Microsoft 365 Defender は、2022 MITRE Engenuity ATT&CK® 評価で業界をリードする保護を実証

news

Microsoft 365 Defenderは 4 年連続で、MITRE Engenuity の独立した ATT&CK® Enterprise Evaluations で業界をリードする保護を実証し、ゼロ トラストアプローチでデバイスと ID 保護を統合する統合 XDR ベースの防御の価値を示しました。

  • 攻撃チェーンのすべての段階に対する完全な可視性と分析
  • 100% 保護、初期段階ですべての段階をブロック
  • 各攻撃は、SOC に対して 1 つの包括的なインシデントを生成しました
  • ID 保護が統合された差別化された XDR 機能
  • すべての攻撃段階で Linux を保護
  • 深く統合された Windows デバイス センサー
  • プロダクト トゥルースと顧客中心のアプローチでリードする

Microsoft 365 Defender XDR ソリューションは、シミュレートされた攻撃ごとに 1 つの包括的なインシデントをセキュリティ オペレーション センター (SOC) に提示することに成功し、 トップクラスのカバレッジを示しました。各インシデントで提供されるこの包括的なビューは、攻撃チェーン全体にわたる敵対者の手法の比類のないカバレッジと相まって、疑わしいデバイスと ID アクティビティの詳細を示します。 Microsoft 365 Defender は、初期段階で両方の攻撃をブロックすることにより、100% の保護も実証しました。

Microsoft 365 Defender が結合された XDR スイートの機能を紹介するのは今年で 3 年目であり、デバイス、ID、およびクラウド アプリケーション全体のカバレッジを示しています。

攻撃チェーンのすべての段階で完全な可視性と分析を実証

Microsoft 365 Defender は、 Wizard SpiderSandwormのすべての攻撃段階で技術レベルの完全なカバレッジを示し、 人工知能主導の適応型保護を活用しました。

Wizard Spider と Sandworm の攻撃段階の概要を示す図。
図 1. 攻撃チェーン全体をカバーする Microsoft 365 Defender

人間が操作するランサムウェアから防御するには、デバイス、ユーザー、ネットワーク、および組織のリスクを継続的に評価し、これらのシグナルを活用して、攻撃チェーン全体で潜在的な脅威を警告する、徹底的な防御アプローチが必要です。検出と可視性を提供することで、防御側は身代金前の段階でネットワークから攻撃者を追い出すことができます。また、データ流出活動による暗号化や恐喝の影響を最小限に抑えます。

遅延のないリアルタイムでの技術レベルの検出カバレッジ

人間が操作するランサムウェア攻撃は数分以内に進化します。防御側が応答し、攻撃者が破壊的なアクション (デバイスの暗号化や恐喝のための情報の抽出など) を実行するのを防ぐのにかかる時間は非常に重要です。組織は、攻撃者がインフラストラクチャを横方向に移動し続ける機会を得る前に、攻撃者を迅速に排除できるようにするために、遅延のないリアルタイムの検出を必要としています。 Microsoft 365 Defender は、すべての攻撃段階で技術レベルのカバレッジをリアルタイムで提供し、検出の遅延はありませんでした。

Microsoft の技術レベルのカバレッジを他の競合他社と比較した棒グラフ。 Microsoft は 100% のカバレッジを提供しました。
図 2. Microsoft 365 Defender は、すべての攻撃段階で技術レベルのカバレッジを提供します

100% の保護範囲で、早い段階ですべての段階をブロック

Microsoft 365 Defender は優れたカバレッジを提供し、攻撃段階を 100% ブロックしました。これにより、Windows および Linux プラットフォーム全体で優れたカバレッジが提供されました。さらに、その次世代の保護機能は、無害なアクティビティやユーザーの同意の必要性をブロックすることによって生産性を妨げることなく進行しました.

Microsoft の保護範囲を他の競合他社と比較した棒グラフ。 Microsoft は、誤検知なしで 9 つのステージのうち 9 つをブロックしました。
図 3. すべての段階での Microsoft 365 Defender のブロック

現実のシナリオでは、ランサムウェアの活動を早期に、つまり、すべてのプラットフォームと資産で身代金を要求する前の段階でブロックすることが、顧客を保護し、ダウンストリームの恐喝と破壊攻撃の影響を軽減する上で非常に重要です。

各攻撃は、SOC に対して 1 つの包括的なインシデントを生成しました

複数のアラートと複数のインシデントを表示する他の多くのベンダーとは異なり、Microsoft 365 Defenderは、攻撃ごとに 1 つのインシデントのみを表示し、デバイスと ID 全体のすべてのイベントを各攻撃の 1 つの包括的なビューに結合します。

Microsoft 365 Defender の独自のインシデント相関テクノロジは、SOC アナリストがアラート疲れに対処する際に非常に役立ちます。これにより、脅威への対応の効率が大幅に向上し、手動での関連付けや個々のアラートの処理に費やす時間を節約できます。また、完全な攻撃グラフを表示することで、トリアージと調査をより簡単かつ迅速に行うことができます。

Wizard Spider のシミュレートされた攻撃を単一のインシデントとして検出する Microsoft 365 Defender のスクリーンショット。
図 4. シナリオ 1: Wizard Spider のシミュレートされた攻撃を表す 1 つのインシデントと、攻撃のスプロール化および影響を受けた資産の要約
Wizard Spider でシミュレートされた攻撃のインシデント グラフを表示している Microsoft 365 Defender のスクリーンショット。
図 5. シナリオ 1: 攻撃全体を一目で確認できるインシデント グラフ。デバイスと ID 資産、および観察されたすべての証拠が表示されます。
Sandworm のシミュレートされた攻撃を 1 つのインシデントとして検出する Microsoft 365 Defender のスクリーンショット。
図 6. シナリオ 2: Sandworm でシミュレートされた攻撃を表す 1 つのインシデント。攻撃のスプロール化と影響を受けた資産の要約。

統合された Microsoft Defender for Identity からの一意で永続的な検出

Microsoft 365 Defender の統合された ID 保護機能は、デバイスに実装されている特定の攻撃者の手法に関係なく、ID 関連の攻撃を発見して永続的にブロックするため、攻撃者が回避することは事実上不可能です。さらに、ID ファブリックにこれらの保護を構築することで、セキュリティ チームが効果的に調査して対応するための詳細でコンテキストが豊富なシグナルが提供されます。エンドポイントのみの信号を利用する他のベンダーは、回避の影響を受けやすく、通常、検出のコンテキストが少なくなります。

評価における Microsoft 365 Defender の独自の ID 保護機能を表す例を次に示します。

  • ステップ 5.A.4 – セキュリティ アカウント マネージャー (SAM) データベースへのクエリは、ユーザー列挙アクティビティに関する詳細なコンテキストを含む Active Directory シグナルを使用して発見されました。この ID ベースの検出アプローチは、攻撃者の回避を防ぎ、セキュリティ チームに豊富な調査コンテキストを提供します。テストに参加した他の一部のベンダーは、同様の可視性を得るためにプロセス作成テレメトリに依存していましたが、コンテキストがなく、簡単にバイパスできました。
疑わしいリモート SAM データベース クエリを検出する Microsoft 365 Defender のスクリーンショット。
図 7. Microsoft 365 Defender ID ワークロードによって検出されたユーザーを列挙するために照会された SAM データベース
  • ステップ 6.A.2 – ドメイン コントローラーでのリソース アクセス アクティビティも、公開されたサービス プリンシパル名 (SPN) と侵害された関連リソース名の詳細とともに、ID センサーを使用して明らかになりました。ここでも、このアプローチは同様の検出耐久性と調査詳細の利点を提供します。
Screenshot of Microsoft 365 Defender detecting a suspicious resource access activity.
図 8. ドメイン コントローラー上のリソース アクティビティと、関連する侵害されたリソースによる SPN 公開攻撃のタイムライン ビュー

すべての攻撃段階で Linux を保護

Microsoft 365 Defender は、すべてのプラットフォームで優れた保護範囲を示し続けており、Windows と Linux でトップレベルの範囲をカバーしています。技術レベルの分析、コンテキスト豊富なアラート、および詳細な調査シグナルを介して、Linux 関連のすべての段階をカバーしました。

顧客はデバイス全体のさまざまなエントリ ポイントからの脅威に直面しており、デバイスの検出と高価値の資産を特定するための水平移動は、人間が操作するランサムウェアのような高度な攻撃のテーブル ステークスです。したがって、組織を攻撃から保護するためには、すべてのプラットフォームで優れたカバレッジを確保することが重要です。

Linux における Microsoft の技術レベルのカバレッジを他の競合他社と比較した棒グラフ。 Microsoft は 100% のカバレッジを提供しました。
図 9. Microsoft 365 Defender は、すべての Linux 攻撃段階で技術レベルのカバレッジを提供します

たとえば、下の図 10 に示すように、Linux デバイス上の Microsoft Defender for Endpoint は、Web サーバー プロセスによって疑わしい動作について警告を受けました。機密性の高いファイルの読み取りをブロックし、それ以上のファイルの読み取りを防止するアラートが許可されました。その後、攻撃者はデバイスにバックドアをダウンロードして実行しようとしました。ただし、それは動作的にもブロックされたため、その後の侵害は防止されました。

Web サーバー プロセスによる疑わしい動作をブロックする Microsoft 365 Defender for Endpoint のスクリーンショット。
図 10. Linux デバイスで検出された Web サーバー プロセスによって読み取られた機密ファイル

Windows のディープ ネイティブ センサーによる一意で耐久性のある検出

デバイスに対するほとんどの攻撃ステップは、プロセスとスクリプトのアクティビティを調べることで観察できますが、この種のテレメトリのみに依存することは、いくつかの側面で困難になる可能性があります。

検出の耐久性の観点から、攻撃者は難読化するか別の方法に変更することで簡単に検出を回避できます。さらに、検出品質の観点から、「表面レベル」のテレメトリのみに依存すると、セキュリティ チームの誤検知とオーバーヘッドが増える可能性があります。最後に、このタイプのテレメトリには、効果的な調査と対応を可能にするために必要なコンテキストが欠けています。

他のソリューションとは異なり、Microsoft 365 Defender の独自のプラットフォーム ネイティブのディープ デバイス センサーは、シグナルの深さを導入し、セキュリティ チームが識別、調査、および対応するための耐久性のあるコンテキスト豊富なシグナルを提供します。評価中に見られたいくつかの例を次に示します。

  • ステップ 1.A.6 と 19.A.11 は、強化された Windows Management Instrumentation (WMI) センサーによって発見され、プロセスやスクリプト実行のテレメトリに依存することなく、回避する攻撃者の活動を可視化します。
Screenshot of Microsoft 365 Defender detecting process creation via WMI.
図 11. 呼び出し方法に関係なく、WMI センサーを使用してネイティブに検出された WMI によるプロセス作成
WMI 経由でシステムのシャットダウンを検出する Microsoft 365 Defender のスクリーンショット。
図 12. 呼び出し方法に関係なく、WMI センサーを使用してネイティブに検出された WMI によるシステム シャットダウン
  • ステップ 3.A.4 は、COM センサーを介して発見されました。これにより、Microsoft Outlook COM インターフェイスが可視化され、攻撃者が COM インターフェイスを直接使用して簡単に回避できるプロセス コマンド ラインに依存することなく、攻撃者が Outlook で保護されていないパスワードを検索したことが検出されました。
Screenshot of Microsoft 365 Defender detecting a suspicious Outlook COM call.
図 13. 当社独自の COM インターフェイス センサー統合を使用した、攻撃者による Outlook でのパスワード検索の検出
  • ステップ 17.A.2 は、Data Protection API (DPAPI) センサーによって発見され、資格情報へのアクセス (非常に重要なアクティビティ) が可視化されました。他のソリューションは、実際の環境で誤検知を非常に起こしやすいファイル アクセスの Web ブラウザー フォルダーを監視します。
Microsoft 365 Defender Advanced Hunting ページのスクリーンショット。
図 14. DPAPI センサー統合による認証情報アクセスの可視化

最後の言葉: 製品の真実と顧客中心のアプローチでリードする

これまでと同様に、この評価におけるマイクロソフトの哲学は、お客様に共感すること、つまり「現実の世界でお客様のために機能する保護」アプローチでした。私たちは、お客様が使用することを期待する製品の機能と構成で評価に参加しました。

評価結果を確認するときは、保護の深さと耐久性、信号の完全性と実用的な洞察、デバイス パフォーマンスへの影響や誤検知率などの品質面など、追加の重要な側面を考慮する必要があります。これらはすべて、ソリューションの信頼性の高い運用にとって重要であり、実際の顧客の実稼働環境で機能する保護に直接変換されます。

今年の評価に貢献し、参加する機会を与えてくれた MITRE Engenuity に感謝します。

参照: https://www.microsoft.com/en-us/security/blog/2022/04/05/microsoft-365-defender-demonstrates-industry-leading-protection-in-the-2022-mitre-engenuity-攻撃評価/

Comments

タイトルとURLをコピーしました