Blog - article

NDRにおける”R”(対応手段)を拡大:Account Lockdown

NDRにおける”R”(対応手段)を拡大:Account Lockdown

By:
投稿者:
Jose Malacara
February 13, 2020

セキュリティ運用の効率を向上する、Vectra AI社のAccount Lockdownを発表します。

Vectra AI社が提供するAccount LockdownとActive Directoryを統合することで、カスタマイズ可能なアカウントをすぐ適用することができるようになります。

ネットワークではなくアカウントを無効化することで、該当アカウントへのアクセスを外部から凍結し、サービスが停止する事態を回避できます。

また、攻撃者のアカウントを無効にすることによって、その進行やキルチェーンを抑制することができます。

これにより、アカウントをベースにした攻撃目標を絞り込み、何が攻撃の範囲に含まれているのかを把握することで、SOCアナリストは、徹底的な調査を行うための時間を確保できるようになります。

Account Lockdownは、アナリストが手動で実行することも、また自動的に実行させることも可能です。

アナリストは、セキュリティ調査中に、手動によるワンクリックの操作でAccount Lockdownを実行し、ネットワークアカウントを無効化することができます。

Automatic Account Lockdownは、自動的に実行され、SOC担当者がすぐ対応できない場合には、暫定的な修復対応を行います。

Account Lockdownでは、監視可能な特権(Observed Privilege)、アカウントの脅威・確実性(Threat and Certainty)スコアなど、構成が可能なしきい値のセットを使用します。

これらの信頼忠実度が高いシグナルは、Vectra AI社のPrivilege Access Analytics検知スイートを利用して得られたものであり、付与された特権ではなく実際に観察された特権を基に、誤用や盗難にあったアカウント認証情報の特定を支援します。

IDをベースにした、Account Lockdownの強化レベルによって、攻撃者に対する外部からのきめ細かな修復対応が可能となります。

これは、皆様の対応ワークフローに向けて最適化されたプラットフォーム上に構築されます:

  • 既存のセキュリティ投資を活かした形で実施します。オーケストレーション、EDR、NACソリューションを介した対応が可能です。
  • インシデントへの対応は、何を施行すべきかを知ることから始まります。アノマリー異常値ベースのシステムが発する「ノイズ」を軽減します。には耳を傾けません。MITER ATT&CKフレームワーク内で、業界最大級の数におよぶネットワーク上の振る舞いをカバーするというアプローチを、確実に実施することができます。
  • 攻撃者が標的とする情報資産アセットに特化した対応を行います。特権、リスク、脅威の可能性が高いものを優先します。
  • アラートが多過ぎる場合には、自動化による対応を活用します。個別のアラートを1つのインシデントに集約して調査することができます。

Vectra AI社のAccount Lockdownによって、SOCの効率を高めながら、ネットワークの調査や保護のための貴重な時間を確保することができます。

詳しくは、Vectra AI社までお問い合わせください。

About the author

Jose Malacara

Jose Malacara is a senior product manager at Vectra. He is an AWS Certified Solutions Architect and has over 18 years of broad technology experience, drawing on his many years working in various product management, sales and network engineering roles building and supporting cloud applications for companies like FATHOM, Rackspace and ANX.

Author profile and blog posts

Most recent blog posts from the same author

Security operations

NDRにおける”R”(対応手段)を拡大:Account Lockdown

February 13, 2020
Read blog post
Security operations

Expanding the "R" in NDR: Account Lockdown

February 13, 2020
Read blog post