INF-023_マイクロソフトの特権管理ソリューションの全貌 ～永続的な管理者特権の廃止への道～

1. ROOM
N

2. 特権管理の重要性
MS 製品を利用した
特権の守り方

4. Tier 2
ワークステーション &
デバイス管理者
Tier 0
ドメイン &
エンタープライズ管理者
Tier 1
サーバー管理者
1.足がかり
• フィッシング攻撃など
2.横方向への動き
• 資格情報の盗難
• より多くのホスト、資格情報を侵害
3.権限の昇格
• パッチ未適用のサーバーを侵害
• ドメイン管理者の資格情報を侵害
4.AD 陥落
• データ盗難、システム破壊など

5. 期限付きの特権 (永続的な管理者の廃止)
管理用端末を分ける Just Enough Admin
(JEA)
987252
1
攻撃の検知
AD の要塞化
特権取得時の多要素認証
管理者アカウント
を分ける

6. Microsoft Identity
Manager
Privileged Access
Management
(MIM PAM)
Azure AD
Identity Protection
(Azure AD IP)
Microsoft Advanced
Threat Analytics
(ATA)
Azure AD
Privileged Identity
Management
(Azure AD PIM)
特権管理攻撃検知と対応
Active Directory
Azure
Active Directory

7. Microsoft Identity
Manager
Privileged Access
Management
(MIM PAM)
Azure AD
Identity Protection
(Azure AD IP)
Microsoft Advanced
Threat Analytics
(ATA)
Azure AD
Privileged Identity
Management
(Azure AD PIM)
特権管理攻撃検知と対応
Active Directory
Azure
Active Directory

8. キャプチャ・分析 学習 検出1 2 3
・Active Directory ネットワーク
トラフィックのキャプチャと分析
・Deep Packet Inspection (DPI)
・SIEM から適切なイベントを収集
・ユーザーや PC などの
エンティティの動作を自動学習
・悪意のある攻撃、異常行動、
および脆弱性を検出
・どのユーザーを利用して、いつ、
どこから、どのような攻撃が
行われたかを把握するための
攻撃タイムラインレポートを作成

9. DC3 DC4FileserverSIEM DB DC1 DC2 Fileserver DB
ATA CENTER
Syslog 転送
Windows イベント
転送 (WEF)
Port Mirroring (Network DPI)
ATA Lightweight
Gateway
DC トラフィックのミラーリング
Windows イベント転送
Syslog 転送
ATA ゲートウェイの解析結果
ATA Lightweight
Gateway
ATA GATEWAY

11. Microsoft Identity
Manager
Privileged Access
Management
(MIM PAM)
Azure AD
Identity Protection
(Azure AD IP)
Microsoft Advanced
Threat Analytics
(ATA)
Azure AD
Privileged Identity
Management
(Azure AD PIM)
特権管理攻撃検知と対応
Active Directory
Azure
Active Directory

12. リスク イベントに対するアクション
パスワード リセット、多要素認証、ブロック
ID 侵害のリスクイベント検出
機械学習アルゴリズムとヒューリスティックを使用
リスクの軽減
リスクの検出

13. 重大度
低
重大度
中
重大度
高
・感染しているデバイスからの
サインイン
・特殊な場所へのあり得ない移動
・匿名の IP アドレスからの
サインイン
・不審なアクティビティのある
IP アドレスからのサインイン
・未知の場所からのサインイン
・漏えいした資格情報

14. ポリシー適用先
ユーザー/グループを設定
パスワード変更をトリガ
するリスク レベルを設定
サインインのブロックを
トリガするリスクレベルを
設定
ポリシー適用先
ユーザー/グループを設定
多要素認証をトリガす
るリスク レベルを設定
サインインのブロックを
トリガするリスクレベルを
設定

15. Microsoft Identity
Manager
Privileged Access
Management
(MIM PAM)
Azure AD
Identity Protection
(Azure AD IP)
Microsoft Advanced
Threat Analytics
(ATA)
Azure AD
Privileged Identity
Management
(Azure AD PIM)
特権管理攻撃検知と対応
Active Directory
Azure
Active Directory

16. 一方向の信頼
①リクエスト
特権管理サーバー
シャドウ グループ
PRIV¥CorpAdmins
管理グループ
CORP¥CorpAdmins
②要塞フォレストの特権グループに
ユーザーを追加
APPS
(管理者: CorpAdmins)
管理者
③特権フォレストのユーザーとして
管理タスク実行
④要塞フォレストの特権グループから
ユーザーを削除

17. Privileged Access Management (PAM)
・MIM 2016 の新機能
・特権管理機能
Microsoft Identity Manager 2016 (MIM)

18. PAM ユーザー
PAM グループ
PAM ロール

19. 特権アカウントのリクエスト 特権アカウントの付与

20. Microsoft Identity
Manager
Privileged Access
Management
(MIM PAM)
Azure AD
Identity Protection
(Azure AD IP)
Microsoft Advanced
Threat Analytics
(ATA)
Azure AD
Privileged Identity
Management
(Azure AD PIM)
特権管理攻撃検知と対応
Active Directory
Azure
Active Directory

21. 


















23. セキュリティ管理者
○○管理者（候補）
ロール付与
○○管理者（一時）
アクティブ化
削除○○管理者（永続）
永続化

24. Enterprise Mobility Suite (EMS)
マイクロソフト ID 保護ソリューション評価ガイド
http://aka.ms/jp/wp/emsidsec

25. アンケートにご協力ください。
●アンケートに 上記の Session ID のブレイクアウトセッションに
チェックを入れて下さい。
●アンケートはお帰りの際に、受付でご提出ください。
マイクロソフトスペシャルグッズと引換えさせていただきます。

26. ROOM N
Ask the Speaker のご案内
●本セッションの詳細は、EXPO 会場内
『Ask the Speaker』コーナー
Room N カウンタにてご説明させて
いただきます。是非、お立ち寄りください。
Ask the Speaker
EXPO会場MAP