通常、ランサムウェア インシデントには、セキュリティ チームが識別できる個別の警告兆候が表示されます。 他のマルウェアの種類とは異なり、ランサムウェアは通常、インシデントを宣言する前に最小限の調査を必要とする非常に明らかなインジケーターを生成します。 これらの信頼度の高いトリガーは、エスカレーションの前に広範な分析を必要とする、より微妙な脅威とは対照的です。 ランサムウェアが攻撃したとき、証拠は多くの場合、明白です。
一般に、このような感染は、基本的なシステム動作、主要なシステムまたはユーザーファイルの欠如、身代金の要求から明らかです。 このような場合、アナリストは、攻撃を軽減するための自動化されたアクションを実行するなど、インシデントを直ちに宣言してエスカレートするかどうかを検討する必要があります。
ヒント
すべての Microsoft プラットフォームとサービスにわたる包括的なランサムウェア検出と対応のガイダンスについては、「 ランサムウェアや強要から組織を保護する」を参照してください。 この記事では、特に Azure ベースの検出と応答の機能に焦点を当てています。
ランサムウェア攻撃の検出
Microsoft Defender for Cloud は、Azure リソースに対して高品質の脅威検出と対応機能 (拡張検出と応答 (XDR) とも呼ばれます) を提供します。
Azure 環境内の Azure VM、SQL Server、Web アプリケーション、ID に対する一般的な攻撃を迅速に検出して修復します。
一般的なエントリ ポイントの優先順位付け –ランサムウェア (およびその他の) 使用者は、エンドポイント/電子メール/ID + リモート デスクトップ プロトコル (RDP) を好みます。
- 統合 XDR - Microsoft Defender for Cloud などの統合された拡張検出および応答 (XDR) ツールを使用して、Azure リソースに高品質のアラートを提供し、応答中の摩擦と手動の手順を最小限に抑えます
- ブルート フォース - Azure リソースに対する パスワード スプレー などのブルート フォース試行を監視する
セキュリティを無効にする敵対者を監視 - 多くの場合、人間が操作するランサムウェア (HumOR) 攻撃チェーンの一部です
イベント ログのクリア – 特に Azure VM のセキュリティ イベント ログと PowerShell 操作ログ
- (一部のグループに関連付けられている) セキュリティ ツールとコントロールの無効化。
市販のマルウェアを無視しない - ランサムウェア攻撃者は、ターゲット組織へのアクセス権をダーク マーケットから定期的に購入しています。
外部の専門家を統合 して、 Microsoft インシデント対応チームなどの専門知識を補完するプロセスに統合します。
Defender for Endpoint を使用して、侵害された Azure VM を迅速に分離します。
ランサムウェア攻撃への対応
インシデントの宣言
ランサムウェアの感染が成功したことが確認されたら、アナリストは、それが新しいインシデントを表しているかどうか、または既存のインシデントに関連しているかどうかを確認する必要があります。 現在開かれているチケットの中で、類似したインシデントを示すものを探します。 その場合は、チケットシステム内の現在のインシデントチケットを新しい情報で更新します。 新しいインシデントの場合は、関連するチケットシステムにインシデントを登録し、適切なチームまたはプロバイダーにエスカレーションして、インシデントを封じ込め軽減する必要があります。 ランサムウェア インシデントの管理には、複数の IT チームとセキュリティ チームによる対応が必要になる場合があることに注意してください。 可能であれば、ワークフローをガイドするために、チケットがランサムウェア インシデントとして明確に識別されていることを確認してください。
封じ込め/軽減
一般に、さまざまなサーバー/エンドポイントのマルウェア対策、電子メールのマルウェア対策、ネットワーク保護ソリューションは、既知のランサムウェアを自動的に含め、軽減するように構成する必要があります。 ただし、特定のランサムウェアバリアントがこのような保護をバイパスし、ターゲット システムに正常に感染できる場合があります。
Microsoft では、Azure のセキュリティに関する上位のベスト プラクティスに基づいて、インシデント対応プロセスの更新に役立つ広範なリソースを提供しています。
マルウェア対策システムによって実行される自動アクションが失敗したランサムウェアに関連する宣言されたインシデントを含めたり軽減したりするために推奨されるアクションを次に示します。
- 標準的なサポート プロセスを通じてマルウェア対策ベンダーと連携する
- マルウェア対策システムに、マルウェアに関連付けられているハッシュやその他の情報を手動で追加する
- マルウェア対策ベンダーの更新プログラムを適用する
- 修復可能になるまで、影響を受けたシステムを封じ込める
- 侵害されたアカウントを無効にする
- 根本原因分析を使用する
- 影響を受けたシステムに関連するパッチと構成の変更を適用する
- 内部および外部のコントロールを使用してランサムウェアの通信をブロックする
- キャッシュされたコンテンツを削除する
回復のための行程
Microsoft インシデント対応チームは、攻撃からユーザーを保護するのに役立ちます。
ランサムウェアのターゲットにとって、最初に侵害の原因となった根本的なセキュリティ上の問題を理解し、修正することが優先されるべきです。
Microsoft インシデント応答など、外部の専門家をプロセスに統合して専門知識を補完します。 Microsoft Incident Response は世界中のお客様と連携し、攻撃が発生する前に Azure 環境を保護および強化し、攻撃が発生したときに調査と修復を行います。
お客様は、Microsoft Defender ポータル内で、セキュリティの専門家と直接やり取りして、タイムリーで正確な回答を得ることができます。 専門家は、組織に影響を与える複雑な脅威を深く理解するために必要な分析情報を提供します。この分析情報は、アラートの問い合わせ、侵害された可能性のあるデバイス、疑わしいネットワーク接続の根本原因などから取得し、継続的な高度な脅威キャンペーンに関する追加の脅威インテリジェンスに提供されます。
Microsoft は、会社が安全な業務に戻ることができるように支援する準備ができています。
Microsoft は、何百ものセキュリティ侵害からの回復を実行し、実証済みの方法論を持っています。 より安全な状況に移行させるだけでなく、状況に反応するだけではない、長期的な戦略を検討する機会を提供することができます。
Microsoft では、高速ランサムウェア復旧サービスを提供しています。 この下で、ID サービスの復元、修復とセキュリティ強化、展開の監視など、すべての領域で支援が提供され、ランサムウェア攻撃のターゲットができるだけ短い期間で通常のビジネスに戻るのを支援します。
この高速ランサムウェア復旧サービスは、エンゲージメント期間中は "機密" として扱われます。 迅速なランサムウェア回復のエンゲージメントは、Microsoft インシデント対応チームによってのみ提供されます。 詳細については、 Azure のセキュリティに関する Microsoft Incident Response (要求時の連絡先) にお問い合わせください。
次は何ですか
すべての Microsoft プラットフォームとサービスにわたる包括的なランサムウェア保護ガイダンスについては、「 ランサムウェアや強要から組織を保護する」を参照してください。
「ランサムウェア攻撃に対する Azure の防御 ホワイト ペーパー」をご覧ください。
その他の Azure ランサムウェアに関する記事: