Microsoft 365 Defender で、AiTM 攻撃を検出すると侵入後の横方向の移動を阻止するなど、自動的に攻撃を中断させる機能拡張が発表されました。
Automatically disrupt adversary-in-the-middle attacks with XDR
AiTM 攻撃は、フィッシングを受けたユーザーが攻撃者によって作成されたなりすましサイトに接続されることにより、資格情報やセッション Cookie を傍受され、多要素認証(MFA)をバイパスしてアクセスされてしまう攻撃です。
この攻撃に使われる AiTM フィッシングキットの利用が増加しているそうです。
Microsoft の XDR が AiTM 攻撃を自動的に封じ込める方法は、
- Microsoft 365 Defender の複数シグナルの相関関係に基づき、 AiTM 攻撃の可能性が高いケースを識別
- Active Directory および Azure AD で、侵害されたユーザーアカウントを自動的に無効化するトリガー
- 盗難されたセッション Cookie は自動的に取り消され、攻撃者のアクティビティから防ぐ
自動攻撃中断を構成し、SOC チームは Microsoft 365 Defender ポータルでアクションを簡単に戻すなどの制御ができます。
構成の前提としては、
・ 組織が Microsoft 365 Defender の前提条件を満たしている
・ Microsoft Defender for Cloud Apps を Microsoft 365 に接続
・ Microsoft Defender for Endpoint をデプロイ
・ Microsoft Defender for Identity を展開
(参考)
Microsoft 365 Defenderでの自動攻撃の中断 | Microsoft Learn
Microsoft 365 Defenderで自動攻撃中断機能を構成する | Microsoft Learn
