Microsoftクラウド環境における「普通ではない」を検知する

Microsoftクラウド環境における「普通ではない」を検知する

Microsoftクラウド環境における「普通ではない」を検知する

Microsoftクラウド環境における

「普通ではない」を検知する

Microsoftクラウド環境における

「普通ではない」を検知する

By:
投稿者:
Matthew Pieklik
May 19, 2021

御社の環境において、Microsoft Azure AD や Office 365 のユーザーによる動きが、すべて従業員によるものであり、アカウントを乗っ取ろうとする攻撃者によるものではないと、確信することは可能ですか? Vectra AIが最近1,000人以上のセキュリティ担当者を対象に行った調査によると、71%が、過去12ヶ月間で、平均7件の正規ユーザーアカウント乗っ取りに遭ったという驚くべき回答がありました。

Office365の人気と、何億人ものユーザーがいることを考えると、なぜ攻撃の対象となっているのかは驚くことでもないと思います。Office 365は、強力な生産性向上ツールであり、物理的な距離に関係なく、接続しやすく、コラボレーションを簡単にするというメリットを提供し続けています。Microsoftは、多くの企業にとって、なくてはならない素晴らしいプラットフォームを提供していますが、サイバー犯罪者の視点から見ると、アカウントの乗っ取りに、最適なプラットフォームとなってしまっています。

では、どのようにして悪意のある動きを発見し、セキュリティチームに適切な警告を出すことができるのでしょうか?つまり、セキュリティ担当が本当に必要なことに集中するためにはどうしたらよいのでしょうか?適切なデータを収集し、適切な人工知能(AI)を活用することで、企業は、採用するクラウドサービスに関しての明確なビジョンを持つことができます。

脅威の検知による明確化

Vectra AIのお客様の場合、Azure ADやOffice 365の環境で通常とは異なることが起きたときに、脅威検知がトリガーされます。最新のスポットライトレポートでは、Vectra AIのお客様全体における脅威検知のトップ10を詳しくご紹介しています。Spotlight Report: Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365(「スポットライトレポート:ビジョンと可視性:Microsoft Azure ADとOffice 365の脅威検知チップ10」日本語版近日公開予定)。

Microsoft環境で検知された脅威の多くは、使いやすさや外部との連携を提供する動きに関連しています。これは、ユーザーにとってはもちろん便利なことですが、攻撃者にとってもアクセスのしやすさを提供することになります。詳細は、レポートをダウンロードしてご確認いただきたいのですが、トップ10の内の、いくつかの検知シナリオを紹介したいと思います。

Office 365への外部チームへのアクセス:その名の通り、Office 365のチームに外部アカウントが追加された場合に検知されます。この種の動きは、攻撃者が自分のコントロール下にあるアカウントを追加したことを示している可能性があり、そのような場合に備えてセキュリティチームは把握する必要があります。

Office 365の疑わしい共有の動き:通常より多くのファイル・フォルダーの共通が行われたときにも通知が必要です。これは、攻撃者がSharePointを利用してデータを流出させたり、最初のアクセスが修正された後もアクセスを維持していることを示している可能性があります。

Azure ADの疑わしい操作:この検知は、Azure ADの異常な操作が検知された場合にチームに通知されるものです。これは、攻撃者が権限を昇格させ、通常のアカウント乗っ取り後に、管理者レベルの権限を得て操作を行っている可能性があります。

これらの例を見ると、検知されるすべての動きは、必ずしも悪意があるものではありません。つまり、自分の環境で通常の動きとみなされるものと、対処が必要な潜在的な問題の可能性があるものを識別し、見分けることが必要になってきます。

MicrosoftTeams のようなコラボレーションツールを使用することは、正当なユーザーにとっては確かに便利ですが、攻撃者にとっても、有益な情報を見つけたり、ドキュメントや情報を入手したりするための便利な手段となる可能性があります。外部からのTeamsへのアクセス、不審なダウンロード行為、その他環境内で発生しているリスクの高い操作など、どのような動きであっても、セキュリティチームは把握する必要があります。

最新のレポートでは、このような動きをはじめとするさまざまな活動を取り上げています。適切なAIが、どのようにしてお客様の環境に適切なビジョンと可視性を提供し、さらに、コストのかかるサイバー攻撃を回避するのに役立つのかをまとめています。

レポートには以下を含みます:

  • 適切なAIを活用することで、ユーザーがどのようにクラウドアプリケーションにアクセスし、使用し、設定しているかを常に分析することができ、Microsoft AzureやOffice 365環境へのアカウント乗っ取りなどの脅威を検知し、阻止することにつながります。
  • MicrosoftAzure ADとOffice 365全体で見られる脅威検知トップ10により、セキュリティチームは、環境全体で、異常または安全ではない頻度の低い動きを検知することができます。
  • 企業の規模にかかわらず、Office 365のRisky Exchange Operationの検知は、検知リストにおいてトップもしくは近い位置にありました。
  • 最近のサプライチェーン攻撃におけるAzure AD環境での攻撃者による一般的なアクションは、Vectra AIが定義した検知にマッピングされ、脅威についてセキュリティチームに警告されます。

今すぐレポートを入手して、ご確認ください。

About the author

Matthew Pieklik

Matthew Pieklik is a senior consulting analyst at Vectra. He studied computer science at the University at Buffalo. Prior to Vectra, he was a senior systems engineer at Juniper Networks and a senior security engineer at RigNet amongst other positions held in his 20+ year career in networking and security.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

Microsoftクラウド環境における「普通ではない」を検知する

May 19, 2021
Read blog post
Breach

Supply Chain Attacks: Spotting & Preventing Supply Chain Attacks | Vectra AI

May 26, 2021
Read blog post
Threat detection

Detecting the “Out of the Ordinary” in Your Microsoft Cloud Environment

May 19, 2021
Read blog post