LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@echolimitless

最近の MTP: 深く掘り下げ、脅威からの保護ビジョンを実現している方法をご覧ください

Posted at

セッション説明

メモ

  • 防御する側はリストで防御します。攻撃者側はグラフを用いて攻撃する
    • 防御は境界を守る
    • 攻撃は通れるところを探す
  • 境界を超える攻撃
    • サイバーキルチェーン
      • 最近は進化してきて順番が変わってきている
      • パスワードスプレー(一撃で最終地点を攻める)
        • パスワードを奪取
        • ExchangeやOneDriveからデータ抽出
        • 組織内のフィッシングメール
        • Exchangeの転送ルール作成
        • 悪質なOAuthアプリ
        • クラウドからの悪用実行コード
        • サプライチェーン
    • クラウドベースの攻撃ツールが標準になりつつある
      • Ruler
        • By Sense Post
      • MailSniper
        • By Black Hills
      • O365-Attack-Toolkit
        • By KitPloit
    • 従来のMITRE ATT%CKフレームワークを超えて
      • 様々な攻撃方法が公開されている
        • Azure ADのハッキング方法
        • スフィアフィッシングの方法
  • クラウドを活用した国家犯罪
    • HOLMIUM exploitation with Ruler
    • 攻撃の流れ
      • パスワードスプレー(ADFS)
        • Azure ATP
      • 盗難した視覚情報を使用してO365へログイン
        • Rulerを使用してOutlookホームページを悪用
        • Outlookのある特定のページを見ると悪質なコードが実行されるように設定
        • Microsoft Cloud App Security
      • RulerによりOutlookがPowerShellコマンドを実行し、バックドアをメモリ上に展開
        • Microsoft Defender ATP
      • ネットワークの偵察
        • Microsoft Defender ATP
      • Mimikatzを使用してLSASSから資格情報をダンプ
        • Microsoft Defender ATP
      • Pass the Ticketドメインコントローラーへの悪用コードの実行
        • Azure ATP
      • ドメインコントローラーへアドミンアカウントを追加
        • Azure ATP
      • Exchange Onlineに侵入
        • Microsoft Cloud App Security
    • 課題
      • 複数ポータルから単一ポータル
      • アラートからインシデントへ
      • 境界防御から総合的な防御
      • 解決策
        • Microsoft Threat Protection
  • Microsoft Cloud App Securityの特徴
    • 特徴
      • それぞれのソリューションがBest Of Breedへ
      • 脅威シグナルの共有を含む製品
      • 攻撃を阻止するための様々なレイヤーの保護および自動調査&対処
      • セキュリティチームが単一のポータルを通じて攻撃を調査、追跡、または修正
    • 区分ごとの機能
      • ID
        • Azure AD
        • Azure ATP
        • Microsoft Cloud App Secure
      • エンドポイント
        • Microsoft Defender ATP
      • メール
        • Office 365 ATP
      • アプリ
        • Microsoft Cloud App Secure
    • Security.microsoft.com
      • プライベートプレビュー
      • Incidents queue
        • 検知された情報を組み合わせてそれが何のインシデントかを判断している
        • インシデントがどこまで進んでいるのか可視化できる
        • エビデンスも表示されている
        • 自動調査と対処
          • ヘクサダイト社:インシデント対応(自動調査と対処のAI開発会社)
          • このエンジンをDefender ATPに組み込み
            • ファイルレス攻撃に自動調査と対処が可能になった
          • 最近Office365ATPにも組み込んでいる
          • Entities analizedという手法で調査
        • 端末情報の取得
          • Highly confidential
            • AIPと連携、社外秘ファイルがその端末にあると表示される
          • Data sensitivity
            • どれだけ機密ファイルがあるか
        • Advanced hunting(ハンティング)
          • 端末から情報を収集して連携することが可能
          • クエリで抽出できる
      • Threat アナリティクス
        • テナントが攻撃されているか
  • Microsoft Threat Protectionの運用イメージ
    • Microsoft Threat Protectionの画面を見ることがベース
    • 2020年1月にリリース
    • 利用条件
      • M365 E5
    • 参考リンク
      • Aka.ms/mtp
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?