SpecterOps BloodHound Enterprise
攻撃パスを最小化し、あらゆる角度からActive DirectoryおよびAzureを保護します。攻撃パスの管理は、攻撃からActive Directory(AD)およびMicrosoft 365環境を守るための非常に重要な要素です。Microsoftによる報告で、2021年だけで企業アカウントに対する攻撃試行が250億回以上あったことを考慮すると、攻撃パスの保護は不可欠です。SpecterOps BloodHound Enterpriseは、攻撃パスのチョークポイントの優先順位付けと定量化によってこのプロセスを大幅に簡素化し、最も露出度が高くリスクの高いパスを特定して排除するために必要な情報を提供します。
従来の方法では攻撃パスの管理は困難でした。なぜでしょうか? これは、多くの場合、セキュリティ担当者がリスト形式で数千件もの一般的な設定の問題をチェックすることに慣れてきたからです。これに対し、攻撃者はグラフで考えます。グラフで考えることで、攻撃者は有効な攻撃パスを見つけられるようになります。SpecterOps BloodHound Enterpriseは、お客様がADとAzureのすべての攻撃パスをグラフィカルにマッピングし、攻撃者が利用できる最も重要な手段を簡単に特定し、優先順位付けし、排除できるようにすることで攻撃のリスクを大幅に削減します。
主なメリット
攻撃パスの継続的なマッピング
チョークポイントの優先順位付け
重要な資産の保護
実践的な修復ガイダンス
包括的な修復分析
ADセキュリティ体制の測定
Azure ADのこれまでにない可視性
機能
重要な資産のトップダウンビュー
SpecterOps BloodHound
Enterpriseは、サイバー攻撃者に支配権を握られるとゲームオーバーとなるADおよびAzure(Azure ADおよびAzure
Resource
Manager)の重要な資産のスーパーセットを示すことで攻撃パスの管理を強力にサポートします。その後、このビューから下に向かうすべての攻撃パスをマッピングします。防御側が攻撃パスを保護するためには、可能なすべてのパスを把握する必要があります。SpecterOps
BloodHound
Enterpriseは、ハイブリッド環境全体のあらゆる関係を特定し、攻撃者がプリンシパルのセットを悪用してこれらの重要な資産にアクセスする方法を明確にします。
露出チョークポイントの特定と定量化
ただし、重要な資産とパスのマッピングは攻撃パス管理の一部に過ぎません。SpecterOps
BloodHound Enterpriseは、チョークポイントを定量化することでこれを一歩先へ進めます。例えば、この定量化により、Active
Directoryのすべてのユーザとコンピュータの92 %が、この1つのドメインコントローラーに適用されたこの1つのACLを通じて、ドメインを侵害する能力を持っていることが分かります。また、これに関わるリスクの他、攻撃パスの修復やダウンストリームの設定ミスの軽減に対応するために必要となる固有の権限や特権についても極めて具体的に示します。
セキュリティ体制に対する影響の定量化
SpecterOps BloodHound
Enterpriseはすべてのリスクを測定するため、組織がハイブリッドAD環境で抱えている総合的なリスクを確認できます。ただし、チョークポイントを排除することで攻撃パスの管理を向上させると、これらの変更が総合的なセキュリティ体制に与える影響を確認できるようになります。例えば、攻撃パスを保護することで攻撃への露出を大幅に改善できます。多くの企業では、最初はこのリスクが70~100 %となっています。目標は、組織のリスクを20 %未満に抑えることであり、このためにSpecterOps
BloodHound Enterpriseが役立ちます。
包括的なリスク評価と脅威からの保護
SpecterOps BloodHound
EnterpriseとOn Demand AuditおよびChange Auditorを統合することで、包括的なリスク評価および脅威監視ソリューションが確立されます。この組み合わせにより、Tier
Zero資産すべてを特定し、その資産への全攻撃経路を計算して、攻撃経路での疑わしいアクティビティの発生を監視します。不正なドメインレプリケーション、ADデータベースのオフライン抽出、およびGPOリンクなどの脅威を早期に検出できます。特権グループやグループポリシーなど、機密性の高いオブジェクトへの変更をブロックし、特権昇格の試みを防ぐこともできます。また、出費を強制されるランサムウェア攻撃を軽減および回避することも可能です。
GPOの保護による攻撃パスの軽減
SpecterOps BloodHound
EnterpriseをGPOADminと組み合わせて使用すると、GPOの保護により攻撃パスの管理を向上させることができます。これらのソリューションにより、Active
Directoryグループポリシー管理の重要なステップである展開の前に、変更内容が変更管理のベストプラクティスに準拠していることを確認できます。さらに、自動アテステーションによりGPOを継続的に検証できます。これはサードパーティのグループポリシー管理ソリューションに欠かせません。さらに、GPOの変更によって望ましくない影響がある場合には動作中のGPOにすばやく戻すことができるため、数秒のうちに環境を円滑に再稼働させることができます。
リスクからの保護と修復の備え
真のリスクからの保護と修復の備えのために、SpecterOps
BloodHound EnterpriseをRecovery
Manager for Active Directory Disaster Recovery EditionまたはOn
Demand Recoveryと組み合わせることができます。この製品の組み合わせにより、ハイブリッドActive
Directoryのバックアップと、ミス、破損、または災害から迅速に回復するための包括的な機能が提供されます。さらに、ADのオンライン状態とバックアップとを比較したり、複数のバックアップを比較したりすることによって、前回のバックアップ以降に行われた変更をハイライトできます。また、ADのあらゆるオブジェクト(ユーザ、属性、組織単位(OU)、コンピュータ、サブネット、サイト、構成、グループポリシーオブジェクト(GPO)など)を復元できます。
技術仕様
SpecterOps BloodHound EnterpriseにはSharpHound Enterpriseオンプレミスエージェントのインストールが必要です。これは、お客様の環境に関するデータを収集し、処理と分析のためにBloodHound Enterpriseインスタンスにアップロードする、お客様の展開における重要な要素です。通常、SharpHound Enterpriseはドメインに結合されたドメインごとに1つのWindowsシステム上に展開され、ドメイン・ユーザ・アカウントとして実行されます。
AzureHound Enterpriseサービスは、お客様のAzure環境に関するデータを収集し、処理と分析のためにBloodHound Enterpriseインスタンスにアップロードします。通常、AzureHound Enterpriseは、Azureテナントごとに1つのWindowsシステム上に展開され、SharpHound Enterpriseサービスアカウントと同じシステム上で実行されます。
システム:
- Windows Server 2012+
- 16 GBのRAM
- 100 GBのハードディスク容量
- .NET 4.5.2+
- 443/TCPのTLSからテナントURL(アカウントチームが提供)
- 443/TCPのTLSからAzureテナント(該当する場合)
SharpHound(オンプレミスActive Directoryコレクション)
- ローカル管理者グループに追加されたサービスアカウント
AzureHound(Azureコレクション)
- Azure ADテナントのディレクトリ閲覧者
- すべてのAzureサブスクリプションの閲覧者
- Microsoft GraphのDirectory.Read.All
Active Directoryの列挙は、BloodHound Enterpriseに必要な最も基本的な情報を表します。さらに、SharpHound Enterpriseは、理想的な可視化のためにドメインに結合されたすべてのMicrosoftシステムのローカルグループおよびセッションを列挙します。
コレクションタイプ
サービスアカウントの権限
サービス・ネットワーク・アクセス
Active Directory
削除されたオブジェクトの読み取り権限を持つドメイン・ユーザ・アカウント。
389/TCPのLDAPから少なくとも1つのドメインコントローラー
ローカルグループおよびユーザセッション(特権)
ワークステーションおよびサーバ上のローカル管理者
445/TCPのSMBからドメインに結合されたすべてのシステム
Azure
Azure ADテナントのディレクトリ閲覧者、すべてのAzureサブスクリプションの閲覧者、Microsoft GraphのAppRoleAssignment.ReadWrite.AllおよびRoleManagement.Read.All
443/TCPのTLSからテナント