S&J、『Active Directory監視サービス』はOperation Blotless攻撃キャンペーンの検知が可能。独自開発エージェントによる調査レポート無償トライアル開始
JPCERTコーディネーションセンターからOperation Blotless攻撃キャンペーンに関する注意喚起が公表されました。
併せて、2024年7月8日(月)より、お客様のセキュリティ環境の安全性を独自開発エージェントにて調査・報告する調査レポート無償トライアルを開始することもお知らせします。
2024年6月25日(火)、JPCERTコーディネーションセンターからOperation Blotless攻撃キャンペーンに関する注意喚起が公表されました。
同センターでは、この攻撃キャンペーンのうち、脅威グループ「Volt Typhoon」による攻撃を例に、短期および中長期の対策を提示しています。
■Volt Typhoonの侵害検知は困難
「Volt Typhoon」は、政府機関や重要インフラ企業への侵入経路を確保することを目的としていると見られています。
Active Directoryの各種ログが少ない
初期侵入経路となった機器の各種ログが少ない
侵害箇所が限定的
このグループは、固有のマルウェアをほとんど使用せず、環境寄生型の戦術を徹底しているため、被害現場にはインジケーター・オブ・コンプロマイズ(IoC)となる情報をほとんど残しません。
また、一回あたりの侵害期間が短く、侵害範囲も限定的であるため、被害現場に残るアーティファクトの量が少ないことが特徴です。
これにより、IoC情報を作出する機会とその量が大きく減り、検知が非常に困難になります。
『Active Directory監視サービス』でOperation Blotless攻撃キャンペーンの検知が可能に
S&Jで蓄積されたインシデントレスポンスのノウハウを元に開発された本サービスは、上記の特徴を持つOperation Blotless攻撃キャンペーンを現バージョンでも検知することができます。
また、2024年7月8日(月)には本攻撃に特化した検知ロジックのリリースを予定しており、より安全かつ安定したビジネス環境の実現を支援いたします。
"Operation Blotless攻撃キャンペーン"が検知可能『Active Directory監視サービス』
▼https://www.sandj.co.jp/operation_blotless/
『Active Directory監視サービス』の特徴
S&Jが独自開発したエージェント(AD Agent)とクラウドでの独自ロジックの組み合わせにより、SIEMでは検知できない脅威を検出することができます。
S&Jがこれまでに対応してきたランサムウェアやAPT攻撃などのインシデントレスポンス(IR)の経験をノウハウとして検知ロジックを組み込んでいます。
AD特有の脅威(DCShadow、DCSync、Pass the Hash、Golden Ticket、BloodHoundなど)を検知することができます。
AD固有の重要なパッチ(Zerologon、SIGRed、PrintNightmareなど)の適用チェックを行います。
DC(Domain Controller)だけでなく、ファイルサーバーや仮想基盤などのWindows Serverを監視することで、より早く脅威を検知することが可能になります。
脅威を検知することで攻撃に対する対処をいち早く実施することができます。
24時間365日体制で監視を行います。
検知した情報のみを送信するため、SIEMよりも転送するログ量が格段に少なくなります。
不審な動作をしたアカウントは、リモートでアカウントの無効化を行います(別途オプション)。
過検知をAIエイジング機能で大幅に削減しています。
■AD Agent調査レポート無償トライアル
本トライアルでは、S&Jが独自開発したエージェント(AD Agent)の調査レポートを使用して対策の助言を無償で実施いただけます。
大量ログオン失敗やパッチの未適用、監査ログの出力設定やCPU使用率などを抽出し、お客様の環境に対して弊社コンサルタントがアドバイスをさせていただくことにより、より安全かつ安定したビジネス環境の実現を支援いたします。
2024年7月8日(月)~8月31日(土)
『Active Directory監視サービス』AD Agent調査レポート無償トライアル
▼https://www.sandj.co.jp/operation_blotless/
========================================
■S&J株式会社について( https://www.sandj.co.jp/ )
本社: 〒105-0003東京都港区西新橋2-4-12 西新橋PR-EX8階
設立日: 2008年11月7日
資本金: 4億4,162万円
上場取引所:東京証券取引所グロース市場(証券コード:5599)
代表者: 代表取締役 三輪 信雄(みわ のぶお)
事業内容:
サイバー攻撃対策システムの開発及び運用、サイバー攻撃監視やセキュリティ診断、コンサルティング、インシデント対応などのサービス提供。S&Jは、自社開発の運用システム「SOC Engine®」により、効率的・効果的なセキュリティ運用サービスを提供しています。
※本文中に記載されている会社名、製品名は、各社の登録商標または商標です。
========================================
■本件に関するお問い合わせについて
https://www.sandj.co.jp/contact/
S&J株式会社 広報担当
TEL: 03-6205-8500(代表)
MAIL:pr@sandj.co.jp
すべての画像