Active Directory脅威診断サービスの特徴
診断対象期間内(最大1ヶ月分のログ)におけるActive Directory、およびファイルサーバーを狙った攻撃の有無を診断
アナリストに明らかな脆弱な点がないか(最低限のパッチなどの適用がされているかなど)、状態の確認
将来、アナリストが攻撃を受けた際に調査できるようなログ出力設定・ログ量が確保できているかを確認
最新の脅威動向を踏まえた脅威を検出
イベントログを分析エージェントおよびアナリストが分析。
最新脅威動向を踏まえて、アナリスト、ファイルサーバーを狙った攻撃を診断。
脅威を検出、脅威発生時に分析するために必要な監査ログの設定が 適切に行えているのかを診断。
動作条件
Windows Server 2008(64bit)以上、.Net Framework 4.0以上
必要なログの形式
evtx形式のイベントログファイル(5種類)
Active Directory脅威診断サービスで検出される脅威例
| 主な検出脅威 | ADサーバー | ファイルサーバー | 参考情報 |
|---|---|---|---|
| アカウントロック | 〇 | 〇 | 別途ログ出力設定が必要 |
| 不審なPowerShell実行 | 〇 | 〇 | (※)PowerShell 5.0以上が必要 |
| 不審な管理共有 | 〇 | 〇 | 別途ログ出力設定が必要 |
| Golden Ticketの利用 | 〇 | 〇 | 別途ログ出力設定が必要 |
| 管理者権限でのログオン | 〇 | ― | ― |
| イベントログ消去 | 〇 | 〇 | ― |
導入事例
生活家電、食品、工具、不動産管理、金融、アパレル、コンサルティング、小売、情報サービス、介護サービス、他、多くの企業様にActive Directory脅威診断サービスを実施しています。