tos-akibaのブログ

主に Microsoft 365 Security について

Microsoft Security 製品の日本語名称は?

昨日投稿しました Microsoft Security ブログ記事の紹介には、たくさんのセキュリティ製品がありました。
2022年からの Microsoft セキュリティイノベーション - tos-akibaのブログ

それぞれの日本語名称を Microsoft の各製品サイトから確認してみました。
そのままの名称も幾つかありますが、日本語の名称が付いている物も多数です。製品サイトへのリンクと共に記載しました。

 

Microsoft Defender for IoT
 Microsoft Defender for IoT | Microsoft Security

Microsoft Defender Cloud Security Posture Management(プレビュー)
 Microsoft Defender クラウド セキュリティ態勢管理|Microsoft Security

Microsoft Defender for DevOps(プレビュー)
 Microsoft Defender for DevOps | Microsoft Security

Microsoft Defender External Attack Surface Management
 Microsoft Defender 外部攻撃面管理 | Microsoft Security

Microsoft Defender Threat Intelligence
 Microsoft Defender 脅威インテリジェンス | Microsoft Security

Microsoft Defender Experts for Hunting
 Microsoft Defender Experts for Hunting | Microsoft Security

 

Microsoft Entra Permissions Management(旧CloudKnox Security)
 Microsoft Entra 権限管理 | Microsoft Security

Microsoft Entra Workload Identities
 Microsoft Entra ワークロード ID | Microsoft Security

Microsoft Entra Verified ID
 Microsoft Entra 確認済み ID | Microsoft Security

Microsoft Entra certificate-based authentication(CBA)
 ※ これは製品名ではなく機能の名称です。
 Azure AD の証明書ベースの認証に関する概要 - Azure Active Directory - Microsoft Entra | Microsoft Learn

Microsoft Entra Identity Governance
 Microsoft Entra ID ガバナンス | Microsoft Security

 

Microsoft Purview Data Loss Prevention
 Microsoft Purview データ損失防止 | Microsoft Security

Microsoft Purview Information Protection for Adobe Document Cloud
 Microsoft Purview 情報保護 | Microsoft Security

 ※ Adobe との連携についてはこちら。
  Microsoft Security と Adobe の統合 | Microsoft Learn

Microsoft Purview Insider Risk Management
 Microsoft Purview インサイダー リスク管理 | Microsoft Security

Microsoft Purview eDiscovery APIs
 Microsoft Purview eDiscovery | Microsoft Security

 ※ API についてはこちら。
  Purview の機能拡張のMicrosoft - Microsoft Purview (compliance) | Microsoft Learn

 

2022年からの Microsoft セキュリティイノベーション

Microsoft セキュリティの VP である Vasu Jakkal  の 2022年振り返りについてのブログ記事です。
Microsoft Security innovations for 2023 - Microsoft Security Blog

 

要点をサマリすると、

サイバー犯罪は増加傾向であり、2021年9月以降、パスワードアタックの数は 秒間 579件から 1,287件へと驚異的に増加している。
2022年7月以降、Microsoft Security はマイナー更新からメジャー発表まで 300 を超えるイノベーションを提供し、15,000 を超えるパートナーのエコシステムが統合されており、最適なものを選択できる。

 

Microsoft の調査によると、CISO や経営幹部レベルのセキュリティ専門家の 72% が、テクノロジーベンダーがセキュリティ、コンプライアンス、ID にわたる包括的な製品セットを提供することが非常に重要と述べており、
Microsoft はソリューションを合理化して 6つの製品ファミリに統合し、包括的なソリューションで以下をカバーしている。

  • Extended Detection and Response (XDR)
  • Security Information and Event Management (SIEM)
  • Threat Intelligence
  • Identity and Access Management (IAM)
  • Endpoint Management
  • Cloud Security
  • Data Protection
  • Compliance
  • Privacy
  • Microsoft Security Expert(Managed Service)

 

過去 6か月間の注目すべきリリース。

  • Microsoft Defender for IoT
     IoT や OT デバイスをエージェントレス監視
    IoT デバイス用の XDR を追加し、1つの統合セキュリティセンターで運用でき可視性が向上。
  • Microsoft Defender Cloud Security Posture Management(プレビュー)
     新しいエージェントレス スキャン機能でハイブリッド環境、マルチクラウド環境の全体のリアルタイム評価を提供。
  • Microsoft Defender for DevOps(プレビュー)
     Defender Cloud Security Posture Management と統合され、複数パイプライン環境全体を効果的に管理、修復。
  • Microsoft Defender External Attack Surface Management
     Defender Cloud Security Posture Management と統合され、シャドーIT やその他の資産など、攻撃対象領域の全体像を把握するのに役立つ。
  • Microsoft Defender Threat Intelligence
     攻撃者のアクティビティやパターンを追跡、分析し、調査と修復を加速できるようにする。
  • Microsoft Defender Experts for Hunting
     Microsoft Defender データを使用して Microsoft の専門家が脅威を追求する支援を提供する。

 

最近の調査では、フィッシング、パスワードスプレー、MFA疲労、など ID への攻撃が侵害の 61% を占めている。
また、2022年の第3四半期には、世界中で約 1,500万件のデータレコードが侵害され、前四半期から 37% 増加した。
敵は攻撃の手を緩めないため、Microsoft Entra、Microsoft Intune、Microsoft Purview の機能拡張を続け、ユーザー ID、エンドポイント、データ保護を支援し続けている。

  • Microsoft Entra Permissions Management(旧CloudKnox Security)
     Azure、AWSGCP の ID やリソースのアクセス許可を可視化して制御する Cloud Infrastructure Entitlement Management(CIEM)ソリューション。
  • Microsoft Entra Workload Identities
     条件付きアクセスや ID保護など高度な機能を拡張して人間以外の ID もライフサイクルを管理し保護。
  • Microsoft Entra Verified ID
     雇用、教育などで資格情報を発行、要求、検証する簡単なオプションを提供し、自分自身でデータ制御しながら ID を確認する便利でポータブルな分散型 ID の方法を提供。
  • Microsoft Entra certificate-based authentication(CBA)
     Azure AD を介した証明書ベース認証。ADFS の必要性をなくしてクラウド移行できる。
  • Microsoft Entra Identity Governance
     適切なユーザーのみが適切なリソースにアクセスできるよう、ライフサイクルワークフローやエンタイトルメント管理など。
  • Microsoft Purview Data Loss Prevention
     エンドポイントデバイスでの詳細ポリシー構成やコンテキスト重点の新機能により、ユーザーは機密データを試用しながら適切なアクションを実行できる。
  • Microsoft Purview Information Protection for Adobe Document Cloud
     Adobe Acrobat と組合せ PDF をシームレスに保護
  • Microsoft Purview Insider Risk Management
     組織がデータセキュリティインシデントに繋がる可能性のある危険なインサイダーアクティビティを検出するのに役立つ新しいポリシーを提供。
  • Microsoft Purview eDiscovery APIs
     電子情報開示のワークフロー自動化など反復的な処理を合理化しコスト削減に役立つ。

 

Microsoft Security の顧客数は昨年ほぼ倍増し、世界中で 860,000社を越えた。
Microsoft は AI、機械学習クラウドテクノロジへの投資を継続する。

 

Azure クラウドサービス4つの SSRF 脆弱性を解決

Microsoft は、4つの Azure サービスにおける SSRF(Server Side Request Forgery)の脆弱性を修正したという情報です。

  • Azure API Management
  • Azure Functions
  • Azure Machine Learning
  • Azure Digital Twins

Microsoft は、Azure クラウド サービスにおける 4 つの SSRF の脆弱性を解決しました。 – Microsoft Security Response Center

 

SSRF とは、通常はアクセスできない内部のサーバーに対して攻撃を仕掛ける手法です。
例えば公開されているサーバーやサービスの脆弱性を突いて HTTP アクセスのパラメータで攻撃用のコマンドを送り付け、内部のサーバーやサービスに対して実行させます。

 

Microsoft では各脆弱性に対して追加の入力検証を実装し迅速に対処した上で徹底的な調査を実施したと述べています。
4つの Azure サービスにおいて、特にお客様側での操作は必要ないそうです。
各サービスごとの詳細報告については、上記リンク先に記載されています。

 

中小企業へのサイバー攻撃と5つのアクション

マイクロソフトのセキュリティブログにて、中小企業に対するサイバー攻撃の割合と、自宅を守ることに例えた5つのアクションが述べられています。
5 ways Microsoft helps block threats - Microsoft Security Blog

 

冒頭、現在すべてのサイバー攻撃の 43% が中小企業(SMB)を標的としており、悲しいことにこれら企業の 60% が攻撃から 6か月以内に完全にクローズしている、という統計を示しています。
マイクロソフトが言うところの SMB(Small Business)とは、300ユーザーまでの規模を指します。
これは Microsoft 365 Business Premium 製品の対象規模であり、中小企業にもエンタープライズグレードの包括的なセキュリティを提供するために Microsoft Defender for Business 機能を 含めることを決めたとしています。

 

あらゆるビジネスをサイバー攻撃から保護する5つの簡単なアクションを自宅のセキュリティに例えて紹介しています。

  1.  24時間すべて監視する
     Microsoft Cloud は現在、毎日 43兆のシグナルを追跡、分析し、エンタープライズグレードの保護を提供している。
     クラウドベースのセキュリティに移行し、Microsoft 365 Business Premium のフィッシング対策やエンドポイント保護などエンタープライズグレードの保護機能を活用すれば、ビジネスに集中できる。
  2.  錠前を更新する
     使い古された錠前を交換したり防犯灯を追加するように、
    脆弱性に対する更新プログラムを入手、適用する。
    個人所有デバイス潜在的脆弱性を伴う攻撃対象領域になりえるため、Defender for Business の脅威と脆弱性の管理を活用する。
    また、定期的なデータバックアップによりランサムウェア攻撃に備える。
  3.  鍵をうまく隠す
     予備の鍵を、すぐ見つかる場所よりも見つけにくい場所に隠そうとするのは当たり前。
    パスワードも判り難くしたり、生体認証や物理キー、デバイスを使用して Windows Hello や FIDO2 キーなど、パスワードレスや多要素認証を使用する。
  4.  誰にでも(た易く)ドアを開けない
     ドアベルにビデオを備えて誰かを知らずに玄関をすぐ開けないように、
    マルウェアフィッシング詐欺に備え、フィッシングメールでないかと次のようなメールには注意する。
    2022年もサイバー攻撃の最も一般的な原因は、マルウェア(22%) とフィッシング(20%) である。
     ・ユーザーの資格情報や支払いを要求する
     ・なじみのない口調や挨拶
     ・文法やスペルの誤り
     ・メールアドレスやドメイン名が「類似」誤り
      (例: microsotf.com )
     ・脅威や切迫感をあおる内容
     ・要求(予期)していないのに送られた添付ファイル
    フィッシングメールを受信したら、Outlook からマイクロソフトへ報告すると Microsoft Defender for Office 365 で不信なメールをブロック、保護される
  5. 常に侵入を防ぐ情報を入手する
     地元の警察や監視グループが協力して住民教育をするように、
    セキュリティリソースやトレーニングを継続的に利用し、スキルと知識を身に付ける

 

Microsoft 365 Business Premium サブスクリプションは、SMB(最大300ユーザー)向けに最適化された包括的なセキュリティを提供するソリューションであると紹介しています。

 

条件付きアクセステンプレートの更新(プレビュー)

2022年12月のアップデートで、Azure AD の条件付きアクセステンプレートのプレビューに4つの機能強化が追加更新されています。
新機能 リリース ノート - Azure Active Directory - Microsoft Entra | Microsoft Learn

 

管理者が実行できる機能として、

  • JSON ファイルをインポートして条件付きアクセスポリシーを作成できる
  • 既存ポリシーを複製できる
  • より詳細なポリシー情報を表示できる
  • MSGraph API を使用してテンプレートに対するクエリをプログラムで実行できる

 

Azure AD の条件付きアクセスの管理画面を開くと、アップロードメニューは上段にあります。

 

なお、テンプレートからの新規作成では、それぞれに JSONファイルのダウンロードメニューが付いています。

定義済みのポリシーについては GUI ではエクスポートは無さそう。

 

既存ポリシーの複製は、右側の「重複」メニューです。
重複はちょっと意味が違う気がしますが、英語のメニュー名称は「Duplicate」なので、日本語訳の問題ですね。

 

ポリシーの詳細情報は、ポリシーを選択した画面に表示メニューがあります。

 

Microsoft Graph API 使用に関しての情報はこちら。
条件付きアクセス API および PowerShell - Azure Active Directory - Microsoft Entra | Microsoft Learn

 

攻撃面の縮小(ASR)ルール誤検知によるショートカット削除と回復

2023年1月14日の Microsoft Defender for Endpoint ブログ情報です。
Windows Security や Microsoft Defender for Endpoint で攻撃面の縮小(ASR)ルールを利用していた場合で、セキュリティ インテリジェンス ビルドの 1.381.2134.0 から 1.381.2163.0 に更新した後、「Office マクロからの Win32 API 呼び出しをブロックする」ルールにおいて誤検知が発生した可能性があり、それにより主に Windows ショートカット(.lnk)ファイルが削除されてしまう事象があったようです。
Recovering from Attack Surface Reduction rule shortcut deletions - Microsoft Community Hub

 

影響のないケース
以下のいずれかであれば、影響はないそうです。

  • ASR のブロックモードで「Office マクロからの Win32 API 呼び出しをブロックする」ルールを有効にしていない
  • セキュリティ インテリジェンス更新プログラム ビルド 1.381.2134.0、1.381.2140.0、1.381.2152、1.381.2163.0 に更新していない

 

影響を受けている場合、必要なこと

  • セキュリティ インテリジェンス ビルドを 1.381.2164.0 以降に更新する
    • Microsoft Defender ウイルス対策が自動更新ならば、追加アクションなし
    • 更新プログラムを管理している場合は、最新版をダウンロードして展開する
  • 削除されたファイルの回復

 

削除されたショートカット.lnk を回復する

スタートメニューのリンクを再作成するスクリプトが、上記リンク先のブログの後半に紹介されています。
しかし、すでに多数のコメントが寄せられており、回復については環境によりケースバイケースの場合があるようです。

 

なお、攻撃面の縮小(ASR)ルールの有効化についての説明は以下です。
Windows 10 Enterprise E5 または E3 ライセンスが必要であり、監査モードからブロックモードにすると ASRルールが有効になります。
攻撃面の減少ルールを有効にする | Microsoft Learn

 

tamper protection 改ざん防止の機能強化

tamper protection は、侵入者がウイルス対策保護やリアルタイム保護の機能を無効化したりとデバイス設定を改ざんする事を防止する Microsoft Defender の機能です。

Microsoft Defender for Endpoint は、Microsoft Intune との連携により、Intune を通し tamper protection を有効/無効にすることができます。

tamper protection が有効で  DisableLocalAdminMerge を True に設定して Intune を使用して改ざん防止を設定した場合、他のプロセスから設定変更を受け付けないように保護する機能が有効になりました。
Tamper protection for exclusions support for Microsoft Defender for Endpoint

 

この新しい機能がクライアントで有効になっているかは、以下のレジストリキーの値が 1 であるか(0 なら無効)を確認します。

HKLM\SOFTWARE\Microsoft\Windows Defender\Features で、TPExclusions

 

また、この機能がデプロイされるのは、Defender プラットフォームの更新プログラムバージョンが 4.18.2111.* 以降となっています。

 

(参考)
改ざん防止機能を使用してセキュリティ設定を保護する | Microsoft Learn