概要

Microsoftは、Defenderプラットフォームを大幅にアップグレードし、ドメインコントローラーやウェブサーバーなどの高価値資産（HVA）を標的とする高度なサイバー攻撃を自動的に検出し、ブロックする機能を追加しました。このアップデートにより、Microsoft Security Exposure Managementツールを使用して、通常の管理タスクと悪意のある活動を区別することが可能になりました。

背景

サイバー攻撃がますます標的型になりつつある中で、ハッカーは企業ビジネスを円滑に動かすコアシステムに焦点を当てています。Microsoftセキュリティ研究者は、人間操作型の攻撃キャンペーンの78％以上がドメインコントローラーなどの重要な資産を侵害し、ネットワークアクセス権限を昇格させることが成功していると発見しました。

新しい機能

コンテキスト認識アセット分類：

• Microsoft Defenderは、Microsoft Security Exposure Managementによって強化された重要な資産フレームワークを導入し、企業のデバイスとクラウドリソースの包括的なインベントリーを作成します。
• 各システムには、その特定の役割に基づいて事前に定義された重要性レベルがタグ付けされます。

これらの機能により、防御者は重要なネットワーク侵害時に最も大きなダメージを受ける可能性のある環境に厳格なセキュリティルールを適用することができます。

リアルタイムのインテリジェンスとモニタリング

アップグレードされた保護システム：

• クラウドからのリアルタイム情報を利用して、各重要な資産の通常の運用基準を継続的に監視し、学習します。
• Tier-0システムで既存のパターンから逸脱した異常な行動が観察された場合、孤立した弱い信号が高信頼度のセキュリティ警告に昇格します。

この知能的なアプローチにより、エンドポイント保護プラットフォームは、脅威がネットワーク全体に拡散する前に優先的にブロックすることができます。

ドメインコントローラーの保護

ドメインコントローラー：

• 攻撃者がActive Directoryデータベースを盗むために、ドメインコントローラーは主要な標的となっています。
• Microsoftは最近の実世界のシナリオで、攻撃者がスケジュールされたタスクを使用してNTDSデータベースを抽出しようとした例を詳細に説明しました。しかし、Defenderがサーバーの重要な役割と攻撃パス全体の文脈を認識し、即座にデータベースの抽出をブロックし、侵害された管理者アカウントを自動的に無効化したため、この試みは失敗しました。

インターネット情報サービス（IIS）ウェブシェルの阻止

IIS Webshells：

• ExchangeやSharePointサーバーなどのインターネットに接続されたシステムは、高度な脅威アクターからの継続的なスキャンと危険な悪用試行を受けています。
• Defenderが高価値資産でIISが実行されている場合、一般的に乱用されるウェブアプリケーションディレクトリに対してターゲット指向の技術的検査を自動的に適用します。

最近の法医学調査では、このコンテキスト認識スキャンが高度にカスタマイズされた、従来のセキュリティ周辺フィルターを迂回した以前に見られなかったウェブシェルを検出し、即座に対処しました。

組織リスクの低減

防御戦略：

• サイバーセキュリティチームは、高価値ネットワーク資産向けに設計された重要なポジション推奨事項を最初の防御努力として実装する必要があります。
• これらの重要なシステムでのセキュリティギャップを解決することで、組織全体のリスクが大幅に低減されます。

これらのコアサーバーからの警告の日常的な調査と対処は、現代のデータ侵害の潜在的影響を最小限に抑えるために絶対的に重要です。

---

元記事: https://gbhackers.com/microsoft-details-how-defender-protects-high-value-assets/