Microsoft Defender for Endpoint については全5回のブログで機能をご紹介しています。
MDE編① – 脅威と脆弱性の管理機能を解説!
MDE編② – 攻撃面縮小(ASR)ルールを徹底解説!Intuneによる設定方法と動作確認手順
MDE編③ – ふるまい検知による高度な脅威とマルウェアの保護機能をご紹介
MDE編④ Microsoft Defender for Endpoint のアラート検出と対処機能
MDE編⑤ – Microsoft Defender for Endpoint の自動調査と修復機能
はじめに
Microsoft Defender for Endpointは、Windowsに標準搭載されているMicrosoft Defender ウイルス対策の制御やアラートの受け取りが可能でポータル上から統合管理ができます。
今回はこのMicrosoft Defender ウイルス対策の次世代の保護機能をご紹介します。
Defenderウイルス対策とは
Windowsに組み込まれている高度なふるまい検知ベースのリアルタイム保護機能を備えたウイルス対策ソフトです。以下の機能を提供しています
・ふるまい検知ベースのリアルタイム保護
・ファイルベースおよびファイルレスのマルウェアをブロック
・信頼できるアプリケーションと信頼できないアプリケーションから悪意のある活動を保護
ふるまい検知とは
最新のマルウェアは、ポリモーフィック型マルウェアと呼ばれ、感染した端末毎に自身を異なる暗号鍵で暗号化することで検出されないようなステルス技術が用いられています。
このようなマルウェアは従来のシグネチャーベースのパターンマッチングのアンチウイルスソフトでは検出ができません。
このようなマルウェアに対して、ふるまい検知はウイルスやマルウェアの動作パターンを監視し、異常な動きを検出することでシステムを保護します。
具体的にMicrosoft Defender ウイルス対策では以下の機能を提供しています。
・リアルタイム保護: システムの動作をリアルタイムで監視し、疑わしい動作があれば即座に検出します。
・クラウドベースの保護:クラウドから最新の脅威情報を取得し、迅速に検出します。
・機械学習: 過去のデータを基にしたの機械学習アルゴリズムを使用して、新しい脅威を予測し、検出します。
・自動対処:異常が検出された場合、自動的に対処(隔離、削除)し、感染の拡大を防ぎます。
Intuneによるスキャンの設定
①Intune管理センター > エンドポイントセキュリティ > ウイルス対策 を開きポリシーを作成します。
②構成設定で基本的なウイルス対策の機能を有効にします。
今回クラウド保護を使ったデモンストレーションを行うため、「クラウド保護を許可する」を設定して下さい。
デモンストレーション
①今回、マイクロソフト社から提供されているクラウド保護のリアルタイム保護のデモンストレーションを実施してみます。
クラウド提供の保護デモをMicrosoft Defender for Endpointする – Microsoft Defender for Endpoint | Microsoft Learn
②テスト用のシミュレーションファイルをダウンロードします。(悪意のあるファイルではなく、ウイルスをシミュレーションするファイルです)
hxxps://aka.ms/ioavtest
ダウンロードがブロックされた場合、「…」から保存をクリックします。
SmartScreenでブロックされた場合も「保持する」をクリックします。
③Microsoft Defenderウイルス対策” でウイルスが見つかり、削除されたことがわかります。
Windowsセキュリティセンターの保護の履歴からも、脅威がブロックされたことがわかります。
コメント