概要
エクサフォースはMicrosoft Entra IDに接続し、すべての検出および調査にアイデンティティおよびアクセスのコンテキストを提供します。プラットフォームは、サインインアクティビティ、条件付きアクセスの判定、デバイスおよびコンプライアンスのシグナル、ディレクトリやグループの変更、ユーザーリスク評価を取り込み、それらのデータをアプリケーション、クラウド、エンドポイントのアクティビティと相関させます。セキュリティチームは、誰が、どこから、どのレベルの信頼性で、何を実行したのかを一元的に把握できます。
仕組み
エクサフォースは、Entra ID内の最小権限アプリケーションとしてインストールされ、アイデンティティおよびアクティビティログへのアクセス権限を要求します。Azure Event Hubを使用して、このテレメトリをプラットフォームへ安全にストリーミングします。数分以内に、サインイン、条件付きアクセスの結果、デバイスポスチャ、ポリシー評価といった高精度なEntra IDイベントがエクサフォースに取り込まれ、相関分析と解析が行われます。
プラットフォームは、Entra IDのユーザーおよびグループを、開発者プラットフォーム、クラウドコンソール、生産性スイート、エンドポイント上のアカウントと関連付けます。さらに、独自の分析とMicrosoftのIdentity Protectionやサインインリスクといったシグナルを組み合わせることで、ノイズを抑えつつ高精度な検出を実現します。Event Hub経由でログを直接取り込むことにより、すべてのアイデンティティイベントに対してリアルタイムの可視性、ガイド付き調査、豊富なコンテキストを提供します。
コア機能
エクサフォースは、エンタープライズのアイデンティティグラフの中核としてEntra IDを活用します。Entra IDのユーザーを他システムのアカウントと結び付け、デバイスやネットワークのコンテキストを相関させ、雇用状況やチーム所属といったビジネスメタデータを付加します。
プラットフォームは、異常なセッション作成、認証要素の不正利用、リスクの高い新規デバイス、新しい場所や自律システムからのサインイン異常、突発的な権限変更やグループ変更などを検出します。Microsoftのシグナルにより、既知の悪性アドレスや自動化パターンに関する最新インテリジェンスで各検出結果が強化されます。アナリストは、調査画面を離れることなく、アイデンティティ・アプリケーション・ネットワークの各ビューを横断的に分析できます。
検出された攻撃の例
エクサフォースは、パスワード認証を突破したものの、多要素認証で阻止された攻撃者を頻繁に検知します。また、短時間でのプッシュ通知の連続送信、繰り返される拒否、不一致なデバイス挙動を追跡することで、多要素認証疲労(MFA fatigue)攻撃を特定します。
さらに、ノイズの多いアドレスからの大量ログイン失敗を相関分析することで、パスワードスプレー攻撃を検出し、これらの送信元からの試行を自動的に抑制します。こうした挙動が確認された場合、対象となるアイデンティティ、影響を受けるアプリケーション、関係する地域と関連付けた上で、適切な対応を推奨します。
対応アクション
セキュリティチームは、侵害が疑われる場合にユーザーまたはグループの多要素認証をリセットできます。また、パスワードのリセットやセッションの無効化により、アカウント乗っ取りの被害を封じ込めることが可能です。スプレー攻撃や自動化された不正行為に使用されるアドレスやアドレス範囲をブロックすることもできます。
オプションの対応権限により、承認フロー付きのアクションを実行できるため、統制と監査性を確保しながら迅速な対応が可能です。
継続的なポスチャとリスク評価
アクティビティの相関に加え、エクサフォースはアイデンティティポスチャを継続的に評価し、Entra環境における設定および運用上のリスクを検出します。これには、多要素認証が未設定のユーザー、権限昇格が可能なユーザー、90日以上パスワードが更新されていないアカウント、リスクをもたらす可能性のある非アクティブなAzure ADアプリケーションなどが含まれます。
これらのリスク検出により、悪用される前に脆弱性を特定し、対処することが可能になります。
メリット
アイデンティティコンテキストにより、アラート理解までの時間が短縮され、誤検知が削減されます。ツール間の相関により、ユーザーの行動とリスクの全体像を把握できます。自動化によって検出から封じ込めまでの時間が短縮されます。継続的なポスチャ評価により、ポリシーをベストプラクティスに沿って維持し、リスクを低減します。
