{{Microsoft Defender HVA保護で重要攻撃をブロック}}

{{## Introduction High-value asset（HVA）であるdomain controller、IDシステム、業務上重要なserverは、現代の攻撃において依然として主要な標的です。Microsoftの最新ガイダンスでは、Microsoft Defenderがasset-aware protectionを追加することで、セキュリティチームが最も重要なシステム上の危険なアクティビティをより的確に検知できるようになることが示されています。

Microsoft Defender HVA protectionの新機能

Microsoftは、Microsoft Security Exposure Managementのコンテキストを活用して、Defenderが重要インフラの保護をどのように強化するかを説明しました。すべてのendpointを同じように扱うのではなく、Defenderは各assetの役割と重要度に基づいて検知と防御を調整します。

主な機能は次のとおりです。

• Automatic HVA identification：オンプレミス、hybrid、cloud環境全体でHVAを自動識別
• Asset classification and exposure graphing：device、identity、cloud resource、外部attack surfaceを分類して可視化
• Role-aware anomaly detection：重要システムの通常動作を学習して異常を検知
• Tier-0 asset向けに調整されたendpoint protection：小さなシグナルでも重大な侵害を示す可能性がある環境に対応
• Automatic attack disruption：脅威が拡散する前に進行中の攻撃を封じ込め

実際の攻撃シナリオ

Microsoftは、インターネット公開serverから始まり、環境内を横展開し、最終的にdomain controllerに到達した実際の攻撃チェーンを共有しました。攻撃者はrelay手法と特権アクセスを利用し、ntdsutil.exeでNTDS.DIT Active Directoryデータベースの抽出を試みました。

標準的なserverであれば、観測された一部の操作は管理作業に見えるかもしれません。しかし、Defenderは対象がdomain controllerであることを認識していたため、その挙動を高リスクとして扱いました。Microsoftによると、Defenderはこのコマンドをブロックし、侵害されたDomain Adminアカウントの無効化を含む自動攻撃中断をトリガーしました。

IT部門とセキュリティチームにとって重要な理由

今回の更新は、実践的なセキュリティ原則を改めて示しています。すべてのassetを同じ方法で保護すべきではありません。domain controller、certificate authority、Exchange、SharePoint、IDインフラは、侵害された場合の影響がはるかに大きくなります。

管理者にとっての利点は、シグナル品質の向上です。Defenderはassetの業務上・セキュリティ上の役割に基づいてalertと防御判断の優先順位を付けられるため、重要システムにおけるfalse negativeの低減に役立ちます。

推奨される次のステップ

セキュリティチームは、自社の最重要assetがMicrosoft DefenderとSecurity Exposure Managementによって適切に識別され、保護対象になっているかを確認する必要があります。

推奨アクション：

• domain controllerとIDシステムが重要assetとしてタグ付け、または認識されていることを確認する
• Tier-0インフラのattack pathとexposure dataを確認する
• 重要server上で実行される管理ツールやscriptを調査する
• サポートされている環境でautomatic attack disruption機能が有効になっていることを確認する
• 初期侵入ポイントになり得るインターネット公開serverの監視を再評価する

Microsoft Defenderを利用する組織は、攻撃者が引き続き運用上の影響が最も大きいシステムを標的にしていることを踏まえ、HVA-aware protectionをIDおよびインフラ防御戦略の中核として位置付けるべきです.}}