Help us understand the problem. What is going on with this article?

最近の MTP: 深く掘り下げ、脅威からの保護ビジョンを実現している方法をご覧ください

セッション説明

https://tokyo.myignitetour.techcommunity.microsoft.com/sessions/83684

メモ

  • 防御する側はリストで防御します。攻撃者側はグラフを用いて攻撃する
    • 防御は境界を守る
    • 攻撃は通れるところを探す
  • 境界を超える攻撃
    • サイバーキルチェーン
    • 最近は進化してきて順番が変わってきている
    • パスワードスプレー(一撃で最終地点を攻める)
      • パスワードを奪取
      • ExchangeやOneDriveからデータ抽出
      • 組織内のフィッシングメール
      • Exchangeの転送ルール作成
      • 悪質なOAuthアプリ
      • クラウドからの悪用実行コード
      • サプライチェーン
    • クラウドベースの攻撃ツールが標準になりつつある
    • Ruler
      • By Sense Post
    • MailSniper
      • By Black Hills
    • O365-Attack-Toolkit
      • By KitPloit
    • 従来のMITRE ATT%CKフレームワークを超えて
    • 様々な攻撃方法が公開されている
      • Azure ADのハッキング方法
      • スフィアフィッシングの方法
  • クラウドを活用した国家犯罪
    • HOLMIUM exploitation with Ruler
    • 攻撃の流れ
    • パスワードスプレー(ADFS)
      • Azure ATP
    • 盗難した視覚情報を使用してO365へログイン
      • Rulerを使用してOutlookホームページを悪用
      • Outlookのある特定のページを見ると悪質なコードが実行されるように設定
      • Microsoft Cloud App Security
    • RulerによりOutlookがPowerShellコマンドを実行し、バックドアをメモリ上に展開
      • Microsoft Defender ATP
    • ネットワークの偵察
      • Microsoft Defender ATP
    • Mimikatzを使用してLSASSから資格情報をダンプ
      • Microsoft Defender ATP
    • Pass the Ticketドメインコントローラーへの悪用コードの実行
      • Azure ATP
    • ドメインコントローラーへアドミンアカウントを追加
      • Azure ATP
    • Exchange Onlineに侵入
      • Microsoft Cloud App Security
    • 課題
    • 複数ポータルから単一ポータル
    • アラートからインシデントへ
    • 境界防御から総合的な防御
    • 解決策
      • Microsoft Threat Protection
  • Microsoft Cloud App Securityの特徴
    • 特徴
    • それぞれのソリューションがBest Of Breedへ
    • 脅威シグナルの共有を含む製品
    • 攻撃を阻止するための様々なレイヤーの保護および自動調査&対処
    • セキュリティチームが単一のポータルを通じて攻撃を調査、追跡、または修正
    • 区分ごとの機能
    • ID
      • Azure AD
      • Azure ATP
      • Microsoft Cloud App Secure
    • エンドポイント
      • Microsoft Defender ATP
    • メール
      • Office 365 ATP
    • アプリ
      • Microsoft Cloud App Secure
    • Security.microsoft.com
    • プライベートプレビュー
    • Incidents queue
      • 検知された情報を組み合わせてそれが何のインシデントかを判断している
      • インシデントがどこまで進んでいるのか可視化できる
      • エビデンスも表示されている
      • 自動調査と対処
      • ヘクサダイト社:インシデント対応(自動調査と対処のAI開発会社)
      • このエンジンをDefender ATPに組み込み
        • ファイルレス攻撃に自動調査と対処が可能になった
      • 最近Office365ATPにも組み込んでいる
      • Entities analizedという手法で調査
      • 端末情報の取得
      • Highly confidential
        • AIPと連携、社外秘ファイルがその端末にあると表示される
      • Data sensitivity
        • どれだけ機密ファイルがあるか
      • Advanced hunting(ハンティング)
      • 端末から情報を収集して連携することが可能
      • クエリで抽出できる
    • Threat アナリティクス
      • テナントが攻撃されているか
  • Microsoft Threat Protectionの運用イメージ
    • Microsoft Threat Protectionの画面を見ることがベース
    • 2020年1月にリリース
    • 利用条件
    • M365 E5
    • 参考リンク
    • Aka.ms/mtp
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした