攻撃インジケーター

Tenable Identity Exposure の攻撃インジケーター (IoA) は、組織が最も高度な攻撃手法によって Active Directory (AD) インフラが侵害されそうになった際に、迅速に検知して対応できるよう支援します。対象には以下が含まれます。

  • 上位 3 件のインシデント: IoA の統合された表示では、AD に影響を与えた上位 3 件のインシデントがリアルタイムのタイムラインで示され、攻撃の分布もすべて 1 つのインターフェース内で表示されます。

  • IoA の詳細: Tenable Identity Exposure 内の IoA パネルには、AD 内で発生した攻撃に関する情報が表示されます。

  • IoA に関連するインシデント: IoA インシデントのリストは、AD を標的とする特定の攻撃に関する包括的な詳細情報を表示します。この情報により、IoA の深刻度レベルに応じて適切に対応できます。

攻撃インジケーターには、調査能力を高めるために設計されたさまざまな機能が備わっています。

  • 検索とフィルタリングが可能: タイムラインを利用して IoA を簡単に探索できます。また、フォレスト、ドメイン、重大度レベルに基づいてフィルターを適用することで効率的に絞り込まれた結果を取得できます。

  • エクスポート機能: IoA データを PDF、CSV、PPTX 形式でエクスポートすることができます。

  • グラフタイプの変更: グラフタイプを変更できるオプションがあります。これにより、攻撃深刻度の分布または上位 3 つの攻撃を、それぞれの発生回数とともに表示できます。

  • IoA インシデントに対するアクション: インシデントを選択して、クローズしたり再オープンしたりできます。

深刻度レベル

Tenable Identity Exposure は、攻撃を検出し、以下の深刻度レベルを割り当てます。

レベル 説明
重大 — 赤 前提条件としてドメインの支配が必要な、実証済みの悪用後の攻撃を検出しました。
— オレンジ 攻撃者がドメインの支配を可能にする重大な攻撃を検出しました。
— 黄 IoA は、危険な権限昇格や、機密性の高いリソースへのアクセスの許可につながる可能性のある攻撃と関連しています。
— 青 偵察活動や影響度の低いインシデントに関連する疑わしい動作について警告しています。

修正の優先順位付け

お客様固有のセキュリティリスクや懸念事項に応じて、重大かつ影響の大きい IoA を特定します。

誤検出のリスクや実際の攻撃の見落としリスクを軽減するには、お客様の環境に合わせて IoA を調整することが重要です。これには、以下を行うことが含まれます。

  • しきい値を調整する: IoA の感度を調整して誤検出を減らし、アラートが意味のある実用的なものになるようにします。

  • アカウントとアクティビティをホワイトリストに登録する: 正当なアクティビティが IoA をトリガーしないように除外することで、アラートの精度と調査の効率を高めます。

  • IoA を相関付ける: さまざまな IoA 間の関係を分析して、より広範な攻撃パターンを特定します。

ヒント: オプションと推奨値の詳細については、Tenable Identity Exposure 攻撃インジケーターリファレンスガイド (https://jp.tenable.com/downloads/identity-exposure から入手可能) を参照してください。これらのオプションと値をセキュリティプロファイル内の各 IoA に適用します。

ユースケース

  1. IoA がアクティブになったら、ナビゲーションペインの [攻撃インジケーター] を選択するか、ホームページの右上にあるベルアイコンをクリックします。

  2. 各インジケーターにはインシデントに関する詳細情報が表示され、確認後に適切なアクションを取ることができます。

    • 攻撃が発生した日時

    • 攻撃の説明

    • 攻撃起点

    • 攻撃のターゲット

    • MITRE ATT&CK® 情報

    • YARA 検出ルール

    • ほかのリソース

  1. この例では、ローカル管理者の列挙に焦点を当てていますが、説明にアクセスするには、[詳細] を選択します。

  2. [説明] タブには、Active Directory (AD) に対する特定の攻撃に関する情報が表示されます。

  3. [YARA 検出ルール] タブには、Tenable Identity Exposure がネットワークレベルの Active Directory 攻撃を検出するために使用する YARA ルールに関する情報が表示されます。これにより、Tenable Identity Exposure の全体的な検出機能が強化されます。

  4. Active Directory 管理者または関連するステークホルダーと協力して、インシデントを調査して解決し、インシデントのクローズや再オープンを判断するとともに、再発防止策を実施します。

  5. 認知または承認された攻撃である場合、それに応じて IoA をカスタマイズして、それ以降のインスタンスでこの IoA がフラグを立てないようにすることもできます。

関連項目