『Active Directory監視サービス』によって、ドメインコントローラーの膨大なログから攻撃の痕跡をいち早く検知することができます。
「PrintNightmare」と呼ばれる今回の脆弱性は、同社ですでに悪用の事実も確認されており、現地時間7月6日に緊急パッチが公開されたものの、パッチの回避ができてしまうため、引き続きリモートから攻撃が可能であるとの指摘が出ています。
■『Active Directory監視サービス』でPrintNightmare攻撃の検知が可能に
PrintNightmareは、Active Directory環境ではドメインコントローラーが乗っ取られてしまう危険性があり、非常に危険なため早急な対応が求められています。
そこでS&Jは、独自開発SOCサービス『Active Directory監視サービス』でPrintNightmare攻撃を以下の場合に検知できるように対応いたしました。
- Active Directory配下のPCやサーバーが PrintNightmare で攻撃された
- ドメインコントローラーが PrintNightmare で攻撃された
本サービスでは、Active Directory環境において、上記の場合にPrintNightmare攻撃を独自開発SOCサービス『Active Directory監視サービス』で検知します。
※ADV(アドバンスト)プラン、監査ログ設定が必要です。
標準価格:監視対象環境や台数、サービスプランによって価格は変わりますのでお問い合わせください
https://www.sandj.co.jp/services/surveillance-ad/
■独自開発SOCサービス『Active Directory監視サービス』とは
- IEMでは検知が困難な脅威(DCShadow、DCSync、Pass The Hash、Golden Ticket、BloodHoundなど。)を検知します。
- 重要なパッチ(Zerologon、SIGRed、PrintNightmareなど)の適用チェックを行います。
- 脅威を検知することで攻撃に対する対処をいち早く実施できます。
- 24時間365日体制で監視を行います。
- 検知した情報のみを送信するため、SIEMよりもログ量が格段に少なくなります。
- 不審な動作をしたアカウントは、はリモートでアカウントの無効化を行います (別途オプション)。
- 過検知をAIエイジング機能で大幅に削減しています。
■独自開発SOCサービス『Active Directory監視サービス』開発責任者コメント
PrintNightmareは、Active Directory環境のシステム権限が奪われてしまう非常に危険な脆弱性です。サーバーを含め全ての端末で対応が必要なのですが、パッチ適用や緩和策の実施が困難な環境も多くあり、対応漏れが起きる可能性もあります。そのため、PrintNightmareの攻撃を検知できるように緊急で研究し対応いたしました。
独自開発SOCサービス『Active Directory監視サービス』によって、ドメインコントローラーの膨大なログから攻撃の痕跡をいち早く検知することができますので、お客様のActive Directory環境をPrintNightmareの脅威から守れるようになったことを誇りに思います。
========================================
■本件に関するお問い合わせについて
https://www.sandj.co.jp/contact/
S&J株式会社 広報担当
TEL: 03-6205-8500(代表)
MAIL:pr@sandj.co.jp
========================================
■S&J株式会社について( https://www.sandj.co.jp/ )
本社 : 〒105-0003東京都港区西新橋2-4-12 西新橋PR-EX8階
設立日 : 2008年11月7日
資本金 : 4,865万円
代表者 : 代表取締役 三輪 信雄(みわ のぶお)
事業内容 : サイバー攻撃対策システムの開発及び運用、サイバー攻撃監視やセキュリティ診断、コンサルティング、インシデント対応などのサービス提供。
(S&Jは、自社開発の運用システム「SOC Engine®」により、効率的・効果的なセキュリティ運用サービスを提供しています。)
※本文中に記載されている会社名、製品名は、各社の登録商標または商標です。