Microsoft Advanced Threat Analytics

重要なことに集中するのに役立つ、簡単

で速いセキュリティ ソリューション

変化するサイバーセキュリティ攻撃の性質

IT 部門とデータセンターのものだったサイバーセキュリティの話題は、今や経営上層部が論じるようになりまし

た。攻撃者や脅威は格段に巧妙になり、攻撃の頻度や重大度も増しています。攻撃者は、その存在が検知される

平均 8 か月も前から、ネットワークに侵入しています。ほとんどの攻撃でユーザー資格情報が侵害されており、

攻撃者はマルウェアよりもむしろ合法的な IT ツールをますます使用するようになっています。

企業の現状は、こうした侵害を受けることが前提となっています。攻撃者が損害をもたらす前に、攻撃者を発見するに

はどうすれば良いでしょうか。

統計が突きつける、厳しい現実: 危険にさらされる企業

Microsoft Advanced Threat Analytics

従来の IT セキュリティ ツールによる保護は、ユーザー資格情報を盗

むといった巧妙なサイバーセキュリティ攻撃に対しては、限定的な効

果しか持ち得ません。初期設定、ルールの作成、微調整などに手間が

かかり、そうした作業に数年を費やす場合もあります。誤検出で一杯

になったレポートを、毎日何通も受け取らなければなりません。ほと

んどの場合、これらの情報を確認するためのリソースはありません。

あったとしても、答えを得られない場合があります。なぜなら、従来

のツールは、境界を保護すること (攻撃者がアクセスできないように

すること) を主眼として設計されているからです。現在の複雑なサイ

バーセキュリティ攻撃には、異なるアプローチが必要です。

Microsoft Advanced Threat Analytics (ATA) は、組み込みのインテ

リジェンスによって疑わしいユーザーおよびデバイス アクティビ

ティを識別し、シンプルな攻撃タイムラインに明確で関連性の高い

脅威情報を表示することにより、ネットワーク内で何が起きている

かをすばやく簡単に理解できるようにします。

Microsoft Advanced Threat Analytics では、詳細なパケット検査テクノ

ロジと、追加のデータ ソース (セキュリティ情報イベント管理と

Active Directory) から得られた情報を利用して、組織のセキュリティ

グラフが作成され、ほぼリアルタイムで高度な攻撃が検出されます。

Microsoft Advanced Threat Analytics とは

ATA は、エンティティ (ユーザー、デバイス、およびリソース) の正常な行動と異常な行動を自動的に分析、学習、識別

することで、高度な標的型攻撃から企業を保護するオンプレミス プラットフォームです。

悪意のある攻撃

ATA は、悪意のある既知の攻撃

を、発生とほぼ同時に検出するこ

とができます。

Pass-the-Ticket (PtT)

Pass-the-Hash (PtH)

Overpass-the-Hash

偽造 PAC (MS14-068)

ゴールデン チケット

スケルトン キー マルウェア

偵察

ブルート フォース

リモート実行

異常な行動

Machine Learning を活用した

行動分析により、疑わしいア

クティビティや異常な行動を

発見します。

異常なログイン

未知の脅威

パスワードの共有

感染行動

セキュリティの問題および

リスク

ATA は、世界トップクラスの

セキュリティ リサーチの成果

に基づいて、既知のセキュリ

ティの問題を識別します。

信頼関係の消失

脆弱なプロトコル

既知のプロトコルの脆弱性

メリット

行動分析により、疑わしいアクティビティや悪意のある攻撃を検出

Microsoft Advanced Threat Analytics は、24 時間休みなく動作し、独自のアルゴリズムにより、探すべきものをプロファイリングし把握す

ることで、システムでの疑わしいアクティビティを正確に特定できるようにユーザーを支援します。必要なインテリジェンスが既に組み込

まれているため、ルールの作成や微調整、大量のセキュリティ レポートの監視は必要ありません。ATA は、既知の高度な攻撃とセキュリ

ティの問題も識別します。

変化するサイバーセキュリティ脅威の性質に順応

ATA は、組織のエンティティ (ユーザー、デバイス、およびリソース) の行動を継続的に学習し、それに合わせて自らを調整し、急速に進化

していく企業の環境に変更を反映させます。攻撃者の戦術がより巧妙になる中で、ATA は、行動分析を常に調べて、変化するサイバーセ

キュリティ脅威の性質に順応できるようにユーザーを支援します。

シンプルな攻撃タイムラインで、重要な情報に集中

従来のセキュリティ ツールのように、絶え間なく生成されるレポートに目を通し、関連する重要なアラートを特定しようとするのは、あま

りにも手間のかかる作業です。攻撃タイムラインは、わかりやすく効率的で便利なフィードを提供します。タイムラインを一目見るだけ

で、誰が、何を、いつ、どのようにといった必要な情報を確認することができます。ATA では、それぞれの疑わしいアクティビティについ

て、推奨される調査方法や修復方法も示されます。

辟易する誤検出を低減

従来の IT セキュリティ ツールでは、多くの場合、増え続けるデータを処理する機能が備わっていないため、不要な警告フラグも多く、本

当の脅威から注意をそらされていました。ATA では、疑わしいアクティビティをコンテキストと一緒に集計していき、そのエンティティ自

体の行動だけでなく、インタラクション パスに含まれる他のエンティティの行動とも照らし合わせ、それに基づいてアラートが送信されま

す。検出エンジンに自動的に表示される指示に従ってプロセスを実行できます。簡単な質問に答えるだけで、入力した内容に沿って検出プ

ロセスが調整されます。

主な特長

行動分析

ATA は、企業の既知の変更と承認済みの変更に合わせて自動

的に調整を行いながら、エンティティの行動を学習し、理解

していきます。たとえば、あるユーザーが特定の一連のサー

バー、フォルダー、およびディレクトリにアクセスしている

場合、システムはそのユーザーがいつも使用するツールおよ

びリソースからユーザーのアクティビティを学習します。

シンプルで実用的な攻撃タイムライン

ATA の攻撃タイムラインには、疑わしいアクティビティが発

生と同時にリストされ、特定のアクティビティ アラートに基

づいて推奨事項が一緒に示されるため、対処を行いやすく、

セキュリティ対策を強化することができます。

モバイル サポート

ATA は、会社のリソースが存在する場所 (会社のネットワーク

境界内、モバイル デバイス上、またはその他の場所) に関係な

く、認証および承認を監視することができます。このため、

デバイスやベンダーなどの外部資産も内部資産と同様に厳重

に監視されます。

組織のセキュリティ グラフ

ATA は、ユーザー、デバイス、およびリソースのコンテキス

トとアクティビティを表すエンティティの相互作用の見取り

図である、組織のセキュリティ グラフを作成します。

SIEM 統合

攻撃タイムラインに情報がコンテキストと一緒に集計され

ると、ATA を SIEM とシームレスに連動させることがで

きます。SIEM から転送される特定のイベントを ATA で

収集できます。また、疑わしいアクティビティごとに、イ

ベントを攻撃タイムライン上のそのイベントまでのリンク

と一緒に SIEM に送信するよう、ATA を構成できます。

メール アラート

疑わしいアクティビティが検出されたときに、組織内の特

定のユーザーまたはグループにメールを送信するように

ATA を構成できます。攻撃タイムラインを見ていなくて

も、適切なユーザーが組織のセキュリティの問題について

遅れずについていけるように、メールには ATA 攻撃タイ

ムライン上の該当する攻撃までのリンクが含まれます。

シームレスな展開

ATA は、物理または仮想アプライアンスとして機能しま

す。ポート ミラーリングを使用して、既存のネットワー

ク トポロジに影響を与えることなく、Active Directory と

並行してシームレスに展開できます。展開後、すぐに分析

が自動的に開始されます。

エージェントをドメイン コントローラー、サーバー、また

はコンピューターにインストールする必要はありません。

詳しくは www.microsoft.com/ata をご覧ください。

Microsoft Advanced Threat Analytics を試して評価したい場合は、www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics をご覧ください。

© 2016 Microsoft Corporation. All rights reserved. このドキュメントは現状有姿で提供され、このドキュメントに記載されている情報や見解 (URL 等のインターネット

Web サイトに関する情報を含む) は、将来予告なしに変更されることがあります。お客様は、その使用に関するリスクを負うものとします。このドキュメントは、

Microsoft 製品の知的財産に関する法的な権利をお客様に許諾するものではありません。内部的な参照目的に限り、このドキュメントを複製して使用することができ

ます。内部的な参照目的に限り、このドキュメントを変更することができます。

http://www.microsoft.com/atahttp://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analyticshttp://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics