Microsoft 365 の新機能による侵害されたオンプレ AD アカウントのロックの実現

Microsoft 365 to let SecOps lock hacked Active Directory accounts

2021/07/06 BleepingComputer — Microsoft が、Defender for Identity のアップデートを行い、侵害されたユーザーのActive Directory アカウントをロックすることで、SecOps (security operations) チームによる攻撃のブロックが可能となる模様だ。Microsoft Defender for Identity (旧Azure ATP:Azure Advanced Threat Protection ) は、オンプレミスの Active Directory のシグナルを活用することで、登録されている組織を標的とした、高度な脅威や、漏洩したID、悪意のインサイダー活動などを検知/分析するクラウド・セキュリティ・サービスだ。

Defender for Identity に Native Response Actions という機能を追加することで、「SecOps が直接、Active Directory アカウントをロックすることや、パスワード・リセットが可能となったことで、侵害されたユーザに対して、より直接的なアクションを取ることができるようになる。これまでは、Microsoft Defender for Identity がユーザーの侵害が確認した場合に、コンディショナルアクセス機能によって、Azure Active Directory アカウントに対してのみ対応していた」 と Microsoft 365 ロードマップで明らかにされている。Defender for Identity のNative Response Actions 機能は現在開発中だが、今月末には世界中のテナントに対して、この機能を一般提供する予定である。Microsoft Defender for Identity は、Microsoft 365 E5 にバンドルされており、Security E5 のトライアルに参加すれば、この新機能がリリースされ次第、ただちに利用することが可能となる。

この記事では、関連するニュースとして、3月に Microsoft は Microsoft 365 Defender の顧客向けに、Threat Analytics と Microsoft 365 Insider Risk Management Analytics のパブリック・プレビューに入ったことも紹介しています。Threat Analytics は、Microsoft のセキュリティ研究者が提供する脅威インテリジェンスを活用することで、新たな脅威 (進行中の攻撃/深刻なセキュリティ欠陥/拡散しているマルウェア)を追跡/阻止することを目的としています。Microsoft 365 Insider Risk Management Analytics は、悪意のインサイダー活動の検出を目的として、毎日のログ監査を可能にします。また、1月に Microsoft Defender for Office 365 に Attack Simulation Training を追加し、SecOps チームが実際の攻撃をシミュレートし、危険な行動を正確かつ迅速に検知できるようにしたと、発表しています。

オンプレミスのADは、WindowsNTの時代から引きずったレガシーなアーキテクチャが満載です。現在の高度な攻撃に本気で対処するためには、抜本的な洗濯を考えてみる時期かと思います・・・

%d bloggers like this: