マイクロソフト「Azure Sentinel」にランサムウェア検知機能「Fusion Detection」

Jonathan Greig (ZDNET.com) 翻訳校正: 編集部

2021-08-10 12:37

 Microsoftは米国時間8月9日、「Microsoft Azure」の顧客に向け、新たなランサムウェア検知機能「Fusion Detection for Ransomware」を提供すると発表した。この機能は、「ランサムウェアのアクティビティーに関連する可能性のある」アクションを検知した際に、セキュリティチームに向けてアラートを発出する。

 MicrosoftのSylvie Liu氏はブログで、AzureチームはMicrosoft Threat Intelligence Center(MSTIC)と連携し、この機能を生み出したとしている。Fusionは機械学習(ML)を活用し、攻撃につながる可能性のある進行中のアクティビティーなどを検知し、セキュリティチームに警告を発する。

 このシステムは、「特定のタイムフレーム内で、防御回避段階および実行段階」にあるランサムウェアアクティビティーを検知した際にアラートを発出する。

 ランサムウェアのアクティビティーが検出され、Fusionの機械学習モデルに関連付けられれば、「Azure Sentinel」ワークスペース内で、「検出されたランサムウェアアクティビティーに関連する可能性のある複数のアラート」とされる深刻度の高いインシデントがトリガーされるとLiu氏は説明している。

 これらのアラートによって、どのデバイスやホストでアクションが検知され、何が起こったのかが判断できる。そしてFusionシステムは、「Azure Defender」(「Azure Security Center」)や「Microsoft Defender for Endpoint」「Microsoft Defender for Identity」「Microsoft Cloud App Security」のほか、Azure Sentinelによってスケジュール化された分析ルールからのデータを用いて相関関係を分析する。

 Liu氏は、PurpleSecのレポートで、2020年にランサムウェア攻撃のコストは200億ドル(約2兆2000億円)に及び、ダウンタイムは200%以上増加したと推定されていると指摘した。

 Liu氏は、「まず、そのような攻撃を防ぐことが理想的なソリューションとなるかもしれないが、『ランサムウェア・アズ・ア・サービス(RaaS)』や人が操作するランサムウェアといった新たなトレンドとともに、攻撃の範囲が拡大し、高度化が進んでいる。攻撃者はゆっくりとステルス性のある手法を使ってネットワークを侵害しており、まずそれらを検出することが難しくなっている」と述べている。

 「ランサムウェア攻撃に関しては、より多くのマシン、あるいはネットワーク全体に影響が及ぶ事態を防止する上で最も大切な要因は、時間をおいて他にはない。攻撃者のさまざまなアクティビティーに関する詳細をセキュリティアナリストに知らせるためのアラートの発出が早ければ早いほど、より迅速にランサムウェア攻撃を食い止め、被害を修復できるようになる」(Liu氏)

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]