40分でわかるMSセキュリティアップデート_ID-based Securityイニシアティブ第3回全体ミーティング
?
0 likes?1,008 views
?Microsoft Secure Score ?Attack Simulator ?Windows Defender ATP+条件付きアクセス ?Microsoft Security Graph API
40分でわかるMSセキュリティアップデート_ID-based Securityイニシアティブ第3回全体ミーティング
- 1. ? 2017 Microsoft Corporation. All rights 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 クラウドソリューションアーキテクト 青木祐二 40分でわかる Microsoft セキュリティの最新情報
- 4. Office 365, EMS, Windows 10 をサポート Office 365 と Windows 10 のスコアを サマリ表示 Azure Active Directory および Intune の コントロールをサポート 59 のコントロールを サポート
- 6. 66 Office 365 ATP サンドボックス環境 で添付ファイルを実 行し不正な動きをす るか確認 Cyber Kill Chain に基づく多層型防御のアプローチ (Protect?Detect?Response) 偵察 メールの 受信 添付ファイルを開く URL をクリック 攻略行為 マルウェアや悪意の あるコードの実行 攻撃者の サーバーへ接続 持続性 権限の昇格 侵入拡大?ID侵害 リソースへの アクセス内部偵察 偵察 Reconnaissance 攻撃 Exploitation 配送 Delivery 遠隔操作 Command & Control Azure ATP Golden Ticket や 特権アカウントの不正な 新規作成などの検知 Office 365 ATP 不正なリンクへの誘導を防御 Windows Defender Exploit Guard Attack Surface Reduction Azure ATP MS14-068 や MS11-013 の 悪用などの検知 Azure ATP ディレクトリサービスへの 列挙攻撃などの検知 Azure ATP Pass the Hash, Pass the Ticket などの検知 Windows Defender Application Guard セキュアブラウザにより不正サイトを 介した攻撃を防御 Detect Protect Respond Windows Defender Exploit Guard Network Protection Windows Defender Antivirus 既知のマルウェア検知、 Cloud Protection による 未知のマルウェアの検知 インストール Install Windows Defender Exploit Guard Controlled Folder Access Windows Defender Exploit Guard Attack Surface Reduction Windows Defender ATP RLO 攻撃を検知 Windows Defender ATP プロセスホロウィングなど 正規のプロセスからの攻撃を検知 Windows Defender ATP バックドアなどの異常行動を検知 目的達成 Objectives 侵入拡大 Lateral Movement Windows Defender Credential Guard Pass The Hash, Pass the Ticket からの防御 Azure AD Identity Protection ID侵害を検知自動ブロック Azure Information Protection 情報の自動暗号化から丈 夫尾漏洩時の トラッキングを可能 Threat Intelligence Office 365 に届いたメールを削 除可能 Microsoft Cloud App Security クラウドアプリの ガバナンス強化、 シャドーIT検知
- 7. ? 特定のユーザ?グループをターゲット ? フィッシングメールの作成 ? 送信元:特定のメールアドレスを使用可能 *user@domainname.extensionの形式 ? 件名 ? 内容 ? フィッシングメールの送信 ? リンクをクリックするとフィッシングサイトへ フィッシング攻撃 パスワードスプレイ攻撃 ブルートフォース攻撃 ? 特定のユーザまたはグループをターゲット ? 単一のパスワードをターゲットユーザまたはグ ループに行う ? 特定のユーザをターゲット ? パスワードリストを基にをターゲットユーザにブ ルートフォース攻撃を行う Sample: http://portal.docdeliveryapp.com/Login/Phis hed https://protection.office.com/#/attacksimulator Fall2017 Password1 qwerty …. Password1
- 9. ? 対応している攻撃シミュレーション ? スピアフィッシング 特定の被害者にメールを用いて悪意のある添付ファイルを開かせたり、悪意のあるURLへ誘導させて 意図的にアカウントや機密情報を不正入手しようとする攻撃 ? ブルートフォース 特定のアカウントに対し、パスワードを次々設定してアカウントのログインを試みる攻撃。 辞書の単語を用いた辞書攻撃やアトランダムに文字列を設定する総当たり攻撃がある ? パスワードスプレー攻撃 1つのパスワードに対し、複数のアカウントを次々設定してアカウントのログインを試みる攻撃。 ブルートフォースと比較した場合、同一アカウントに複数のログイン試行を実施しないため アカウントのロックアウトが発生せず、不正検知が露見しにくい
- 10. Office 365 攻撃シミュレーター セットアップ 10 【機能の設定方法】 攻撃シミュレーターを 実行するためには、 セットアップが必要 →【今すぐセットアップを 行う】を選択
- 11. Office 365 攻撃シミュレーター セットアップ 11 【機能の設定方法】 セットアップ完了 直後の画面 ※MFA(多要素認証)の 設定はAppendixを参照 ※セットアップ完了後まで数時間必要
- 12. Office 365 攻撃シミュレーターの設定 12 【機能の設定方法】 Office 365 管理者画面 →セキュリティ/コンプライアンス →【脅威の管理】 →【攻撃シミュレーター】
- 14. スピアフィッシングの設定 14 【機能の設定方法】 →【名前】に任意の名前を入力し、【Use Template】を選択 ※メール本文を自身で作成したい場合は、 【Use Template】をクリックせずに 【次へ】をクリックしてください
- 24. スピアフィッシングの設定 24 【メールの確認】 ここではスフィアフィッシングの訓練を実施したサイトとしてメッセージが表示 「カスタム ランディング ページの URL 」を設定した場合、そのURLが表示
- 25. ブルート フォース パスワード の設定 25 【機能の設定方法】 →【ブルート フォース パスワード】【攻撃の開始】を選択
- 26. ブルート フォース パスワード の設定 26 【機能の設定方法】 →【名前】に任意の文字列を入力し、【次へ】を選択
- 27. ブルート フォース パスワード の設定 27 【機能の設定方法】 →対象となるIDを選択し、【次へ】を選択
- 28. ブルート フォース パスワード の設定 28 【機能の設定方法】 →パスワードを手入力する場合、【攻撃で使用するパ スワード】を手入力して、Enterを入力 複数のパスワードを入力したい場合はこれを繰り返す
- 29. ブルート フォース パスワード の設定 29 【機能の設定方法】 →【アップロード】からテキストファイルのパスワー ドリストをアップロードして、パスワードをまとめて 登録することも可能(リストは最大4,500行まで)
- 30. ブルート フォース パスワード の設定 30 【機能の設定方法】 →【次へ】を選択
- 31. ブルート フォース パスワード の設定 31 【機能の設定方法】 →【完了】でパスワード攻撃を開始
- 32. ブルート フォース パスワード の設定 32 【機能の設定方法】 攻撃の進捗状況が表示。攻撃が終了するまでしばらく時間がかかる。
- 33. ブルート フォース パスワード の設定 33 【機能の設定方法】 →【レポートの表示】攻撃完了後、結果を確認
- 34. ブルート フォース パスワード の設定 34 【機能の確認方法】 攻撃シミュレーターの結果と問題のあるユーザが レポート上に表示
- 35. ブルート フォース パスワード の設定 35 【機能の確認方法】 →過去の攻撃を確認するには【攻撃の詳細】を選択
- 36. ブルート フォース パスワード の設定 36 【機能の確認方法】 画面上部は、攻撃手法の説明が記載
- 37. ブルート フォース パスワード の設定 37 【機能の確認方法】 画面下部では、過去の攻撃シミュレーションを 確認 →【>】を選択することで、各回の 詳細レポートを確認
- 45. ブルート フォース パスワード の設定 45 【機能の確認方法】 攻撃シミュレーターの結果と問題のあるユーザが レポート上に表示
- 49. 49 HIGH MEDIUM LOW NONE クラウドアプリ 社内アプリ アクセス不可 脅威レベル アクセス可 HIGH MEDIUM LOW NONE Hexadite AIRS による 自動調査及び対処 Windows Defender ATP の脅威リスク レベルを基にアプリへのアクセスを制御 自動対応化により瞬時に対処が行われ、 アクセス可能に 脅威リスクレベルの指標 1. アクティブなアラート 2. Security Analytics の結果 3. 自動対応化の結果 ユーザ 脅威レベル
- 50. Microsoft Azure
- 51. Windows Defender AdvancedThreat Protectionrules Require the device to be at or under the machine risk score: Set up a connection to Windows Defender Advanced Threat Protection
- 62. Jon Smith Laptop
- 63. Jon Smith Laptop
- 65. Alerts Security Profiles Host | User | File | App | IP Actions Configurations Insights and relationships OAuth 2.0 and OpenID Connect 1.0 Azure AD Identity Protection IntuneWindows Defender ATP Office 365 ATP Cloud Application Security Azure ATP Azure Security Center Azure Information Protection Ecosystem Partners Other Microsoft Graph Services Office 365 | Intune | Active Directory | More… Users Groups Mail Files Calendar
- 68. https://aka.ms/graphsecurityapi Code Get started with C# samples https://aka.ms/graphsecurityaspnet Get started with Python samples https://aka.ms/graphsecuritypython Explore in Microsoft Graph https://developer.microsoft.com/en-us/graph/graph-explorer Join the Discussion Join the Tech Community https://aka.ms/graphsecuritycommunity Follow the discussion on Stack Overflow https://aka.ms/graphsecuritystackoverflow Learn Read the documentation https://aka.ms/graphsecuritydocs Stream alerts to your SIEM https://aka.ms/graphsecuritySIEM
- 69. 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対 していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。 本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。 すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、 どのような形式または手段(電子的、機械的、複写、レコーディング、その他)、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。 Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される 場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。 ? 2016 Microsoft Corporation. All rights reserved. Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。