Enterprise Threat Detection による「インビジブル」サイバー攻撃の検出

2017 年 5 月 10 日 – Microsoft Secure Blog スタッフ – マイクロソフト このポストは「 Use Enterprise Threat Detection to find “invisible” cyberattacks 」の翻訳です。 執筆者: Roberto Bamberger (エンタープライズ サイバーセキュリティ グループ、プリンシパル コンサルタント)   サイバー攻撃に関するニュースが引きも切らないなか、企業の既存の標準ツールを利用して攻撃が行われている、より検出の難しいサイバー攻撃を取り上げたいくつかの記事が最近公開されました。 SecureList では、このような状況で使われる手口を「インビジブル」や「ディスクレス」と呼んでいます。本稿では、このような攻撃を一般的な検出手法で検出する際に企業が直面する可能性のある課題と、それらの攻撃から保護する方法について説明します。 まず、このような攻撃の多くが、PowerShell などの Microsoft Windows のネイティブ機能を利用している (ウイルス対策ソフトによって定期的にスキャン/検出される恐れのあるディスクにファイルを格納する必要性をなくすため) のを考慮する必要があります。そこで、マイクロソフトは、そのような攻撃を検出できる次のようないくつかの機能を開発しました。 Microsoft Enterprise Threat Detection Windows Defender Advanced Threat Protection Microsoft Advanced Threat Analytics 以降で、これらの機能が役立つ理由について概要を説明します。

0