ADAudit Plusで不正なログイン、ラテラルムーブメント、特権アカウントの悪用、データの侵害、マルウェアの脅威を検知
- 不正なログイン
例えば重要なサーバーが異常な時間帯にアクセスされた場合、または異常な回数のログイン失敗があった場合に通知します。
![不正なログイン]()
- ラテラルムーブメント
サーバーへの初回ログオンや休止状態のユーザーアカウントが突然アクティブになったときに通知します。
![ラテラルムーブメント]()
- 特権アカウントの悪用
特権アカウントを使用した異常な挙動がネットワーク内で発生した際に通知します。
![特権アカウントの悪用]()
- データの侵害
ネットワーク内で不正なデータの抽出または削除が行なわれた場合に通知します。
![データの侵害]()
- マルウェア
サーバーで異常なプロセスが実行されているときに通知します。
![マルウェア]()
- 異常の調査
異常アクティビティーを検知後、関連するログデータを用いてそのイベントに対してさらに詳細の調査を行なうことが可能です。
![異常の調査]()
- 脅威の軽減
異常アクティビティーが検出されたときに、特定のアクションを実行するようにADAudit Plusを設定することが可能です。
![脅威の軽減]()
ADAudit Plusでは、機械学習を活用しながら、各ユーザーの通常時の活動を算出し、通常時の活動を逸脱した異常性のある活動が行われた場合に検知することが可能です。
たとえば業務の都合上、深夜に重要なサーバーへ頻繁にアクセスするユーザーが、たとえビジネス時間外にアクセスを行っていたとしても、それは不審な動きとして検知される対象には含まれません。なぜなら、その動作はユーザーにとって一般的なものだからです。その一方で、たとえアクセスした時間がビジネス時間以内であっても、それまで一度もアクセスしたことのない時間に同じユーザーがサーバーへアクセスた場合、通常と異なる異常な振る舞いとして、ADAudit Plusは即座に検知し、リアルタイムで脅威を検出します。
ログの収集と処理:
Active Directory環境におけるドメインコントローラ、メンバーサーバー、ワークステーションのログが収集され、処理されます。
振る舞い検知エンジン:
処理したログデータを元に、平常時のログオン活動、ファイル操作、ユーザー管理など、ユーザーごとのしきい値を機械学習にて算出します。算出したしきい値を元に、ユーザーの異常行動を検出することが可能です。
脅威検知と通知:
セキュリティ担当者に、メールを介してリアルタイムで異常を通知します。また、異常な振る舞い(通常とは異なる振る舞い)として検知されたデータは、ADAudit PlusのWebコンソールを介してレポートとして表示できます。