S&J、Active Directoryへの攻撃・乗っ取りを見つけ出す「Active Directory脅威診断/監視サービス」を提供開始
- 2020/09/17 11:00
- SecurityInsight
S&Jは9月15日、「セキュリティ診断サービス」のプランを拡充し、「Active Directory脅威診断/監視サービス」を提供開始することを発表した。
このサービスでは、Active Directoryサーバー(以下、AD)およびファイルサーバーやAD管理者端末のイベントログなどから脅威情報を同社独自開発の分析エージェントで収集し、アナリストが分析して管理者アカウントの窃取、不審なPowerShell実行やグループポリシー改竄などを検出することが可能になっている。
■「Active Directory脅威診断サービス』の特徴
Active Directoryから出力されるログを、独自開発した最新の攻撃を検出するエンジンの分析にかけ、さらに専門のセキュリティ技術者が確認し、不審な挙動や影響度、対処方法をユーザーに報告する。また、最新の攻撃を検知・確認するためのActive Directoryのログ出力設定が適切に行なえているかの設定確認結果も報告する。
・ADが攻撃者によって掌握された場合、攻撃者はランサムウェアやマルウェアを業務用PCに容易に配信することができる。このサービスで攻撃を初期段階で検出することにより、組織にとって致命的な脅威の回避が期待できる。
・ADや管理者端末に対する攻撃検知に特化したロジックを搭載しているため、SIEMやEDRでは検出できない脅威を検出することができる。
・イベントログを送付してもらい分析する「AD脅威診断サービス」と、エージェントを診断対象で直接動作させて分析する「AD脅威監視サービス」の2種類から選択可能。
◎AD脅威診断サービス
ADやファイルサーバーに対する脅威を診断し、結果を報告書に記載して提出。また、脅威を検出するのに必要な監査ログの設定が適切に設定されているかの診断も行なう。イベントログ(evtxファイル)を提供してもらい診断する。
◎AD脅威監視サービス
SOCアナリストが脅威の可能性を常時監視、精査し必要に応じて連絡するサービス。S&Jが開発した監視用エージェントを導入。導入対象はドメインコントローラー、ドメイン管理者端末、または任意でファイルサーバーとなっている。