SpecterOps BloodHound Enterprise
攻撃パスを最小化し、あらゆる角度からActive DirectoryおよびAzureを保護します。攻撃パスの管理は、攻撃からActive Directory(AD)およびMicrosoft 365環境を守るための非常に重要な要素です。Microsoftによる報告で、2021年だけで企業アカウントに対する攻撃試行が250億回以上あったことを考慮すると、攻撃パスの保護は不可欠です。SpecterOps BloodHound Enterpriseは、攻撃パスのチョークポイントの優先順位付けと定量化によってこのプロセスを大幅に簡素化し、最も露出度が高くリスクの高いパスを特定して排除するために必要な情報を提供します。
02:44
従来の方法では攻撃パスの管理は困難でした。なぜでしょうか? これは、多くの場合、セキュリティ担当者がリスト形式で数千件もの一般的な設定の問題をチェックすることに慣れてきたからです。これに対し、攻撃者はグラフで考えます。グラフで考えることで、攻撃者は有効な攻撃パスを見つけられるようになります。SpecterOps BloodHound Enterpriseは、お客様がADとAzureのすべての攻撃パスをグラフィカルにマッピングし、攻撃者が利用できる最も重要な手段を簡単に特定し、優先順位付けし、排除できるようにすることで攻撃のリスクを大幅に削減します。
主なメリット
攻撃パスの継続的なマッピング
ADおよびAzureのすべての関係と接続を可視化し、新しい攻撃パスや既存の攻撃パスを簡単に特定できるようにします。
チョークポイントの優先順位付け
攻撃パス内の任意のポイントの影響を測定し、最大数のパスをブロックするための最適な場所を特定します。
重要な資産の保護
すべての重要なTier Zero資産を識別し、On Demand Auditとの統合により、資産が侵害されたことを示す疑わしいアクティビティの発生を自動的に監視します。
実践的な修復ガイダンス
わかりやすい手順の実践的な修復ガイダンスを提供します。ADを大幅に変更する必要はありません。
包括的な修復分析
On Demand Auditの詳細なユーザ活動履歴を活用し、パスへのアクセスを削除する前に攻撃パスのエッジを調査することで、修復による予期しない結果の発生を確実に防ぎます。
ADセキュリティ体制の測定
ADおよびAzureの継続的なベースラインを確立し、攻撃パスの除去によるリスクの削減を監視および測定します。
Azure ADのこれまでにない可視性
AzureはIDとアクセスの管理にさまざまな技術を使用していますが、ADと同じタイプのID攻撃パスに対しては脆弱です。
機能
重要な資産のトップダウンビュー
SpecterOps BloodHound
Enterpriseは、サイバー攻撃者に支配権を握られるとゲームオーバーとなるADおよびAzure(Azure ADおよびAzure
Resource
Manager)の重要な資産のスーパーセットを示すことで攻撃パスの管理を強力にサポートします。その後、このビューから下に向かうすべての攻撃パスをマッピングします。防御側が攻撃パスを保護するためには、可能なすべてのパスを把握する必要があります。SpecterOps
BloodHound
Enterpriseは、ハイブリッド環境全体のあらゆる関係を特定し、攻撃者がプリンシパルのセットを悪用してこれらの重要な資産にアクセスする方法を明確にします。
露出チョークポイントの特定と定量化
ただし、重要な資産とパスのマッピングは攻撃パス管理の一部に過ぎません。SpecterOps
BloodHound Enterpriseは、チョークポイントを定量化することでこれを一歩先へ進めます。例えば、この定量化により、Active
Directoryのすべてのユーザとコンピュータの92 %が、この1つのドメインコントローラーに適用されたこの1つのACLを通じて、ドメインを侵害する能力を持っていることが分かります。また、これに関わるリスクの他、攻撃パスの修復やダウンストリームの設定ミスの軽減に対応するために必要となる固有の権限や特権についても極めて具体的に示します。
セキュリティ体制に対する影響の定量化
SpecterOps BloodHound
Enterpriseはすべてのリスクを測定するため、組織がハイブリッドAD環境で抱えている総合的なリスクを確認できます。ただし、チョークポイントを排除することで攻撃パスの管理を向上させると、これらの変更が総合的なセキュリティ体制に与える影響を確認できるようになります。例えば、攻撃パスを保護することで攻撃への露出を大幅に改善できます。多くの企業では、最初はこのリスクが70~100 %となっています。目標は、組織のリスクを20 %未満に抑えることであり、このためにSpecterOps
BloodHound Enterpriseが役立ちます。
包括的なリスク評価と脅威からの保護
SpecterOps BloodHound
EnterpriseとOn Demand AuditおよびChange Auditorを統合することで、包括的なリスク評価および脅威監視ソリューションが確立されます。この組み合わせにより、Tier
Zero資産すべてを特定し、その資産への全攻撃経路を計算して、攻撃経路での疑わしいアクティビティの発生を監視します。不正なドメインレプリケーション、ADデータベースのオフライン抽出、およびGPOリンクなどの脅威を早期に検出できます。特権グループやグループポリシーなど、機密性の高いオブジェクトへの変更をブロックし、特権昇格の試みを防ぐこともできます。また、出費を強制されるランサムウェア攻撃を軽減および回避することも可能です。
GPOの保護による攻撃パスの軽減
SpecterOps BloodHound
EnterpriseをGPOADminと組み合わせて使用すると、GPOの保護により攻撃パスの管理を向上させることができます。これらのソリューションにより、Active
Directoryグループポリシー管理の重要なステップである展開の前に、変更内容が変更管理のベストプラクティスに準拠していることを確認できます。さらに、自動アテステーションによりGPOを継続的に検証できます。これはサードパーティのグループポリシー管理ソリューションに欠かせません。さらに、GPOの変更によって望ましくない影響がある場合には動作中のGPOにすばやく戻すことができるため、数秒のうちに環境を円滑に再稼働させることができます。
リスクからの保護と修復の備え
真のリスクからの保護と修復の備えのために、SpecterOps
BloodHound EnterpriseをRecovery
Manager for Active Directory Disaster Recovery EditionまたはOn
Demand Recoveryと組み合わせることができます。この製品の組み合わせにより、ハイブリッドActive
Directoryのバックアップと、ミス、破損、または災害から迅速に回復するための包括的な機能が提供されます。さらに、ADのオンライン状態とバックアップとを比較したり、複数のバックアップを比較したりすることによって、前回のバックアップ以降に行われた変更をハイライトできます。また、ADのあらゆるオブジェクト(ユーザ、属性、組織単位(OU)、コンピュータ、サブネット、サイト、構成、グループポリシーオブジェクト(GPO)など)を復元できます。
ツアー
攻撃パスの継続的なマッピング
重要なADおよびAzure資産に対するあらゆる攻撃パスを、複雑な関係や接続とともに可視化します。
技術仕様
SpecterOps BloodHound EnterpriseにはSharpHound Enterpriseオンプレミスエージェントのインストールが必要です。これは、お客様の環境に関するデータを収集し、処理と分析のためにBloodHound Enterpriseインスタンスにアップロードする、お客様の展開における重要な要素です。通常、SharpHound Enterpriseはドメインに結合されたドメインごとに1つのWindowsシステム上に展開され、ドメイン・ユーザ・アカウントとして実行されます。
AzureHound Enterpriseサービスは、お客様のAzure環境に関するデータを収集し、処理と分析のためにBloodHound Enterpriseインスタンスにアップロードします。通常、AzureHound Enterpriseは、Azureテナントごとに1つのWindowsシステム上に展開され、SharpHound Enterpriseサービスアカウントと同じシステム上で実行されます。
システム:
- Windows Server 2012+
- 16 GBのRAM
- 100 GBのハードディスク容量
- .NET 4.5.2+
- 443/TCPのTLSからテナントURL(アカウントチームが提供)
- 443/TCPのTLSからAzureテナント(該当する場合)
SharpHound(オンプレミスActive Directoryコレクション)
- ローカル管理者グループに追加されたサービスアカウント
AzureHound(Azureコレクション)
- Azure ADテナントのディレクトリ閲覧者
- すべてのAzureサブスクリプションの閲覧者
- Microsoft GraphのDirectory.Read.All
Active Directoryの列挙は、BloodHound Enterpriseに必要な最も基本的な情報を表します。さらに、SharpHound Enterpriseは、理想的な可視化のためにドメインに結合されたすべてのMicrosoftシステムのローカルグループおよびセッションを列挙します。
コレクションタイプ
サービスアカウントの権限
サービス・ネットワーク・アクセス
Active Directory
削除されたオブジェクトの読み取り権限を持つドメイン・ユーザ・アカウント。
389/TCPのLDAPから少なくとも1つのドメインコントローラー
ローカルグループおよびユーザセッション(特権)
ワークステーションおよびサーバ上のローカル管理者
445/TCPのSMBからドメインに結合されたすべてのシステム
Azure
Azure ADテナントのディレクトリ閲覧者、すべてのAzureサブスクリプションの閲覧者、Microsoft GraphのAppRoleAssignment.ReadWrite.AllおよびRoleManagement.Read.All
443/TCPのTLSからテナント
リソース
攻撃パス管理で、Active Directoryの セキュリティをレベルアップしましょう。
パッチ適用、脆弱性管理、および検出と対応だけではもはや十分とは言えません。攻撃パス管理を追加して、必要とされる AD のセキュリティとサイバーレジリエンスを今すぐ手に入れましょう。
Active Directory Security Risk Assessment and Attack Path Management
A better approach to AD security
A practical approach to cyber resiliency
Learn how attack path management enables you to efficiently secure the critical assets in your hybrid Active Directory
Government agency enhances cybersecurity
State Department of Transportation identifies and shuts down attack paths in its complex Active Directory
The Microsoft 365 kill chain and attack path management
Explore the Microsoft 365 kill chain and see how attack path management and monitoring can protect your organization.
How Insecure GPOs Create Real Attack Paths in AD
Editing permissions on a GPO gives cyber attackers the keys to the castle.
On Demand Audit Hybrid Suite for Office 365 Japanese
オンプレミスまたはクラウドサービスでの変更を、単一のホステッドダッシュボードで検索および調査します。
Level up your Active Directory security with attack path management
Learn why attack path management is crucial to Active Directory security — and discover the only solution available today that ...
ブログ
すべてのブログを見るRetirement and succession planning for Active Directory admins
Learn what the succession plan for future Active Directory admins should look like ahead of the retirement boom of more experienced admins.
Jason Morano
What you need to know about man-in-the-middle (MitM) attacks
Learn what man-in-the-middle attacks are, the most common attack techniques and key strategies for increasing your defenses against them.
Michael Van Horenbeeck
Understanding attack paths targeting Active Directory
Learn about attack paths, including the most common ones targeting Active Directory, and discover measures to protect your organization.
Bryan Patton
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
Jason Morano
The importance of Tier 0 and what it means for Active Directory
There are a few things that can be done to increase your organization’s security posture. Learn how tier 0 assets like Active Directory come into pla...
Michael Van Horenbeeck
8 ways to secure your Active Directory environment
Secure your Active Directory against potential risks with these 8 best practices and ensure robust security measures for your system.
Bryan Patton