Advanced Threat Analytics の不審なアクティビティ ガイド

  • [アーティクル]

適用対象: Advanced Threat Analytics Version 1.9

適切な調査の後、不審なアクティビティは次のように分類できます。

  • 真陽性: ATA が検出した悪意のあるアクション。

  • 無害な真陽性: ATA が検出したアクションですが、侵入テストなど悪意があるアクションではありません。

  • 擬陽性: 誤検知です。アクティビティが発生しなかったことを意味します。

ATA アラートを操作する方法の詳細については、「不審なアクティビティの操作」を参照してください。

質問やフィードバックについては、ATA チーム (ATAEval@microsoft.com) にお問い合わせください。

機密性の高いグループの異常な変更

説明

攻撃者は、高い権限を持つグループにユーザーを追加します。 これは、より多くのリソースにアクセスし、永続化を得るために行います。 検出は、ユーザー グループの変更アクティビティのプロファイリングと、機密性の高いグループへの異常な追加が見られる場合のアラートに依存します。 プロファイリングは ATA によって継続的に実行されます。 アラートをトリガーするまでの最小期間は、ドメイン コントローラーごとに 1 か月です。

ATA での機密性の高いグループの定義については、「ATA コンソールの操作」を参照してください。

検出は、ドメイン コントローラーで監査されたイベントに依存します。 ドメイン コントローラーが必要なイベントを監査していることを確認するには、このツールを使用します。

調査

  1. グループの変更は正当ですか?
    まれに発生し、「正常」と学習されなかった正当なグループ変更は、アラートを引き起こす可能性があり、これは無害な真陽性と見なされます。

  2. 追加されたオブジェクトがユーザー アカウントの場合は、ユーザー アカウントが管理者グループに追加された後に実行したアクションをチェックします。 ATA のユーザーのページに移動して、より多くのコンテキストを取得します。 追加が行われる前または後に、アカウントに関連付けられている他の不審なアクティビティがありましたか? 機密性の高いグループ変更レポートをダウンロードして、同じ期間中に行われたその他の変更とそのユーザーを確認します。

修正

機密性の高いグループを変更する権限を持つユーザーの数を最小限に抑えます。

Active Directory の [権限アクセス管理] (該当する場合) を設定します。

コンピューターとドメイン間の信頼が失われる

Note

コンピューターとドメインの間の信頼損失アラートは、非推奨となり、1.9 以前の ATA バージョンでのみ表示されます。

説明

信頼損失とは、Active Directory のセキュリティ要件がこれらのコンピューターに対して有効ではない可能性があることを意味します。 これは、ベースラインのセキュリティとコンプライアンスの失敗と、攻撃者のソフト ターゲットと見なされます。 この検出では、24 時間以内にコンピューター アカウントから 5 つ以上の Kerberos 認証エラーが発生した場合にアラートがトリガーされます。

調査

調査中のコンピューターで、ドメイン ユーザーのサインインは許可されますか?

  • 該当する場合、修復手順でこのコンピューターを無視できます。

修正

必要に応じてドメインにコンピューターを再度参加させるか、コンピューターのパスワードをリセットします。

LDAP simple bind を使用したブルート フォース攻撃

説明

Note

不審な認証エラーとこの検出この検出の主な違いは、この検出の場合、ATA は、異なるパスワードが使用されたかを判断できることです。

ブルートフォース攻撃では、攻撃者は、少なくとも1つのアカウントの正しいパスワードが見つかるまで、アカウントごとにさまざまなパスワードを使用して認証を試みます。 見つけると、攻撃者はそのアカウントを使用してサインインできます。

この検出では、ATA で多数の simple bind 認証が検出されると、アラートがトリガーされます。 これは、多数のユーザーに対してパスワードの小さなセットを使用して水平方向に行うか、数人のユーザーに対して大規模なパスワード セットを使用して垂直方向に行うか、またはこれら 2 つのオプションの任意の組み合わせで行うことができます。

調査

  1. 関連するアカウントが多数ある場合は、[詳細をダウンロード] を選択して Excel スプレッドシートの一覧を表示します。

  2. アラートを選択して、その専用ページに移動します。 認証が成功してログイン試行が終了したかどうかを確認します。 試行はインフォグラフィックの右側に Guessed アカウントとして表示されます。 「はい」の場合、ソース コンピューターから通常使用される推測されたアカウントはありますか? [はい] の場合は、不審なアクティビティを抑制します。

  3. 推測されたアカウントがない場合は、任意の攻撃されたアカウントをソース コンピューターから通常使用されますか? [はい] の場合は、不審なアクティビティを抑制します。

修正

複雑で長いパスワードは、ブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

暗号化のダウングレード アクティビティ

説明

暗号化のダウングレードは、通常、最高レベルの暗号化を使用して暗号化されるプロトコルのさまざまなフィールドの暗号化レベルをダウングレードすることによって、Kerberos を弱体化させる方法です。 弱体化された暗号化されたフィールドは、オフラインのブルート フォース試行のターゲットになる可能性があります。 さまざまな攻撃方法が脆弱な Kerberos 暗号化暗号を利用します。 この検出では、ATA が、コンピューターやユーザーが使用した Kerberos の暗号化の種類を学習し、(1) ソース コンピューターやユーザーが通常使うものではなく、(2) 既知の攻撃方法と一致するより弱い暗号が使われると、アラートがトリガーされます。

検出には、3 つの種類があります。

  1. スケルトン キー – ドメイン コントローラー上で実行され、パスワードを知らずに任意のアカウントでドメインに対する認証を許可するマルウェアです。 このマルウェアは、多くの場合、弱い暗号化アルゴリズムを使用して、ドメイン コントローラーでユーザーのパスワードをハッシュします。 この検出では、ドメイン コントローラーからチケットを要求するアカウントへの KRB_ERR メッセージの暗号が方法が以前学習した動作と比較してダウングレードされました。

  2. ゴールデン チケット – ゴールデン チケット アラートでは、ソース コンピューターからの TGS_REQ (サービス要求) メッセージの [TGT] フィールドの暗号化方法が、以前に学習した動作と比較してダウングレードされました。 これは、(他のゴールデン チケット検出と同様に) 時間の異常に基づいていません。 さらに、ATA が検出した以前のサービス要求に関連付けられた Kerberos 認証要求はありませんでした。

  3. Overpass-the-Hash – 攻撃者は、Kerberos AS 要求を使用して強力なチケットを作成するために、盗まれた脆弱なハッシュを使用できます。 この検出では、ソース コンピューターからの AS_REQ メッセージ暗号化の種類が、以前に学習した動作 (つまり、コンピューターが AES を使用していた) と比較してダウングレードされました。

調査

まず、アラートの説明をチェックして、上記の 3 つの検出の種類のうち、どれに該当するかを確認します。 詳細については、Excel スプレッドシートをダウンロードしてください。

  1. スケルトン キー - スケルトン キーがドメイン コントローラーに影響を与えたかどうかを確認します。
  2. ゴールデン チケット – Excel スプレッドシートで、[ネットワーク アクティビティ] タブに移動します。関連するダウングレードされたフィールドが [チケット暗号化の種類を要求] であり、[ソース コンピューターでサポートされている暗号化の種類] により強力な暗号化方法が一覧表示されていることがわかります。 1. ソース コンピューターとアカウントを確認するか、複数のソース コンピューターとアカウントに共通点があるかどうかをチェックします (たとえば、すべてのマーケティング担当者が、アラートがトリガーされる可能性がある特定のアプリを使用します)。 使用頻度の低いカスタム アプリケーションが、より低い暗号化サイファーを使用して認証を行う場合があります。 ソース コンピューターにこのようなカスタム アプリがあるかどうかを確認します。 ある場合、それは、おそらく真陽性であり、抑制することができます。1. これらチケットがアクセスしたリソースを確認します。 すべてのリソースがアクセスしているリソースが 1 つある場合は、そのリソースを検証し、アクセスする必要がある有効なリソースであることを確認します。 また、ターゲット リソースが強力な暗号化方法をサポートしているかどうかを確認します。 リソース サービス アカウントの属性 msDS-SupportedEncryptionTypes を確かめ、Active Directory でこれを確認します。
  3. Overpass-the-Hash – Excel スプレッドシートで、[ネットワーク アクティビティ] タブに移動します。関連するダウングレードされたフィールドが [暗号化タイムスタンプ暗号化の種類] であり、[ソース コンピューターでサポートされている暗号化の種類] に、より強力な暗号化方法が含まれていることがわかります。 1. スマートカード構成が最近変更された場合でスマートカードを使用してユーザーがサインインした場合、このアラートがトリガーされる場合があります。 関係するアカウントに対してこのような変更があったかどうかを確認します。 ある場合、これは、おそらく真陽性であり、抑制することができます。1. これらチケットがアクセスしたリソースを確認します。 すべてのリソースがアクセスしているリソースが 1 つある場合は、そのリソースを検証し、アクセスする必要がある有効なリソースであることを確認します。 また、ターゲット リソースが強力な暗号化方法をサポートしているかどうかを確認します。 リソース サービス アカウントの属性 msDS-SupportedEncryptionTypes を確かめ、Active Directory でこれを確認します。

修正

  1. スケルトン キー – マルウェアを削除します。 詳細については、「スケルトン キーマルウェア分析」を参照してください。

  2. ゴールデン チケット – ゴールデン チケットの不審なアクティビティの指示に従います。 また、ゴールデン チケットを作成するにはドメイン管理者権限が必要であるため、Pass the hash 推奨事項を実装します。

  3. Overpass-the-Hash – 関係するアカウントが機密でない場合は、そのアカウントのパスワードをリセットします。 これにより、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなりますが、既存のチケットは有効期限が切れるまで引き続き使用できます。 機密性の高いアカウントの場合は、ゴールデン チケットの不審なアクティビティと同様に、KRBTGT アカウントを 2 回リセットすることを検討する必要があります。 KRBTGT を 2 回リセットすると、このドメインのすべての Kerberos チケットが無効になるため、事前に計画してください。 KRBTGT アカウントの記事のガイダンスを参照してください。 これは横移動手法であるため、「Pass the hash 推奨事項」のベスト プラクティスに従います。

ハニートークン アクティビティ

説明

ハニートークン アカウントは、これらのアカウントを含む悪意のあるアクティビティを特定して追跡するために設定されたおとりアカウントです。 ハニートークン アカウントは未使用のままにしておき、攻撃者をおびき寄せる魅力的な名前 (たとえば SQL-Admin) を付けます。 これらによって行われるアクティビティは、悪意のある動作を示している可能性があります。

ハニー トークン アカウントの詳細については、「ATA のインストール - 手順 7」を参照してください。

調査

  1. ソース コンピューターの所有者が、不審なアクティビティ ページで説明されている方法 (Kerberos、LDAP、NTLM など) を使用して、ハニートークン アカウントで認証を行ったかどうかを確認します。

  2. ソース コンピューターのプロファイル ページを参照し、そこから認証された他のアカウントをチェックします。 Honeytoken アカウントを使用した場合は、それらのアカウントの所有者に確認してください。

  3. これは非対話型ログインである可能性があるため、ソース コンピューターで実行されているアプリケーションまたはスクリプトのチェックしてください。

手順 1 から 3 を実行した後、無害な使用の証拠がない場合は、これが悪意があると見なされます。

修正

Honeytoken アカウントが意図した目的にのみ使用されていることを確認します。そうしないと、多くのアラートが生成される場合があります。

Pass-the-Hash 攻撃を使用したなりすまし

説明

Pass-the-Hash は、攻撃者が 1 台のコンピューターからユーザーの NTLM ハッシュを盗み、それを使用して別のコンピューターにアクセスする横移動手法です。

調査

ハッシュは、対象ユーザーが所有または定期的に使用するコンピューターから使用さましたか? 「はい」の場合、アラートは擬陽性であり、そうでない場合は、おそらく真陽性です。

修正

  1. 関係するアカウントが機密性の高くない場合は、そのアカウントのパスワードをリセットします。 パスワードをリセットすると、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなります。 既存のチケットは有効期限が切れるまで引き続き使用できます。

  2. 関連するアカウントの機密性が高い場合は、ゴールデン チケットの不審なアクティビティと同様に、KRBTGT アカウントを 2 回リセットすることを検討してください。 KRBTGT を 2 回リセットすると、すべてのドメイン Kerberos チケットが無効になりので、リセット前に影響範囲を考慮してください。 KRBTGT アカウントの記事のガイダンスを参照してください。 これは典型的な横移動手法であるため、「Pass the hash 推奨事項」のベスト プラクティスに従います。

Pass-the-Ticket 攻撃を使用したなりすまし

説明

Pass-the-Ticket は、攻撃者が 1 台のコンピューターから Kerberos チケットを盗み、それを使用して盗まれたチケットを再利用して別のコンピューターにアクセスする横移動手法です。 この検出では、Kerberos チケットが 2 つ (またはそれ以上) の異なるコンピューターで使用されます。

調査

  1. [詳細をダウンロード] ボタンを選択すると、関連する IP アドレスの完全な一覧が表示されます。 サブネットの一方または両方のコンピューターの IP アドレスは、VPN や WiFi などの不足している DHCP プールから割り当てられていますか? IP アドレスが共有されませんか? たとえば、NAT デバイスではどうですか? これらの質問のいずれかに対する回答が「はい」の場合、アラートは擬陽性です。

  2. ユーザーに代わってチケットを転送するカスタム アプリケーションはありますか? もしそうなら、それは悪意のない真陽性です。

修正

  1. 関係するアカウントが機密性が高くない場合、そのアカウントのパスワードをリセットします。 パスワードをリセットすると、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなります。 既存のチケットは有効期限が切れるまで使用できます。

  2. 機密性の高いアカウントの場合は、ゴールデン チケットの不審なアクティビティと同様に、KRBTGT アカウントを 2 回リセットすることを検討する必要があります。 KRBTGT を 2 回リセットすると、このドメインのすべての Kerberos チケットが無効になるため、事前に計画してください。 KRBTGT アカウントの記事のガイダンスを参照してください。 これは横移動手法であるため、「Pass the hash 推奨事項」のベスト プラクティスに従います。

Kerberos ゴールデン チケット アクティビティ

説明

ドメイン管理者権限を持つ攻撃者は KRBTGT アカウントを侵害する場合があります。 攻撃者は KRBTGT アカウントを使用して、任意のリソースに承認を提供する Kerberos チケット許可チケット (TGT) を作成できます。 チケットの有効期限は任意の時刻に設定できます。 この偽の TGT は「ゴールデン チケット」と呼ばれ、攻撃者がネットワーク内で永続性を取得し、それを維持できます。

この検出では、Kerberos チケット許可チケット (TGT) が、ユーザー チケット セキュリティ ポリシーの最大有効期間で指定されている許容時間を超えると、アラートがトリガーされます。

調査

  1. グループ ポリシーの [ユーザー チケットの最長有効期間] 設定に最近 (過去数時間以内に) 変更が加えられましたか? 「はい」の場合は、アラートを閉じます (擬陽性です)。

  2. このアラートに関係する ATA ゲートウェイは仮想マシンですか? 「はい」の場合、最近保存された状態から再開されましたか? 「はい」の場合は、このアラートを閉じます

  3. 上記の質問に対する回答が「いいえ」の場合は、悪意があると見なします。

修正

KRBTGT アカウントの記事のガイダンスに従って、Kerberos チケット付与チケット (KRBTGT) パスワードを 2 回変更します。 KRBTGT を 2 回リセットすると、このドメインのすべての Kerberos チケットが無効になるため、事前に計画してください。 また、ゴールデン チケットを作成するにはドメイン管理者権限が必要であるため、Pass the hash 推奨事項を実装します。

悪意のあるデータ保護の個人情報要求

説明

Data Protection API (DPAPI) は、ブラウザー、暗号化されたファイル、およびその他の機密データによって保存されたパスワードを安全に保護するために、Windows によって使用されます。 ドメイン コントローラーは、ドメイン参加している Windows マシンで DPAPI で暗号化されたすべてのシークレットの暗号化を解除するために使用できるバックアップ マスター キーを保持します。 攻撃者はマスター キーを使用して、すべてのドメイン参加マシンで DPAPI によって保護されたシークレットを復号化できます。 この検出では、DPAPI を使ってバックアップ マスター キーが取得されると、アラートがトリガーされます。

調査

  1. ソース コンピューターが Active Directory に対して組織が承認した高度なセキュリティ スキャナーは実行中ですか?

  2. 実行中で、常に実行している場合、不審なアクティビティを閉じて、除外します。

  3. 「はい」で、実行するべきではない場合、不審なアクティビティを閉じます

修正

DPAPI を使用するには、攻撃者にはドメイン管理者権限が必要です。 「Pass the hash の推奨事項」を実装します。

ディレクトリ サービスの悪意のあるレプリケーション

説明

Active Directory のレプリケーションは、1つのドメイン コントローラーで行われた変更を他のすべてのドメイン コントローラーと同期するプロセスです。 必要なアクセス許可が与えられると、攻撃者はレプリケーション要求を開始して、Active Directory に格納されているデータ (パスワード ハッシュを含む) を取得できます。

この検出では、ドメイン コントローラーではないコンピューターからレプリケーション要求が開始されると、アラートがトリガーされます。

調査

  1. 問題のコンピューターはドメイン コントローラーですか? たとえば、レプリケーションの問題が発生した新しく昇格されたドメイン コントローラーなどです。 「はい」の場合は、不審なアクティビティを閉じます
  2. 問題のコンピューターは Active Directory からデータをレプリケートしていますか? たとえば、Microsoft Entra Connect。 「はい」の場合は、不審なアクティビティを閉じて、除外します。
  3. ソース コンピューターまたはアカウントを選択して、その [プロファイル] ページに移動します。 レプリケーションの時間の前後に何が発生したかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。

修正

次のアクセス許可を検証します。

  • ディレクトリ変更のレプリケート

  • ディレクトリのすべての変更をレプリケート

詳細については、「SharePoint Server 2013 でプロファイルを同期するために Active Directory Domain Services のアクセス許可を付与する」を参照してください。 AD ACL スキャナーを使用するか、Windows PowerShell スクリプトを作成してドメインでこれらのアクセス許可を持つユーザーを特定できます。

大規模なオブジェクトの削除

説明

一部のシナリオでは、攻撃者は情報を盗むだけでなく、サービス拒否 (DoS) 攻撃を実行します。 多数のアカウントを削除することは、DoS 攻撃を試みる方法の 1 つです。

この検出では、すべてのアカウントの 5% を超えるアカウントが削除されるたびにアラートがトリガーされます。 検出には、削除されたオブジェクト コンテナーへの読み取りアクセスが必要です。 削除済みオブジェクト コンテナーに対する読み取り専用アクセス許可の構成の詳細については、「ディレクトリ オブジェクトに対するアクセス許可の表示または設定」「削除されたオブジェクト コンテナーに対するアクセス許可の変更」を参照してください。

調査

削除されたアカウントの一覧を確認し、大規模な削除を正当化するパターンまたはビジネス上の理由があるかどうかを判断します。

修正

Active Directory でアカウントを削除できるユーザーのアクセス許可を削除します。 詳細については、「ディレクトリ オブジェクトに対するアクセス許可の表示または設定」を参照してください。

偽造承認データを使用した権限エスカレーション

説明

以前のバージョンの Windows Server の既知の脆弱性により、攻撃者は Privileged Attribute Certificate (PAC) を操作できます。 PAC は Kerberos チケットのフィールドで、ユーザー承認データ (Active Directory ではグループ メンバーシップ) を持ち、攻撃者に追加権限を付与します。

調査

  1. アラートを選択して詳細ページにアクセスします。

  2. 宛先コンピューター ([アクセス済み] 列の配下) に MS14-068 (ドメイン コントローラー) または MS11-013 (サーバー) のパッチが適用されていますか? 「はい」の場合は、不審なアクティビティを閉じます (擬陽性です)。

  3. 宛先コンピューターにパッチが当てられていない場合、ソース コンピューターは、PAC を変更することが分かっている OS/アプリケーションを (FROM 列の配下で) 実行しますか? 「はい」の場合は、不審なアクティビティを抑制にします (真陽性)。

  4. 前の 2 つの質問に対する回答が [いいえ] である場合は、このアクティビティに悪意があると見なします。

修正

Windows Server 2012 R2 までのオペレーティング システムが搭載されたすべてのドメイン コントローラーが、KB3011780 と一緒にインストールされ、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーが KB2496930 で最新の状態であることを確認します。 詳細については、「シルバー PAC」および「偽造 PAC」を参照してください。

アカウント列挙攻撃による偵察

説明

アカウント列挙攻撃偵察では、攻撃者は何千ものユーザー名を持つディクショナリ、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測します。 攻撃者は、これらの名前を使用して Kerberos 要求を行い、ドメインで有効なユーザー名を見つけようとします。 推測によってユーザー名が正しく特定された場合、攻撃者は Security principal unknown ではなく、Kerberos エラーである Preauthentication required を取得します。

この検出では、ATA は攻撃の発生元、推測試行の合計回数、および一致した回数を検出できます。 不明なユーザーが多すぎる場合、ATA はそれを不審なアクティビティとして検出します。

調査

  1. アラートを選択して、その詳細ページに移動します。

    1. このホスト コンピューターは、アカウント (Exchange サーバーなど) が存在するかどうかについてドメイン コントローラーにクエリを実行する必要はありますか?

  2. この動作を生成できるスクリプトまたはアプリケーションがホスト上で実行されていますか?

    これらの質問のいずれかに対する回答が「はい」の場合は、不審なアクティビティを閉じて (無害な真陽性です)、不審なアクティビティからそのホストを除外します。

  3. Excel スプレッドシートでアラートの詳細をダウンロードすると、アカウントの試行の一覧が、既存アカウントと既存しないアカウント別に簡単に表示されます。 スプレッドシートの既存しないアカウント シートを見て、アカウントに見覚えがある場合は、無効化されたアカウントまたは、退職した従業員の場合があります。 この場合、辞書からの試行である可能性は高くありません。 ほとんどの場合、Active Directory にまだ存在するアカウントを確認するためのアプリケーションやスクリプトであり、無害な真陽性であることを意味します。

  4. 見慣れない名前である場合、Active Directory の既存アカウント名と推測試行は一致しましたか? 一致しない場合、この試行は無駄に終わったか、アラートが時間の経過とともに、更新されるかどうかに注意する必要があります。

  5. 推測試行が、既存アカウント名と一致する場合、攻撃者は、お使いの環境でそのアカウントが存在していることを認識し、ブルート フォースを使用して、検出したユーザー名を使用するドメインにアクセスしようとします。 推測されたアカウント名で、追加の不審なアクティビティがないか確認します。 一致するアカウントのいずれかが機密性の高いアカウントであるかどうかを確認します。

修正

複雑で長いパスワードは、ブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

Directory Services クエリを使用した偵察

説明

攻撃者は、ディレクトリ サービス偵察を使用して、今後の攻撃に備えて、ディレクトリ構成と目的の権限アカウントをマッピングします。 Security Account Manager Remote (SAM-R) プロトコルは、このようなマッピングを実行するディレクトリにクエリを実行するために使用する手法の 1 つです。

この検出では、ATA がデプロイされた後の最初の月にアラートはトリガーされません。 学習期間中、ATA により、機密性の高いアカウントのリストと個別のクエリの両方について、どの SAM-R クエリがどのコンピューターから行われるかがプロファイリングされます。

調査

  1. アラートを選択して、その詳細ページに移動します。 実行されたクエリ (Enterprise Admins または Administrator など)、それが成功したかどうかを確認します。

  2. このようなクエリは、問題のソース コンピューターから行われると想定されていますか?

  3. 「はい」の場合、アラートが更新されて、不審なアクティビティが抑制になります。

  4. 「はい」の場合で、今後実行されるべきではない場合は、不審なアクティビティを閉じます

  5. 関連するアカウントに関する情報がある場合: そのようなクエリは、そのアカウントによって実行されていると思いますか、それとも通常、そのアカウントはソース コンピューターにサインインしますか?

    • 「はい」の場合、アラートが更新されて、不審なアクティビティが抑制になります。

    • 「はい」の場合で、今後実行されるべきではない場合は、不審なアクティビティを閉じます

    • 上記すべての質問の答えが、「いいえ」の場合、悪意があると見なされます。

  6. 関連したアカウントの情報が無い場合、エンドポイントに移動して、アラートの時点でログインされたアカウントを確認します。

修正

  1. コンピューターで脆弱性スキャン ツールが実行されていますか?
  2. 攻撃でクエリを実行した特定のユーザーとグループが権限付きアカウントまたは高い価値のあるアカウント (つまり、CEO、CFO、IT 管理など) であるかを調査します。 それに該当する場合は、エンドポイントのそのたアクティビティを確認し、横移動のターゲットである可能性があるので、クエリされたアカウントがログインしているコンピューターを監視します。

DNS を使用した偵察

説明

DNS サーバーには、ネットワーク内のすべてのコンピューター、IP アドレス、およびサービスのマップが含まれています。 この情報は、攻撃者がネットワーク構造をマップし、攻撃の後の手順で目的のコンピューターをターゲットにするために使用されます。

DNS プロトコルには、いくつかのクエリの種類があります。 ATA は、DNS 以外のサーバーから送信された AXFR (転送) 要求を検出します。

調査

  1. ソース マシン (送信元...) は DNS サーバーですか? 「はい」の場合、これはおそらく擬陽性です。 検証するには、アラートを選択して詳細ページに移動します。 テーブルの [クエリ] で、クエリされたドメインを確認します。 これらは既存のドメインですか? 「はい」の場合は、不審なアクティビティを閉じます (擬陽性です)。 また、将来の擬陽性を防ぐために、ATA ゲートウェイとソース コンピューターの間で UDP ポート 53 が開いていることを確認します。
  2. ソース マシンはセキュリティ スキャナーを実行していますか? 「はい」の場合は、[閉じて除外する] を使用して、ATA 内のエンティティを除外するか。[除外] ページ (Kubernetes - ATA管理者が使用可能) から除外します。
  3. 上記のすべての質問に対する回答が「いいえ」の場合は、ソース コンピューターに焦点を当てて調査を続けます。 ソース コンピューターを選択して、その [プロファイル] ページに移動します。 要求の時間の前後に何が発生したかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。

修正

DNS を使用した偵察の発生を防ぐために内部 DNS サーバーをセキュリティで保護するには、ゾーン転送を無効にするか、指定された IP アドレスのみに制限します。 ゾーン転送の制限の詳細については、「ゾーン転送の制限」を参照してください。 ゾーン転送の変更は、内部攻撃と外部攻撃の両方から DNS サーバーをセキュリティで保護するために対処する必要がある、チェックリストの 1 つのタスクです。

SMB セッション リストを使用した偵察

説明

Server Message Block (SMB) リストを使用することで、攻撃者は、最近ユーザーがログオンした場所に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を横方向に移動して、特定の機密性の高いアカウントにアクセスします。

この検出では、ドメイン コントローラーに対して SMB セッション リストが実行された場合に、アラートがトリガーされます。

調査

  1. アラートを選択して、その詳細ページに移動します。 操作を実行したアカウントと、存在する場合は、公開されたアカウントを確認します。

    • ソース コンピューターで何らかのセキュリティ スキャナーが実行されていますか? 「はい」の場合は、不審なアクティビティを閉じて、除外します。

  2. 操作を実行した関連ユーザーを確認します。 通常、ユーザーはソース コンピューターにログインしますか、それともそのようなアクションを実行する管理者ですか?

  3. 「はい」の場合、アラートが更新されて、不審なアクティビティが抑制になります。

  4. 答えが「はい」で更新するべきではない場合、不審なアクティビティを閉じます

  5. 上記のすべてに対する答えが「いいえ」の場合は、アクティビティに悪意があるとみなされます。

修正

  1. ソース コンピューターを封じ込めます。
  2. 攻撃を実行したツールを見つけて削除します。

リモート実行の試行の検出

説明

管理者の資格情報を侵害したり、ゼロデイ攻撃を使用したりする攻撃者は、ドメイン コントローラーでリモート コマンドを実行できます。 これは、永続化、情報の収集、サービス拒否 (DOS) 攻撃などの理由で使用できます。 ATA は、PSexec とリモート WMI 接続を検出します。

調査

  1. これは、管理ワークステーションだけでなく、ドメイン コントローラーに対して管理タスクを実行する IT チーム メンバーとサービス アカウントにも共通します。 このケースが該当し、同じ管理者またはコンピューターがタスクを実行するためにアラートが更新される場合は、アラートを抑制にします。
  2. 問題のコンピューターは、ドメイン コントローラーに対してこのリモート実行を実行できますか?
    • 問題のアカウントは、ドメイン コントローラーに対してこのリモート実行を実行できますか?
    • 両方の質問に対する回答が「はい」の場合は、アラートを閉じます
  3. いずれかの質問に対する回答が「いいえ」の場合、このアクティビティは真陽性と見なす必要があります。 コンピューターとアカウント プロファイルをチェックして、試行元を見つけます。 ソース コンピューターまたはアカウントを選択して、その [プロファイル] ページに移動します。 試行の時間前後に何かが発生したかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。

修正

  1. 階層 0 以外のマシンからドメイン コントローラーへのリモート アクセスを制限します。

  2. 権限アクセスを実装して、セキュリティが強化されたマシンのみが管理者のドメイン コントローラーに接続できるようにします。

機密性の高いアカウント資格情報が公開される > アカウント資格情報を公開しているサービス

Note

この不審なアクティビティは非推奨となり、1.9 以前の ATA バージョンでのみ表示されます。 ATA 1.9 以降については、「レポート」を参照してください。

説明

一部のサービスでは、アカウント資格情報がプレーン テキストで送信されます。 これは、機密性の高いアカウントでも発生する可能性があります。 ネットワーク トラフィックを監視している攻撃者は、悪意のある目的でこれらの資格情報をキャッチして再利用できます。 機密性の高いアカウントのクリア テキスト パスワードはアラートをトリガーしますが、機密性が低いアカウントの場合、5 つ以上の異なるアカウントが同じソース コンピューターからクリア テキスト パスワードを送信した場合にアラートがトリガーされます。

調査

アラートを選択して、その詳細ページに移動します。 公開されたアカウントを確認します。 このようなアカウントが多数ある場合は、[詳細をダウンロード] を選択して Excel スプレッドシートで一覧を表示します。

通常、LDAP simple bind を使用するソース コンピューターにはスクリプトまたはレガシー アプリケーションがあります。

修正

ソース コンピューター上の構成を確認し、LDAP simple bind を使用しないことを確認します。 LDAP simple bind を使用する代わりに、LDAP SALS または LDAPS を使用できます。

不審な認証エラー

説明

ブルートフォース攻撃では、攻撃者は、少なくとも1つのアカウントの正しいパスワードが見つかるまで、アカウントごとにさまざまなパスワードを使用して認証を試みます。 見つけると、攻撃者はそのアカウントを使用してサインインできます。

この検出では、Kerberos または NTLM を使用した多くの認証エラーが発生したときにアラートがトリガーされます。これは、多くのユーザーに対して少数のパスワード セットを使用して水平方向に発生するか、少数のユーザーに大量のパスワードを使用して垂直方向に発生するか、またはこれら 2 つのオプションの組み合わせで発生する場合があります。 アラートがトリガーされるまでの最小期間は 1 週間です。

調査

  1. Excel スプレッドシートで完全な情報を表示するには、[詳細のダウンロード] を選択します。 次の情報を取得できます。
    • 攻撃されたアカウントの一覧
    • ログイン試行が正常な認証で終了した推測されたアカウントの一覧
    • NTLM を使用して認証試行が実行された場合は、関連するイベント アクティビティが表示されます
    • 認証試行が Kerberos を使用して実行された場合は、関連するネットワーク アクティビティが表示されます
  2. ソース コンピューターを選択して、その [プロファイル] ページに移動します。 試行の時間前後に何かが発生したかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。
  3. NTLM を使用して認証が実行され、アラートが何度も発生し、ソース マシンがアクセスしようとしたサーバーに関する十分な情報がない場合は、関係するドメイン コントローラーで NTLM 監査を有効にする必要があります。 これを行うには、イベント 8004 を有効にします。 これは、ソース コンピューター、ユーザー アカウント、および ソース コンピューターがアクセスしようとしたサーバーに関する情報を含む NTLM 認証イベントです。 認証検証を送信したサーバーが分かったら、4624 などのイベントを確認してサーバーを調査し、認証プロセスをより深く理解します。

修正

複雑で長いパスワードは、ブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

不審なサービスの作成

説明

攻撃者は、ネットワーク上で不審なサービスを実行しようとします。 ATA は、ドメイン コントローラーで不審と思われる新しいサービスが作成されたときにアラートを生成します。 このアラートはイベント 7045 に依存しており、ATA ゲートウェイまたは Lightweight Gateway によってカバーされる各ドメイン コントローラーから検出されます。

調査

  1. 問題のコンピューターが管理ワークステーションである場合、または IT チーム メンバーとサービス アカウントが管理タスクを実行するコンピューターである場合、これは擬陽性である可能性があり、必要に応じてアラートを抑制して除外リストに追加する必要があります。

  2. サービスは、このコンピューターで認識できるものですか?

    • 問題のアカウントは、このサービスのインストールを許可していますか?

    • 両方の質問に対する回答が「はい」の場合は、アラートを閉じるか、除外リストに追加します。

  3. いずれかの質問に対する回答が「いいえ」の場合、このアクティビティは真陽性と見なす必要があります。

修正

  • ドメイン マシンに対して低い権限のアクセスを実装して、特定のユーザーのみに新しいサービスを作成する権限を付与します。

異常な動作に基づくなりすましの疑い

説明

ATA は、3 週間のスライディング期間でユーザー、コンピューター、リソースのエンティティの動作を学習します。 動作モデルは、エンティティがログインしたマシン、エンティティがアクセスを要求したリソース、およびこれらの操作が行われた時間というアクティビティに基づいています。 ATA は、機械学習アルゴリズムに基づいてエンティティの動作から逸脱した場合にアラートを送信します。

調査

  1. 問題のユーザーは、これらの操作を実行しているはずですか?

  2. 休暇から戻ったユーザー、職務の一部として過剰なアクセスを実行する IT 担当者 (たとえば、特定の日または 1 週間のヘルプ デスク サポートの急増)、リモート デスクトップ アプリケーションのケースを潜在的な擬陽性と考えます。さらに、アラートを閉じて除外すると、ユーザーは検出対象ではなくなります

修正

この異常な動作が発生した原因に応じて、さまざまなアクションを実行する必要があります。 たとえば、ネットワークがスキャンされた場合、(承認されていない限り) ソース マシンをネットワークからブロックする必要があります。

不審なプロトコルの実装

説明

攻撃者は、標準以外の方法でさまざまなプロトコル (SMB、Kerberos、NTLM) を実装するツールを使用します。 この種のネットワーク トラフィックは Windows によって警告なしで受け入れられますが、ATA を使用すると悪意がある可能性を認識できます。 この動作は、Over-Pass-the-Hash などの手法や WannaCry などの高度なランサムウェアの悪用の兆候であることを示します。

調査

異常なプロトコルを特定する – 不審なアクティビティのタイムラインから、不審なアクティビティを選択して詳細ページにアクセスします。プロトコルは矢印の上に表示されます: Kerberos または NTLM。

  • Kerberos: 多くの場合、Mimikatz などのハッキング ツールが Overpass-the-Hash 攻撃を使用した可能性がある場合にトリガーされます。 ソース コンピューターが、Kerberos RFC に準拠していない独自の Kerberos スタックを実装するアプリケーションを実行しているかどうかを確認します。 その場合、それは無害な真陽性で、アラートを閉じることができます。 アラートが引き続きトリガーされ、引き続き発生する場合は、アラートを抑制できます。

  • NTLM: WannaCry または Metasploit、Medusa、Hydra などのツールが挙げられます。

アクティビティが WannaCry 攻撃であるかどうかを判断するには、次の手順を実行します。

  1. ソース コンピューターが Metasploit、 Medusa、Hydra などの攻撃ツールを実行しているかを確認します。

  2. 攻撃ツールが見つからない場合は、ソース コンピューターが独自の NTLM または SMB スタックを実装するアプリケーションを実行しているかどうかをチェックします。

  3. 実行していない場合で、WannaCry スキャナー スクリプトの実行による WannaCry が原因かどうかを確認します。たとえば、このスキャナーが、不審なアクティビティに関連するソース コンピューターに対するものであるなどを確認します。 スキャナーでコンピューターが感染または脆弱であると検出された場合は、コンピューターにパッチを適用し、マルウェアを削除してネットワークからブロックします。

  4. スクリプトでコンピューターが感染または脆弱であることが判明しなかった場合でも、感染している可能性がありますが、SMBv1 が無効になっているか、コンピューターにパッチが適用されている可能性があり、スキャン ツールに影響します。

修正

すべてのマシンに最新のパッチを適用し、すべてのセキュリティ更新プログラムが適用されているか確認します。

  1. SMBv1 を無効にする

  2. WannaCry の削除

  3. 一部のランサム ソフトウェアの制御に含まれるデータは、暗号化が解除されている場合があります。 暗号化の解除は、ユーザーがコンピュータを再起動したり、電源を切ったりしていない場合に可能です。 詳細については、「WannaCry ランサムウェア」を参照してください。

Note

不審なアクティビティ アラートを無効にするには、サポートにお問い合わせください。

関連項目