攻撃インジケーター
Tenable Identity Exposure 攻撃インジケーター (IoA) は、高度なエクスプロイト手法により Active Directory (AD) インフラが侵害されようとしているときに、所属組織がそれを検出し、速やかに措置を講じるのに役立ちます。これには、以下が含まれます。
-
上位 3 つのインシデント: IoA の統一された表示では、AD に影響を与えた上位 3 つのインシデントがリアルタイムのタイムラインで示され、それに加え、攻撃の分布もすべて 1 つのインターフェース内で表示されます。
-
IoA に関する詳細: Tenable Identity Exposure 内の IoA パネルには、AD 内で発生した攻撃に関する情報が表示されます。
-
IoA に関連するインシデント: IoA インシデントのリストは、AD を標的とする特定の攻撃に関する包括的な詳細情報を提供します。この情報により、IoA の深刻度レベルに応じて適切に対応できます。
攻撃インジケーター機能には、調査能力を向上させるために設計されたさまざまな機能が付いています。
-
検索・フィルタリング可能: タイムラインを利用して IoA を簡単に探索できます。また、フォレスト、ドメイン、重大度レベルに基づいてフィルターを適用すれば、効率的に的を絞った結果が得られます。
-
エクスポート機能: IoA データを PDF、CSV、または PPTX 形式でエクスポートすることができます。
-
グラフのタイプを変更: グラフのタイプを変更できるオプションがあります。これにより、攻撃深刻度の分布や上位 3 つの攻撃を、それぞれの発生回数とともに表示できます。
-
IoA インシデントへのアクション: インシデントを選択して、クローズしたり再オープンしたりできます。
Tenable Identity Exposure は、攻撃を検出し、以下の深刻度レベルを割り当てます。
レベル | 説明 |
---|---|
重大 — 赤 | 前提条件としてドメインの支配が必要な、実証済みの悪用後の攻撃を検出しました。 |
高 — オレンジ | 攻撃者がドメインの支配を可能にする重大な攻撃を検出しました。 |
中 — 黄 | IoA は、危険な権限昇格や、機密性の高いリソースへのアクセスの許可につながる可能性のある攻撃と関連しています。 |
低 — 青 | 偵察行為や影響度の低いインシデントに関連する疑わしい動作についてアラートします。 |
固有のセキュリティリスクや懸念事項に応じて、重大かつ影響の大きい IoA を識別します。
誤検出や本当の攻撃の見落としのリスクを軽減するには、それぞれの環境に応じて IoA を調整することが重要です。以下の設定を行います。
-
しきい値の調整: IoA の感度を調整して誤検出を減らし、意味のある実用的なアラートになるようにします。
-
アカウントとアクティビティのホワイトリスト登録: 正当なアクティビティを IoA のトリガーから除外することで、アラートの精度が向上し、調査の効率が上がります。
-
IoA の関連付け: さまざまな IoA 間の関係を分析して、より広範な攻撃パターンを特定します。
-
IoA がアクティブになったら、ナビゲーションペインの [攻撃インジケーター] を選択するか、ホームページの右上にあるベルのアイコンをクリックします。
-
各インジケーターにはインシデントに関する詳細情報が表示され、確認後に適切なアクションを取ることができます。
-
攻撃が発生した時間
-
攻撃の説明
-
攻撃元
-
攻撃先
-
MITRE ATT&CK® 情報
-
YARA 検出ルール
-
追加のリソース
-
-
この例で示されているように [詳細] を選択すると、[ローカル管理者の列挙] に焦点を当てた [説明] にアクセスします。
-
[説明] タブには、Active Directory (AD) に対する特定の攻撃に関する情報が表示されます。
-
[YARA 検出ルール] タブには、Tenable Identity Exposure がネットワークレベルの Active Directory 攻撃を検出するために使用している YARA ルールに関する情報が表示されます。これにより、Tenable Identity Exposure の全体的な検出機能が強化されます。
-
Active Directory 管理者または関連するステークホルダーと協力して、インシデントを調査して解決し、クローズするか再オープンするかを決定し、再発防止策を実装します。
-
認知されたまたは承認された攻撃である場合、それに応じて IoA をカスタマイズして、それ以降のインスタンスでこの IoA がフラグを立てないようにすることもできます。
関連項目
-
Indicators of Attack
-
Customize an Indicator