緊急対応窓口お問い合わせ
CLOSE
SERVICE
SOC

Active Directory
監視サービス(自社開発製品)

数多くのランサムウェア攻撃を早期発見
システム中枢を守る独自開発 AD監視サービス

セキュリティ事故対応の経験を基に開発されたActive Directory監視サービスは、SIEMやEDRでは検知できないランサムウェアの兆候を迅速に検知し、被害を未然に防ぐことができます。
セキュリティ事故対応の経験を持つS&Jが独自に開発した『S&J AD Agent®』(以下AD Agent)で、サーバー内部情報とActive Directoryのイベントログを繋ぎ合わせた判断ができるため、より正確な検知が可能です。

Active Directory監視サービス概略

Active Directory監視サービスでは、独自開発製品の「AD Agent」をサーバーにインストールすることにより、サーバー内部情報とActive Directory(以下AD)のイベントログを繋ぎ合わせ正確な情報だけを取り出すため、SIEM監視よりデータも軽くより正確な兆候をより早く掴むことができます。

攻撃者はシステムの中枢であるActive Directoryから攻撃

ユーザーや管理者が便利に思うActive Directoryの機能は攻撃者にとっても便利で都合がよい

Active Directoryはユーザーや管理者にとって認証・認可を行う認証基盤として便利なシステムであると同時に、ランサムウェア攻撃者にとっても都合の良いシステムです。一度乗っ取ってしまえばその企業の管理情報、ユーザーのアカウント変更権限などを使用し横断的な攻撃が可能になります。

ランサムウェア被害のリスクを減らすにはActive Directoryの監視は必須

ランサムウェア被害による事業活動への影響

日本の主要な海運拠点が停止

物理サーバーおよび全仮想サーバーがランサムウエアに感染したことによりシステム障害が発生。2日半に渡って港内すべてのコンテナターミナルが作業停止し物流運営に支障。

電子カルテが暗号化されて2カ月もの間通常の診察ができず

外来診療は原則、初診患者の受け入れを止めて予約の再診患者に限定。救急患者の受け入れは中止、急を要するもの以外の手術は延期。小児患者の受け入れも一時中断。

日本国内の全工場・ラインの稼働を停止

社員のパスポート情報や競合他社のホワイドボードの写真データなどがランサムウェアのリークサイトで公開されていた。

早期復旧が困難と判断して決算報告を延期

データセンターの分散設置と各拠点単位でのシステム障害発生を想定した準備を行っていたが、BCPとして想定されていた事態を大きく上回る状況となり決算報告を延期。

重要システムのActive Directoryに対する攻撃を検知する有効な手段をS&Jが開発

独自開発の『AD Agent』をインストールすることでイベントログだけでは検出できない脅威を検知します。

  • S&Jが独自開発したエージェント(AD Agent)とクラウドでの独自ロジックの組み合わせにより、SIEMでは検知できない脅威を検出することができます。
  • S&Jがこれまでに対応してきたランサムウェアやAPT攻撃などのインシデントレスポンス(IR)の経験をノウハウとして検知ロジックを組み込んでいます。
  • AD特有の脅威(DCShadow、DCSync、Pass the Hash、Golden Ticket、BloodHoundなど)を検知することができます。
  • AD固有の重要なパッチ(Zerologon、SIGRed、PrintNightmareなど)の適用チェックを行います。
  • DC(Domain Controller)だけでなく、ファイルサーバーや仮想基盤などのWindows Serverを監視することで、より早く脅威を検知することが可能になります。
  • 脅威を検知することで攻撃に対する対処をいち早く実施することができます。
  • 24時間365日体制で監視を行います。
  • 検知した情報のみを送信するため、SIEMよりも転送するログ量が格段に少なくなります。
  • 不審な動作をしたアカウントは、リモートでアカウントの無効化を行います (別途オプション)。
  • 過検知をAIエイジング機能で大幅に削減しています。

Active Directory監視サービスで検出される脅威例

対象脅威 ADサーバー ファイルサーバー 備考
パスワードスプレイ攻撃
BloodHound 別途おとりアカウント追加設定が必要
アカウントロック
不審なPowerShell実行 PowerShell5.0以上が必要
不審なタスク登録 別途ログ出力設定が必要
RDPログオン/ログオフ
PSEXECが実行された
不審なコマンドの実行 別途ログ出力設定が必要
不審な管理共有 別途ログ出力設定が必要
Pass The Hash
Golden Ticketの利用 別途ログ出力設定が必要
DCShadow 別途ログ出力設定が必要
DCSync 別途ログ出力設定が必要
Skeleton Key 別途ログ出力設定が必要
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃 別途ログ出力設定が必要
Zerologon
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用 一部のパッチ適用状況のみ確認
PrintNightmare攻撃 別途ログ出力設定が必要
PetitPotam攻撃
アンチウイルスソフトの停止 別途ログ出力設定が必要
Brute Force攻撃 別途ログ出力設定が必要
対象脅威 ADサーバー ファイルサーバー
パスワードスプレイ攻撃
BloodHound
アカウントロック
不審なPowerShell実行
不審なタスク登録
RDPログオン/ログオフ
PSEXECが実行された
不審なコマンドの実行
不審な管理共有
Pass The Hash
Golden Ticketの利用
DCShadow
DCSync
Skeleton Key
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃
Zerologon
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用
PrintNightmare攻撃
PetitPotam攻撃
アンチウイルスソフトの停止
Brute Force攻撃
対象脅威 備考
パスワードスプレイ攻撃
BloodHound 別途おとりアカウント追加設定が必要
アカウントロック
不審なPowerShell実行 PowerShell5.0以上が必要
不審なタスク登録 別途ログ出力設定が必要
RDPログオン/ログオフ
PSEXECが実行された
不審なコマンドの実行 別途ログ出力設定が必要
不審な管理共有 別途ログ出力設定が必要
Pass The Hash
Golden Ticketの利用 別途ログ出力設定が必要
DCShadow 別途ログ出力設定が必要
DCSync 別途ログ出力設定が必要
Skeleton Key 別途ログ出力設定が必要
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃 別途ログ出力設定が必要
Zerologon
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用 一部のパッチ適用状況のみ確認
PrintNightmare攻撃 別途ログ出力設定が必要
PetitPotam攻撃
アンチウイルスソフトの停止 別途ログ出力設定が必要
Brute Force攻撃 別途ログ出力設定が必要

S&J ADTRオプション(有償)

S&J ADTRオプションをご利用いただくと、AD侵害が検知された場合は自動で対応し、侵害の疑いのある場合は弊社アナリストが調査と必要な対応を遠隔で実施します。

  • AD侵害の疑いがある場合、弊社アナリストが遠隔で調査を実施
    侵害有無の判別と、侵害が明白な場合アカウント・グループポリシーの無効化を遠隔で実施
  • ADに対する攻撃の成功を検知した場合、即時に対応
    被害を最小限で押さえることが可能

導入事例

Active Directory監視サービスは、生活家電、小売、介護サービス、流通、運輸などのサービスで30社以上に導入いただいています。

本サービスへのお問い合わせ

本サービスへの
お問い合わせはこちら