概要
ExaforceはMicrosoft Entra IDに接続して、あらゆる検出と調査にアイデンティティとアクセスコンテキストをもたらします。プラットフォームは、サインインアクティビティ、条件付きアクセスの決定、デバイスとコンプライアンスのシグナル、ディレクトリとグループの変更、ユーザーのリスク評価を取り込み、そのデータをアプリケーション、クラウド、エンドポイントのアクティビティと関連付けます。セキュリティチームは、誰が、どこで、どの程度の信頼のもとで何をしたのかを一元的に把握できます。
仕組み
Exaforceは、Entra IDの最小権限アプリケーションを使用してインストールし、Azure Event Hubを使用してIDログとアクティビティログへのアクセス権限を要求し、このテレメトリをプラットフォームに安全にストリーミングします。サインイン、条件付きアクセスの結果、デバイスの状態、ポリシー評価など、忠実度の高いEntra IDイベントが数分以内にExaforceに流れ、相関と分析が行われます。このプラットフォームは、Entra IDのユーザーとグループを、開発者プラットフォーム、クラウドコンソール、生産性スイート、エンドポイントのアカウントにマッピングし、独自の分析とID保護やサインインリスクなどのMicrosoftシグナルを融合させて、ノイズを抑えながら正確な検出を行います。Exaforce は Event Hub から直接ログを取り込むことで、すべての ID イベントについてリアルタイムの可視性、ガイド付きの調査、豊富なコンテキストを提供します。
コア機能
Exaforceは、エンタープライズアイデンティティグラフのスパインとしてEntra IDを使用しています。Entra ID のユーザーを他のシステムのアカウントと結び付け、デバイスとネットワークのコンテキストを関連付け、雇用状況やチームメンバーシップなどのビジネスメタデータを追加します。このプラットフォームは、異常なセッション作成、要因の誤用、危険な新しいデバイス、新しい場所や自律システムからのサインインの異常、突然の権限やグループの変更などの検出を行います。Microsoft Signalsは、既知の不正アドレスと自動化パターンに関する最新のインテリジェンスにより、各調査結果をさらに充実させます。アナリストは、調査から離れることなく ID、アプリケーション、ネットワークの各ビューをピボットできます。
検出された攻撃の例
Exaforceは、パスワードステップを通過したがマルチファクタステップで停止した脅威アクターを頻繁に傍受します。このプラットフォームは、素早いプッシュプロンプト、繰り返される拒否、一貫性のないデバイス動作を追跡することで、多要素疲労キャンペーンを特定します。ノイズの多いアドレスによる大量のログインエラーを相互に関連付けることで、パスワードのスプレーアクティビティを特定し、それらのソースからの繰り返しの試みを自動的に抑制します。こうした振る舞いが発生すると、Exaforce はそれらを対象の ID、危険にさらされているアプリケーション、関係する地域に関連付けて、適切な対策を推奨します。
レスポンスアクション
セキュリティチームは、セキュリティ侵害が疑われる場合、ユーザーまたはグループのマルチファクターをリセットできます。アカウントの乗っ取りを抑えるために、パスワードをリセットしたり、セッションを無効にしたりすることができます。アドレスや範囲がスプレーや自動不正行為に使用された場合、そのアドレスや範囲をブロックできます。オプションのレスポンス権限により承認制のアクションが可能になるため、チームは統制と監査機能を活用して迅速に行動できます。
継続的な姿勢とリスク評価
アクティビティの相関関係に加えて、ExaforceはIDポスチャを継続的に評価して、Entra環境内の構成と運用上のリスクを検出します。これらのポスチャ調査結果には、ユーザーが多要素認証を受けていない、権限昇格が可能なユーザー、90日間などの長期間パスワードのローテーションが行われていないアカウント、危険にさらされる可能性のある非アクティブな Azure AD アプリケーションなどの問題が含まれます。これらのリスク検出は、チームが悪用される前に弱点を特定して修正するのに役立ちます。
メリット
ID コンテキストにより、アラートを理解するまでの時間が短縮され、誤検出が減少します。ツール間の相関関係により、ユーザーの行動とリスクの全体像を把握できます。自動化により、検知から封じ込めまでの道のりが短縮されます。継続的なポスチャ評価により、ポリシーとベストプラクティスの整合性が保たれ、リスクが軽減されます。
