ローカル セキュリティ アカウント マネージャー

• このポリシーは、Windowsエンドポイント上のEPM にのみ適用されます。
• 特権脅威からの保護は、即時実施エージェントでは利用できません。

ブラウザーに保存された資格情報の盗難

ユーザーが保存したブラウザの資格情報の自動入力を保護するためのポリシーです。

ITアプリケーションの資格情報の盗難

最も一般的なITアプリケーションに保存されている資格情報を保護するポリシーです。

リモートアクセスアプリケーションの資格情報の盗難

一般的に使用されているリモートアクセスアプリケーションに保存されている、リモートシステムの資格情報を保護するためのポリシーです。

不審なアクション

疑わしい行為を防ぐためのポリシーです。これらの行動は攻撃中に起こる可能性がありますが、必ずしも攻撃を意味するものではありません。

脅威からの保護

疑わしいリクエストを防ぐためのポリシーです。

Windowsの資格情報の取得

ローカルとドメインの両方の資格情報を含む、オペレーティングシステムの資格情報を保護するポリシーです。

LSASS 資格情報収集

Local Security Authority Subsystem Service (LSASS) は、システムのセキュリティポリシーを実施する役割を担っています。Windowsコンピューターやサーバーにログオンしているユーザーの確認、パスワード変更の処理、アクセストークンの作成などを行います。これは、ユーザーの資格情報をハッシュとクリアテキストの両方でメモリ内に保持するもので、主な攻撃ポイントとなっています。

すべてのワークステーションとサーバー

SAMハッシュ収集

セキュリティアカウントマネージャー (SAM) は、ユーザーのパスワードを保存します。ローカルとリモートのユーザーを認証するために使用できます。資格情報はSAMにNTLMハッシュとして保存されますが、これは新しいコンピュータでは簡単に見破られてしまいます。

すべてのワークステーションとサーバー

ローカルキャッシュからのドメイン資格情報の盗難

ドメイン資格情報キャッシュ（msvcachedv2）には、ドメインユーザーの資格情報のハッシュが含まれています。組織のネットワーク外からログインしたドメインユーザーを認証するために使用されます。

すべてのワークステーションとサーバー

サービスアカウントからの資格情報の盗難

サービスは、異なる権限で、異なるユーザーを使って実行することができます。ユーザーが ログインしていなくてもサービスを開始できるようにするために、資格情報は マシンに保存されます。攻撃者は、これらの資格情報を使用して、サービスユーザーの権限で悪意のあるコードを実行することができます。

Microsoftのサービスには、ドメインユーザーの資格情報が含まれているものがあります。攻撃者は、ローカルセキュリティオーソリティ (LSA) のSecretsレジストリハイブから暗号化されたサービス資格情報を収集し、それを新しい悪意のあるサービスに注入することで、横方向への移動やドメインの完全な侵害を達成することができます。詳しくは、https://www.cyberark.com/blog/cyberark-labs-research-stealing-service-credentials-achieve-full-domain-compromise/を参照してください。

すべてのワークステーションとサーバー

Agent Safe Protection

Windowsセーフモードは、PCとサーバーの両方のWindowsオペレーティングシステム（OS）に組み込まれています。 Windows 10では、セーフモードはマイクロソフトのVSM（Virtual Secure Module）をオフにします。攻撃者はリモートでセーフモードを起動して、エンドポイントのセキュリティ対策を回避・操作し、横方向への移動を実現し、資格情報を盗むことができます。

詳しくは、https://www.cyberark.com/blog/cyberark-labs-from-safe-mode-to-domain-compromise/を御覧ください。

すべてのワークステーションとサーバー

Windows資格情報マネージャーからの資格情報の盗難

Windowsの資格情報マネージャーで、ユーザーはウェブサイト（IEおよびEdgeブラウザ）、接続されたアプリケーション、およびネットワークへのログイン情報を保存することができます。攻撃者は、文書化されていないWindows APIを使用して、ユーザーの資格情報を簡単に取得することができます。

すべてのワークステーションとサーバー

Active Directoryデータベース(NTDS.DIT)からの資格情報の盗難について

Microsoft Active Directory Data Store (NTDS.dit)には、ユーザー、サービス、アプリケーションのディレクトリ情報を保存・管理するデータベースファイルとプロセスが含まれています。攻撃者は、ゴールデンチケット攻撃の前段階であるkrbtgtアカウントを盗み、組織のユーザーのハッシュをすべて収集して、組織のネットワークでパスザハッシュ攻撃や横移動を実行することができます。

サーバー(DC)

ローカルセキュリティオーソリティ（LSA）のシークレット収集

LSA Secretsは、WindowsのLocal Security Authority（LSA）で使用される重要なデータのための特別な保護されたストレージです。その秘密には、ユーザーのパスワード、サービスアカウントのパスワード、RAS接続のパスワード、ユーザーの暗号化キーなどが含まれており、これらはすべて攻撃者にとって貴重なものです。

すべてのワークステーションとサーバー

Pass The Hash攻撃

パスワードハッシュは、平文のパスワードと同等です。パスワードハッシュを入手した攻撃者は、そのハッシュを利用して、実際のパスワードを知らなくてもシステムにアクセスすることができます。このタイプの攻撃は「Pass The Hash」と呼ばれています。

すべてのワークステーションとサーバー

Crypto RSA マシンキー収集

RSAは非対称の暗号化アルゴリズムです。秘密鍵は、認証、暗号化、署名、および SSL\TLS セッションの確立時の対称キー交換に使用できます。盗まれた秘密鍵は、Windowsの秘密鍵ストアに鍵を保存しているID管理ソリューションから認証トークンを盗むなど、さまざまなポストエクスプロイト攻撃に使用することができます。

ゴールデンSAML攻撃の詳細については、https://www.cyberark.com/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-cloud-apps/を参照してください。

サーバーのみ (ADFSやOktaなどのID管理ソリューション)

Pass The Ticket攻撃

Kerberosチケットは、ドメイン環境で使用される認証オブジェクトです。「Pass the ticket」とは、アカウントのパスワードにアクセスすることなく、Kerberosチケットを使ってシステムを認証するメソッドです。この攻撃では、有効なKerberosチケットが取得され、攻撃者のセッションのメモリに注入されます。

すべてのワークステーションとサーバー

Total Commanderの資格情報の盗難

Total Comanderは、Windowsで人気のファイルマネージャーで、FTP接続も管理できます。 ユーザーはTotal Commanderを使用してFTPサーバーのパスワードをローカルに保存することができ、マシン上で実行されている潜在的な攻撃者に資格情報を公開してしまいます。

すべてのワークステーションとサーバー

PuTTyの資格情報の盗難

PuTTyは、Windows用の人気の高いSSHクライアントです。このアプリケーションは、リモートサーバーへの資格情報として使用できるプライベートSSHキーを保存します。また、PuTTyでは、プロキシサーバーのパスワードをローカルに保存することができます。SSHのプライベートキーやプロキシのパスワードを保存すると、ユーザーの資格情報が攻撃者にさらされることになります。

PuTTyのバージョン0.7以降が必要です。

すべてのワークステーションとサーバー

Okta AD エージェント改ざん保護

Oktaは、シングルサインオン体験を提供するアイデンティティ管理ソリューションです。これにより、ユーザーはOktaのサーバーに一度だけログインした後、資格情報を挿入することなく、他の多くのアプリケーションにログインすることができます。OKTAには、Active Directory環境からの接続を管理するAD Agentがあります。 エージェントは、攻撃者がドメインからユーザー資格情報を盗むために悪用できるドメインへのトークンを保存します。EPM は、このトークンとエージェントの秘密鍵（Crypto RSA Machine Keys Harvesting ルールを使用）が盗まれないように、AD エージェントが操作されないように、また、認証プロセスが改ざんされないように保護します。

OKTA AD エージェントサーバー

Git資格情報の盗難

Gitは、ソフトウェア開発におけるソースコードの変更を追跡するためのバージョン管理システムです。ユーザーがGitサーバーの資格情報をローカルに保存すると、潜在的な攻撃者に資格情報が公開されてしまいます。

公式に署名されたGitツールが必要です。

すべてのワークステーションとサーバー

DbVisualizerの資格情報の盗難

DbVisualizerは、主要なデータベースに対応したデータベース管理・分析ツールです。このアプリケーションでは、データベースの資格情報をローカルに保存するため、マシン上で動作する潜在的な攻撃者に資格情報が公開されてしまいます。

すべてのワークステーションとサーバー

WinLogonオートメーションからの資格情報の盗難

WinLogon Automationは、コンピュータの起動時に自動的にログインできるWindowsの機能です。Windowsはパスワードを平文で保存するため、悪用が容易です。

すべてのワークステーションとサーバー

Composerの資格情報の盗難

Composerは、PHPで依存関係を管理するためのツールです。プロジェクトが依存しているライブラリを宣言すると、それを管理してくれます。このアプリケーションでは、データベースの資格情報をローカルに保存するため、マシン上で動作する潜在的な攻撃者に資格情報が公開されてしまいます。

すべてのワークステーションとサーバー

TortoiseのSVN資格情報の盗難

TortoiseSVNは、有名なバージョン管理クライアントです。ユーザーはSVNサーバーの資格情報をローカルに保存することができるため、潜在的な攻撃者に資格情報が公開されてしまいます。

すべてのワークステーションとサーバー

VMware Workstationの資格情報の盗難

VMware Workstationは、Windowsシステム上で動作するホスト型ハイパーバイザーで、1台の物理マシン上に仮想マシンを設定し、実機とともに同時に使用することができます。VMware Workstationは、仮想マシンをホストするリモートサーバーへの接続を可能にします。このルールは、これらのサーバーに保存されている資格情報の収集からシステムを保護します。

ワークステーション

Open VPN

OpenVPNは、Windows用の一般的なVPNクライアントです。ユーザーは、サーバーの資格情報をローカルに保存することを選択できるため、そのマシン上で動作する潜在的な攻撃者に資格情報が公開されてしまいます。

すべてのワークステーションとサーバー

KeePass

KeePassは、一般的なオープンソースのパスワードマネージャーです。ユーザーはすべてのパスワードを一箇所に保存・管理することができます。パスワードデータベースはマシン上にローカルに保存されているため、このデータベースに保存されているすべての資格情報が、マシン上で実行されている潜在的な攻撃者にさらされる可能性があります。

すべてのワークステーションとサーバー

「常に昇格してインストールする」モードを設定するための疑わしいリクエスト

AlwaysInstallElevatedは、Windowsマシン上のすべてのユーザー（特に低権限のユーザー）が、あらゆるMSIファイルを昇格権限で実行できるようにする設定です。MSIは、Microsoftベースのインストーラーパッケージファイル形式で、プログラムのインストール、保存、削除に使用されます。このオプションは、完全な管理者権限を付与することと同じであり、重大なセキュリティリスクを引き起こす可能性があります。CyberArkはこの設定の使用を強く推奨しており、デフォルトではこのオプションはオフになっています。このルールは、悪意のある行為によってこのオプションが変更されることを防ぎ、システムを保護します。

すべてのワークステーションとサーバー

Azure CLI 資格情報の盗難（ベータ版）

Azureコマンドラインインターフェイス (Azure CLI) は、Azureリソースを作成・管理するためのコマンド群です。Azure CLIは、Azureを素早く使いこなせるように設計されており、攻撃者が抽出して悪用できる認証トークンが保存されています。このルールは、Azure CLIアプリケーションからのトークン収集から保護します。

すべてのワークステーションとサーバー

SolarWinds Orion（ベータ版）からの資格情報の盗難

SolarWinds Orionは、インフラの監視・管理プラットフォームです。このアプリケーションは、リモートアクセスやAWS/Azureなどのさまざまなサービスの資格情報を保存しており、マシン上で実行されている潜在的な攻撃者に資格情報を公開しています。EPM は、SolarWinds Orionアプリケーションからの資格情報の採取から保護します。

SolarWindsインストール済みサーバー

Duo Integration Secrets Dump (ベータ版)

Duo MFAは、Windowsデバイスのログイン、Outlook on web (OWA)など、多くのアプリケーションとの統合が可能な、管理者とユーザー双方のための二要素認証ソリューションです。アプリケーションは、攻撃者がMFAを迂回するために悪用できる秘密鍵を保存しています。EPM は、この秘密鍵が盗まれたり、認証プロセスが改ざんされたりしないように保護します。

Duo MFAを統合したすべてのワークステーションとサーバー

ウェブブラウザからのクッキーの盗難について（ベータ版）

Webブラウザが保存するHTTPクッキーには、Webサイトやサービスの認証クッキーが含まれています。これらのクッキーは、攻撃者が抽出して悪用し、ユーザーに代わってアクションを起こしたり、ユーザーのセッションを乗っ取ったりすることができます。EPMは、一般的なブラウザ（Google Chrome、Mozilla Firefox、Opera、Microsoft Edge、Internet Explorer）のCookieストレージが盗まれたり悪用されたりしないように保護します。

一般的なブラウザ（Google Chrome、Mozilla Firefox、Opera、Microsoft Edge、Internet Explorer）を搭載したすべてのワークステーションとサーバー

ChromiumベースのWebブラウザ（ベータ版）のメモリダンプ

Webブラウザは、Webサイトやサービスの認証クッキーを含め、資格情報やHTTPクッキーをプロセスメモリに保存します。これらの資格情報やクッキーは、ブラウザのメモリをダンプすることで抽出され、攻撃者がユーザーに代わってアクションを起こしたり、ユーザーのセッションを乗っ取ったりするために悪用される可能性があります。EPM エージェントは、Chromium ベースの Web ブラウザのメモリがダンプされないように保護します。

ChromiumベースのWebブラウザ

ステータス

各グループ内のポリシーのステータスで、ポリシーが「 Block 」、「 Detect 」、「 Off 」のいずれに設定されているかを示します。グループを展開すると、各ポリシーの設定が表示されます。

コンピュータ

ポリシーが適用されるコンピュータです。グループを展開すると、特定のポリシーが適用されているコンピューターが表示されます。

最終更新日

ポリシーが最後に修正された日付です。
これは、特定のポリシーに対してのみ表示され、ポリシーグループの概要には表示されません。

エージェントバージョン

このポリシーをサポートする最初のEPM バージョンです。
これは、特定のポリシーに対してのみ表示され、ポリシーグループの概要には表示されません。

グローバルに除外されたアプリケーションを表示するには、「 Agent Configuration 」>「 Threat Protection 」>「除外されるアプリケーション」に移動します。