最新のリリースでは、Azure ADでのアカウント乗っ取りを阻止するために、Azure AD Privilege Operation Anomalyと呼ぶ新しい検知機能を搭載しました。このAIアルゴリズムは、攻撃者がAzure ADテナント内を移動して永続性を得たり、リーチを拡大したり、検知を回避するためのアクションを取ったりするタイミングを特定するために特別に設計されました。
最近、多要素認証(MFA)を迂回して正規のユーザーアカウントに侵入する攻撃者が増加しています。攻撃者はそのスキルを駆使し、Azure ADを標的として、顧客関係管理(CRM)からクラウドデータストレージ、Office 365の全機能に至るまで、ミッションクリティカルなSaaSアプリケーションにアクセスしています。いったんアカウントが侵害されると、攻撃者は環境内で行動し、データを盗んで身代金を要求します。そして、攻撃は信頼されたアカウントを活用するため、クラウドクセス・セキュリティ・ブローカー(CASB)ソフトウェアによれば、これらの行動はすべて完全にコンプライアンスに準拠しているように見える。
このことは、Azure ADとOffice 365における高度な検知とレスポンス が非常に重要である理由を示している。攻撃開始と同時にチームにアラートを発し、攻撃者の行動を完全に把握することで、攻撃者が目的に到達する前に阻止することができる。
新しいVectra Cognito Azure AD Privilege Anomalyは、アカウント乗っ取りイベントを検知する際の抜本的な前進です。最も重要なことは、アカウントが侵害され、攻撃者にアクセス権を与えるためにその特権を悪用し始めたときに検知できることです。このアラートは、ユーザー権限の昇格、アプリケーション権限の変更、テナントのアクセス制御の変更など、攻撃者が実行するAzure ADアクションの全範囲をカバーします。
単純な署名やルールを超えてAIを適用することで、この包括的なカバレッジを実現しました。Vectra 、アカウントが日々Azure AD内で使用する最小レベルの権限を正確に受動的に学習します。この "観察された権限"は、Azure ADで指示されているものよりも、アカウントの運用権限をより正確に表現します。
Vectra 。この「観察された特権」レンズを適用することで、Azure ADで実行されたすべてのアクションを監査し、アカウントが侵害され、特権が乱用されたときを特定します。
Vectra は、Microsoft Office 365 環境や、Azure AD を使用する連携 SaaS アプリケーションで動作する攻撃者を特定し、阻止することができます。私たちは、攻撃者がサイロで活動しないことを知っています。そのため、Vectra は、エンタープライズ、ハイブリッド、データセンター、IaaS、SaaS にまたがる攻撃者の行動の兆候を追跡します。
Vectra 、お気軽にお問い合わせください!