ゴールデンチケット攻撃とは？

ゴールデンチケット攻撃とは？

攻撃者がドメインのKRBTGTパスワードハッシュを窃取します。その直後、攻撃者はKerberosチケットを偽造し、今後10年間にわたりドメイン管理者権限を自らに付与します。ドメインコントローラーはこの偽造チケットを完全に信頼し、正規の認証と区別できません。

これがゴールデンチケット攻撃です。攻撃者は盗まれたKRBTGTアカウントのパスワードハッシュを用いてTicket-Granting Ticket（TGT）を偽造し、暗号的に有効な認証情報を作成して標準的なセキュリティ制御を回避します。チケットがKRBTGTアカウントの長期キーで暗号化されている場合、KDCのチケット発行サービスはこれを正規ユーザーからの正当なリクエストとみなします。ドメインコントローラーは、暗号署名が数学的に同一であるため、偽造チケットと正規チケットを区別できません。

CISAは、国家主体のキャンペーンや ランサムウェアオペレーションによる認証情報窃取やKerberosベースの攻撃を継続的に文書化しており、この手法は企業が直面する最も持続的なポストエクスプロイト攻撃の一つとなっています。

攻撃者がゴールデンチケット攻撃を実行するには、3つの前提条件があります。ドメインコントローラーまたは同等の特権システムへの管理者アクセス、NTDS.ditデータベースまたはLSASSプロセスメモリからのKRBTGTアカウントハッシュの抽出、ドメインFQDN・ドメインSID・対象ユーザー情報の収集です。これらの条件が揃うと、攻撃者はネットワーク外部でチケットを偽造でき、ドメインコントローラーとの通信は不要です。

ゴールデンチケットとサイバーセキュリティの関係

ゴールデンチケット攻撃は、ネットワーク境界防御や エンドポイントセキュリティに重点を置いたセキュリティ制御を回避する、アイデンティティベースの攻撃です。初期侵害を突破し、攻撃チェーンの認証情報アクセス段階に進んだ攻撃者に対抗する必要があります。

標準的なセキュリティ制御は、偽造チケットが暗号的に正規の認証イベントと同一に見えるため機能しません。シグネチャベースの検出ではゴールデンチケットを特定できません。多要素認証も無効です。パスワードポリシーも意味を持ちません。既存のゴールデンチケットを無効化するには、KRBTGTパスワードを2回リセットする必要があります。

MITRE ATT&CKはこの手法を3つのタクティクスに同時に分類しています: 

• Credential Access (T1558.001),
• ラテラルムーブメント（ドメイン全体のリソースアクセスを可能にする）、
• 永続化（チケットが数年間有効） 

CISAのアドバイザリは、ロシアの国家支援APTアクターがWindows Active Directoryサーバーを 権限昇格のために標的とし、Akiraなどのランサムウェアオペレーションが 認証情報抽出ツールを用いてKerberos認証基盤を積極的に攻撃していることを確認しています。

ゴールデンチケット攻撃に対抗するには、攻撃者が悪用するKerberosコンポーネントを理解することが重要です。

ゴールデンチケット攻撃が組織に与える影響

ゴールデンチケット攻撃が成功すると、攻撃者はActive Directory環境内のあらゆるリソースへの無制限アクセスを獲得します。任意のユーザーとして認証し、任意のシステムにアクセスし、標準的なセキュリティアラートを発生させることなく、数か月から数年にわたりこのアクセスを維持できます。

ドメイン全体のリソースアクセス

偽造TGTを持つ攻撃者は、環境内を自由に移動します。知的財産を含むファイルサーバー、業務用メールシステム、顧客データベース、バックアップ基盤などにアクセスします。セキュリティ制御は正規のKerberos認証として認識し、不正アクセスを検知できません。

長期的な永続アクセス

ゴールデンチケットはバックドアとして機能し、通常のインシデント対応では除去できません。侵害アカウントのパスワードリセットは効果がなく、ユーザーアカウントの無効化でもアクセスは失われません。偽造チケットは、全ドメインコントローラーでKRBTGTパスワードを2回リセットするまで有効なままであり、多くの組織はサービス停止リスクからこの対応を遅らせがちです。

データ流出と規制リスク

ドメインへの無制限アクセスにより、大規模なデータ窃取が可能となります。攻撃者は顧客データベース、財務記録、従業員情報、機密ビジネスデータを体系的に抽出できます。GDPR、HIPAA、PCI-DSSなどの規制対象組織では、ゴールデンチケット侵害が通知義務や規制罰則の対象となることが一般的です。

運用・復旧コスト

ゴールデンチケット攻撃からの復旧には多大なリソースが必要です。全ドメインコントローラーでKRBTGTパスワードを2回リセットし、既存のKerberosチケットを失効させ、特権アカウントの認証情報をリセットし、初期侵害経路のフォレンジック分析を実施し、場合によってはクリーンなバックアップからドメインコントローラーを再構築する必要があります。多くの組織は、ゴールデンチケットの使用を初回展開から数週間または数か月後に発見し、調査範囲が拡大します。

これらの影響により、ゴールデンチケット攻撃は最も深刻なActive Directory侵害の一つとなっています。防御には攻撃のコアコンポーネントの理解が不可欠です。

ゴールデンチケット攻撃のコアコンポーネント

ゴールデンチケット攻撃は、KRBTGTサービスアカウント、TGT、PAC構造体、KDCという4つのKerberosコンポーネントを悪用します。

• KRBTGTアカウント: KRBTGTアカウントはドメインのKerberosサービスアカウントです。全ドメインコントローラーは、そのパスワードハッシュを用いて全TGTを暗号化・署名します。攻撃者がこのハッシュを抽出すると、ドメイン内の全認証チケットを検証する暗号鍵を手に入れたことになります。
• Ticket-Granting Ticket (TGT): TGTは、ユーザーのログイン成功後にKDCが発行する認証情報として機能します。ユーザーはTGTを提示して特定リソースのサービスチケットを要求します。通常のTGTは有効期間が限定されていますが、偽造ゴールデンチケットは任意の有効期限を設定できます。
• Privilege Attribute Certificate (PAC): PACはKerberosチケット内に埋め込まれた認可データで、ユーザーのグループメンバーシップや権限、アクセス権を指定します。攻撃者はPACデータを偽造し、実際のアカウント権限に関係なくドメイン管理者権限を付与します。
• Key Distribution Center (KDC): KDCはドメインコントローラー上で動作し、全Kerberos認証リクエストを処理します。KRBTGTアカウントハッシュを用いてチケットの暗号署名を検証し、チケットを認証します。

これら4つのコンポーネントは、ゴールデンチケット攻撃時に特定の順序で連携します。

ゴールデンチケット偽造に用いられる手法

攻撃者は、KRBTGTハッシュの抽出とTGT偽造のために、専用ツールと確立された手法を使用します。これらの手法を理解することで、攻撃者が偽造プロセスを完了する前に認証情報窃取の試みを特定できます。

KRBTGTハッシュ抽出手法

攻撃者は主に2つの経路でKRBTGTパスワードハッシュを抽出します。1つ目は、全Active Directory認証情報が保存されているドメインコントローラー上のNTDS.ditデータベースファイルを標的とするものです。ntdsutil、secretsdump、ボリュームシャドウコピーなどのツールでオフライン抽出が可能です。2つ目は、ドメインコントローラー上のLSASSプロセスメモリを標的とし、認証情報が平文または容易に復号可能な形式で存在する場合です。

一般的な攻撃ツール

MITRE ATT&CKはゴールデンチケット攻撃に用いられる複数のツールを文書化しています：

• Mimikatz：最も広く文書化されているツールで、kerberos::goldenモジュールによりKRBTGT抽出とチケット偽造の両方が可能
• Rubeus：C#実装で、セキュリティ制御の回避性が高い同等機能を提供
• Impacket：Pythonベースのツールキットで、ticketer.pyによるTGT生成を含む
• Sliver：Kerberosチケット操作機能を内蔵したコマンド＆コントロールフレームワーク

オフライン偽造プロセス

KRBTGTハッシュ抽出後、攻撃者はネットワーク外部のシステム上で偽造チケットを作成します。ドメインSID、対象ユーザー名、グループメンバーシップ（通常はDomain Admins）、任意の有効期間を指定します。この偽造プロセスにドメインコントローラーとの通信は不要であり、攻撃者がチケットをインジェクトして認証を開始するまでネットワーク監視では検知できません。

これらの手法を認識することで、攻撃の兆候となるインジケーターを監視する戦略を構築できます。

ゴールデンチケット攻撃のインジケーター

ゴールデンチケット攻撃は、認証ログ、ネットワークトラフィック、エンドポイントテレメトリに識別可能なパターンを生成します。セキュリティチームは、通常のKerberos動作から逸脱する異常を監視することで、これらのインジケーターを発見できます。

認証ログの異常

Windowsセキュリティイベントログは、ゴールデンチケット使用を示すKerberosアクティビティを記録します。イベントID 4768、4769、4770はTGTリクエスト、サービスチケットリクエスト、チケット更新を記録します。異常に長い有効期間のチケット、予期しないIPアドレスからの認証イベント、ユーザーの通常の役割やアクセスパターンと一致しないサービスリクエストに注目してください。

暗号ダウングレードの兆候

偽造チケットは、古い攻撃ツールがデフォルトで使用するため、RC4暗号を用いることが多いです。RC4を無効化しAES暗号のみを許可している環境でRC4暗号化されたKerberosチケットが検出された場合、高度なインジケーターとなります。SIEMでRC4使用時にアラートを発報するよう設定してください。

認証情報アクセスの前兆

ゴールデンチケット展開には事前の認証情報窃取が必要です。LSASSプロセスへの異常アクセス、NTDS.ditファイル操作、ドメインコントローラーでのボリュームシャドウコピー作成、既知の認証情報抽出ツールの実行など、前提となる攻撃段階を監視してください。認証情報アクセスの試みを検知することで、チケット偽造の監視よりも早期警告が可能です。

行動ベースラインからの逸脱

ユーザーは職務に応じて予測可能なリソースに認証します。ゴールデンチケット使用時は、確立されたベースラインから逸脱した認証パターンが発生します。ユーザーアカウントが突然通常の範囲外のシステムにサービスチケットを要求したり、見慣れないネットワークセグメントから認証したり、異常な時間帯に機密リソースへアクセスした場合は即時調査が必要です。

これらのインジケーターは、防御側の監視・対応能力の構築に役立ちます。

ゴールデンチケット攻撃の仕組み

ゴールデンチケット攻撃は、攻撃者がまずドメインコントローラーへの管理者アクセスを獲得し、KRBTGTアカウントのパスワードハッシュを抽出した後にTGTを偽造する、ポストエクスプロイト手法です。

• フェーズ1-2：初期侵害とKRBTGT抽出：攻撃者はフィッシング、脆弱性悪用、認証情報窃取などで初期アクセスを確立します。 CISA Advisory AA23-250aは、APTアクターがZoho ManageEngineのCVE-2022-47966を悪用し、LSASSメモリダンプで全 Active Directoryドメインの認証情報を収集した事例を記録しています。攻撃者はMimikatz、Rubeus、SliverなどのツールでKRBTGTパスワードハッシュを抽出し、外部システムに持ち出します。
• フェーズ3：チケット偽造：攻撃者は盗まれたKRBTGTハッシュ、ドメインSID、対象ユーザー情報を用いてオフラインで偽造TGTを作成します。PACデータ構造に任意の権限（通常はDomain Adminsグループ）を指定し、有効期間を延長し、盗まれたKRBTGTハッシュで偽造チケットを暗号化します。
• フェーズ4-5：ラテラルムーブメントと永続アクセス：攻撃者は偽造TGTを侵害システムのメモリにインジェクトし、ドメイン全体でサービスチケットを要求します。KDCは偽造TGTの暗号署名を検証し、サービスチケットを発行します。攻撃者は偽造認証情報でファイルサーバー、データベース、メール基盤、バックアップシステムに認証します。 KRBTGTパスワードの2回リセットが不可欠なのは、ドメインコントローラーが後方互換性のため現在と前回のパスワードハッシュを保持しているためです。

これらの攻撃段階を認識することで、監視・対応戦略を構築できます。

ゴールデンチケット攻撃の検知方法

ゴールデンチケット攻撃の検知には、Kerberos認証パターンの監視と、セキュリティ基盤全体での異常の相関が必要です。シグネチャベースのツールでは偽造チケットを特定できません。検知戦略は、行動分析と認証異常に重点を置く必要があります。

KerberosイベントのSIEM監視設定

Windowsセキュリティイベントログは、ゴールデンチケット検知の主要データソースです。SIEMで イベントID 4768、4769、4770、4771（TGTリクエスト、サービスチケットリクエスト、チケット更新、認証失敗）を収集・分析してください。有効期間がドメインポリシーを超えるチケット、通常のユーザーパターン外のIPアドレスからの認証リクエスト、ユーザーベースラインと一致しないサービスチケットリクエストを相関ルールで検知します。

暗号ダウングレードの監視

多くのゴールデンチケット攻撃ツールは、チケット偽造時にRC4暗号をデフォルトで使用します。AESのみを強制している環境でRC4暗号化チケットが検出された場合、偽造の高信頼インジケーターとなります。Kerberos認証イベントでRC4暗号タイプのアラートを設定し、全ての発生を即時調査してください。

認証情報アクセスの追跡

ゴールデンチケット攻撃にはKRBTGTハッシュの事前抽出が必要です。ドメインコントローラーで以下の認証情報窃取段階を監視してください：

• LSASSプロセスメモリへの異常アクセス
• NTDS.ditデータベースファイル操作や抽出試行
• システム状態を対象としたボリュームシャドウコピー作成
• Mimikatzやsecretsdumpなど既知の認証情報抽出ツールの実行

認証情報窃取の試みを検知することで、偽造チケット使用の監視よりも早期警告が可能です。

行動分析の導入

各ユーザーアカウントの通常のリソースアクセスパターン、勤務時間、ネットワークロケーションに基づく認証ベースラインを確立してください。行動分析プラットフォームは、職務外の機密システムへの突然の認証や、見慣れないネットワークセグメントからのアクセスなど、ベースラインからの逸脱を特定します。これらの異常は、個々の認証イベントが正規に見えてもゴールデンチケット使用を示すことがあります。

エンドポイント・アイデンティティテレメトリの相関

効果的な検知には、エンドポイント、アイデンティティ、ネットワークの各データの相関が必要です。ドメインコントローラー上のLSASSメモリアクセスイベントと、その後のKerberos認証異常を結び付けて、認証情報窃取からチケット偽造へのシーケンスを特定します。 アイデンティティセキュリティプラットフォームは、この相関を自動化し、攻撃チェーンの進行をアラートします。

検知能力は、予防・対応戦略の基盤となります。

ゴールデンチケット攻撃の防止・緩和方法

ゴールデンチケット攻撃の防止には、KRBTGTアカウントの保護、ドメインコントローラーアクセスの強化、認証情報侵害後も攻撃者の移動を制限する制御の実装が必要です。

定期的なKRBTGTパスワードローテーションの実施

KRBTGTパスワードリセットの定期プロトコルを確立してください。Active Directoryは後方互換性のため現在と前回のパスワードハッシュを保持するため、既存のゴールデンチケットを完全に無効化するには2回のリセットが必要です。多くの組織は四半期ごとにローテーションを実施しています。

ドメインコントローラーアクセスの強化

特権アクセスワークステーションやジャンプサーバーによる管理者アクセスの制限とセッション監視を実施してください。ドメインコントローラーと直接通信できるシステムをネットワークセグメンテーションで制限します。ドメインコントローラー上にエンドポイント検知・対応ソリューションを導入し、認証情報抽出ツールやLSASS・NTDS.ditを標的とした不審プロセスを監視します。

認証情報衛生の徹底

管理者の特権アカウントと非特権アカウントを分離してください。ドメイン管理者認証情報は、認証情報窃取リスクの高い通常のワークステーションで使用しないでください。自動的に期限切れとなる時間制限付き管理者アクセスを導入し、認証情報抽出の機会を減らします。

レガシー認証プロトコルの無効化

Kerberos認証でRC4暗号を無効化し、ドメイン全体でAES暗号を強制してください。これにより、攻撃者がRC4をデフォルトとする古いツールを使用した場合、高精度な検知シグナルとなります。可能な限りNTLMなど他のレガシープロトコルも無効化し、認証情報窃取の攻撃面を縮小します。

ディセプション技術の導入

偽の認証情報キャッシュやハニーアカウントを作成し、偵察段階の攻撃者を誘引するディセプション型防御を導入してください。攻撃者がこれらのデコイにアクセスした場合、即座に侵害試行のアラートを受信できます。この手法は、攻撃者がKRBTGTハッシュに到達する前の認証情報窃取活動を特定します。

インシデント対応プレイブックの準備

ゴールデンチケットインシデント対応手順を文書化し、訓練してください。プレイブックにはKRBTGTパスワード2回リセットプロトコル、既存Kerberosチケットの失効手順、特権アカウント認証情報リセット手順、初期侵害経路特定のフォレンジック分析ガイドラインを含めてください。迅速な実行が攻撃者の永続化を制限します。

これらの予防制御は、検知能力と連携して環境全体のゴールデンチケットリスクを低減します。

ゴールデンチケットの仕組み理解が重要な理由

ゴールデンチケット攻撃の仕組みを理解することで、セキュリティチームはシグネチャベース検知から行動分析への監視戦略の転換が可能となります。シグネチャベースツールは、偽造チケットが暗号的に有効なため機能しません。行動分析は、異常なTGTリクエスト、予期しないIPアドレスからのサービスチケット操作、異常な有効期間のチケットなど、異常なKerberos認証パターンを特定します。

この理解は、インシデント対応の即応性向上にもつながります。プレイブックにはKRBTGTパスワード2回リセットプロトコル、LSASSメモリダンプやNTDS.dit抽出のフォレンジック分析手順、ドメイン全体アクセスシナリオの封じ込め戦略を含めてください。

攻撃の前提条件も、セキュリティチームの検知機会を生み出します。

ゴールデンチケット攻撃の制約

攻撃者はゴールデンチケット攻撃を実行する前にKRBTGTアカウントのパスワードハッシュを取得する必要があり、防御側に検知機会を提供します。

• ドメインコントローラーアクセス要件：攻撃者はまずドメインコントローラーまたは同等の特権システムを侵害し、KRBTGTハッシュを抽出する必要があります。これは認証情報アクセス段階での検知機会となります。ドメインコントローラーへの異常アクセス、LSASSプロセス操作、NTDS.ditデータベースアクセスパターンを監視してください。
• 暗号的異常インジケーター：偽造チケットは識別可能な特徴を示すことが多いです。RC4を無効化した環境でのRC4暗号使用は高信頼シグナルです。過度に長い有効期間、PACデータ構造の欠落、予期しないIPアドレスからの認証イベントも検知ポイントとなります。
• ポストコンプロマイズ分類：ゴールデンチケットは多段階攻撃チェーンのポストエクスプロイト手法として機能します。攻撃者は、ネットワークアクセス確立、偵察、権限昇格、KRBTGTハッシュ抽出を経なければチケット偽造の価値を得られません。多層防御戦略は、ゴールデンチケット使用の監視だけでなく、初期侵害シーケンスの防止に重点を置くべきです。

これらの制約にもかかわらず、セキュリティチームは防御を弱める誤りを犯しがちです。

ゴールデンチケット攻撃防御における一般的な誤り

セキュリティチームは、ゴールデンチケット攻撃防御で4つの一般的な誤りを犯します。

1. KRBTGTパスワードの単回リセット：KRBTGTパスワードを1回だけリセットし、既存のゴールデンチケットが無効化されたと誤認します。Active Directoryは現在と前回のパスワードハッシュを保持するため、単回リセットでは以前のハッシュが有効なままとなり、攻撃者の偽造チケットは引き続き機能します。 KRBTGTパスワードを2回リセットして初めて偽造チケットを完全に無効化できます。
2. シグネチャベース検知への依存：シグネチャベースのセキュリティ制御でパターンマッチングによるゴールデンチケット検知を期待します。セキュリティツールは、正規のKRBTGTキーで暗号化された偽造チケットと正規チケットを暗号的に区別できません。異常なKerberosパターンを監視する行動分析が必要です。
3. イベントログ保持期間の不足：Windowsセキュリティイベントログの保持期間が不十分で、ゴールデンチケットフォレンジックに必要な長期調査ができません。攻撃者はKRBTGTハッシュ抽出から実際の悪用まで待機する場合があります。セキュリティチームは、初期侵害と後続のチケット使用を相関できるよう、長期ログ保持が必要です。
4. 前提攻撃段階の無視：ゴールデンチケット使用の特定だけに注力し、必須の認証情報窃取段階を無視します。 CISA Advisory AA23-250aは、APTアクターが管理者アクセス取得前にLSASSメモリダンプを実施した事例を記録しています。LSASSプロセスへの異常な操作や既知の認証情報抽出ツールの実行を監視し、認証情報抽出段階を特定してください。

これらの誤りを回避するには、証拠に基づくセキュリティ制御の実装が必要です。

ゴールデンチケット攻撃防御のベストプラクティス

ゴールデンチケット攻撃に対抗するには、KRBTGTアカウント管理、Kerberos認証監視、迅速なインシデント対応を中心としたセキュリティ制御の実装が必要です。

• KRBTGTアカウントパスワードを2回リセット：2回リセットプロトコルに従い、定期的なKRBTGTパスワードリセットスケジュールを確立してください。Active Directoryは 後方互換性のため現在と前回のKRBTGTパスワードハッシュを保持するため、単回リセットでは既存のゴールデンチケットが有効なままです。2回目のリセットで全偽造チケットが完全に無効化されます。
• Kerberos監視のためのSIEM設定：Security Information and Event Management（SIEM）システムで、WindowsイベントID 4768、4769、4770、4771の異常パターンを検知できるよう設定してください。監視対象は以下の通りです：

1. AESのみの環境でのRC4暗号使用
2. 異常な有効期間のチケット
3. 予期しないIPアドレスからの認証イベント
4. ユーザーロールベースラインと一致しないサービスリクエスト

異常なファイルアクセスと異常なKerberosサービスチケットリクエストを相関してください。 アイデンティティセキュリティプラットフォームである Singularity Identityは、認証情報窃取や権限昇格の試みをリアルタイムで検知し、攻撃者がActive Directory基盤を標的とした際にアラートを発報します。

• ドメインコントローラーアクセスの保護：特権アクセス管理制御を実装し、ドメインコントローラー管理者アクセスを専用ジャンプボックスに制限し、セッション監視を行ってください。ドメインコントローラー上にエンドポイント検知・対応（EDR）ソリューションを導入し、認証情報ダンピングツールを監視します。
• 行動分析の導入：Kerberosチケットの偽造やリプレイ試行を、異常な認証シーケンスの監視で特定する分析を導入してください。 Singularity XDRはこの相関を自動化し、認証異常とエンドポイントイベントを結び付けてゴールデンチケット攻撃チェーンを再構築します。
• 長期ログ保持の維持：Windowsセキュリティイベントログの保持期間を延長し、攻撃チェーン全体のフォレンジック調査を可能にしてください。Kerberos認証ログをSIEMプラットフォームに集約し、認証異常の相関ルールを適用します。

これらの制御を手動で実装するには多大なリソースが必要です。セキュリティプラットフォームは多くの作業を自動化できます。

SentinelOneでゴールデンチケット攻撃を阻止

SentinelOneのSingularity™ Platformは、環境全体でゴールデンチケット攻撃を特定するための行動分析と自律的な相関機能を提供します。

Singularity™ XDRは、2024年MITRE ATT&CK Evaluationsにおいて全ベンダー中央値より 88%少ないアラートで100%の検知精度を達成しました。これにより、セキュリティチームは誤検知の調査ではなく実際の脅威への対応に集中できます。プラットフォームのStoryline技術は、LSASSメモリアクセスイベントとその後のKerberos認証異常を結び付け、認証情報窃取からチケット偽造への攻撃チェーンを機械的な速度で再構築します。

Singularity™ Identityは、Active Directoryとクラウドアイデンティティプロバイダー（Entra ID、Okta、Ping、SecureAuth、Duoを含む）の両方をカバーするハイブリッド環境で防御を提供します。プラットフォームは認証情報窃取の試みを検知し、ラテラルムーブメントを阻止し、ディセプション技術で攻撃者をAD基盤から逸らしつつ、調査用テレメトリを生成します。

Purple AIは、自然言語クエリとAI分析で脅威ハンティングを加速します。ゴールデンチケット活動の調査時、Purple AIは複数イベントにわたる認証インジケーターを相関し、誤検知を減らしつつ調査を迅速化します。

SentinelOne Wayfinder Managed Detection and Responseは、社内専門アナリストによる24時間365日のマネージドサービスです。アナリストは自動検知に人的コンテキストを加え、フォレンジック調査や効果的なインシデント対応を実施します。MDR Eliteは統合的なインシデント対応準備を提供し、緊急時の対応力を強化します。IRRリテイナーやオンデマンドDFIR専門家へのアクセスも可能です。

SentinelOne Singularity™ Network Discoveryは、ネットワークディスカバリーとネットワーク上の不正デバイスの特定が可能です。発見後に脅威を特定・隔離・封じ込め、ラテラルムーブメントを防止します。未管理デバイスの発見とワンクリック隔離、未知デバイスと管理ホスト間の通信監視も可能です。ポリシーの構築やサブネット単位での切り替えも行えます。

SentinelOne Cloud Workload Securityは、クラウドインスタンス（AWS、Azure、Google Cloud）やKubernetesコンテナを保護し、ドメイン参加型ハイブリッド基盤経由でクラウド環境に拡大するゴールデンチケット攻撃にも対応します。

SentinelOneの行動AIエンジン（静的・実行時）は、認証情報窃取を阻止し、チケット偽造前の異常認証パターンを検知することで、攻撃の初期段階で阻止します。

SentinelOneのデモをリクエストし、これらの機能が貴社環境でゴールデンチケット攻撃をどのように阻止するかをご確認ください。