Microsoft Defender for Endpoint については全5回のブログで機能をご紹介しています。
MDE編① – 脅威と脆弱性の管理機能を解説!
MDE編② – 攻撃面縮小(ASR)ルールを徹底解説!Intuneによる設定方法と動作確認手順
MDE編③ – ふるまい検知による高度な脅威とマルウェアの保護機能をご紹介
MDE編④ Microsoft Defender for Endpoint のアラート検出と対処機能
MDE編⑤ – Microsoft Defender for Endpoint の自動調査と修復機能
はじめに
自動調査と修復機能の概要
Microsoft Defender for Endpointは、企業のセキュリティを強化するための統合エンドポイントセキュリティソリューションです。脅威の検出、調査、修復を自動化することで、セキュリティ管理を効率化し、企業のIT部門の負担を軽減します。
今回は、MDEの機能のうち、自動調査と修復機能についてご紹介します。
自動調査とは?
自動調査機能は、脅威が検出された際に自動的に調査を開始し、必要に応じて修復を行います。これにより、脅威の影響を最小限に抑え、迅速な対応が可能となります。また調査後に、脅威を自動的に修正することができます。自動調査んは以下のような特徴があります。
- アナリストが実行する理想的な手順を模倣: 自動調査機能は、セキュリティアナリストが通常行う調査手順を模倣し、迅速かつ正確に脅威を特定します。
- ファイルまたはメモリベースの攻撃に有効: この機能は、ファイルベースの攻撃だけでなく、メモリベースの攻撃にも対応可能です。これにより、幅広い種類の脅威に対して効果的に対処できます。
- 24時間365日動作: 自動調査機能は、常にシステムを監視し、脅威が検出されると即座に対応します。これにより、企業は常に最新のセキュリティ状態を維持することができます。
自動調査のレベル
自動調査は要件に応じて自動化のレベルを設定することが可能です。
推奨は「完全 – 自動的な脅威の修復」となります。自動対処で処理したものは元に戻すことも可能ですので、自動対処が推奨とされています。
| オートメーションレベル | 説明 |
| Full – 自動的な脅威の修復 | すべての修復操作が自動的に実行されます。 |
| Semi – すべてのフォルダーの承認が必要 | すべてのフォルダに対する修復操作に承認が必要です。 |
| Semi – コア フォルダーの修復に承認が必要 | 承認が必要なのはWindowsフォルダやProgramFilesといったオペレーティングシステムのディレクトリにあるファイルの場合です。 上記以外の場合は、必要に応じて自動的に実行されます。 |
| Semi – 一時フォルダー以外の修復に承認が必要 | 承認が必要なのは、一時フォルダーに含まれていないファイルの場合です。 ユーザーのダウンロードやtempフォルダといった一時フォルダ内のファイルは自動的に修復されます。 |
| 自動応答なし | デバイス上で自動調査は実行されません。 ※完全に無効になっているため、このオプションは推奨されません。 |
インシデント対応自動化の流れ
インシデントの調査から対応の流れを手動で実施した場合と自動化した場合のオペレーションを比較してみましょう。
手動によるオペレーションの場合
アナリストが手動で対応する場合、Defender ポータル上でインシデントを調査し、デバイスやファイルに対する対応を実施し、クローズするという流れになります。
Semi Autoによるオペレーションの場合
Semiにすると、調査まで自動で行い、デバイスやファイルに対するアクションを人が手動で許可するという手順になります。
Full Autoによるオペレーションの場合
Fullにした場合、インシデント発生後に自動調査を行い、ファイルの検疫・削除やレジストリ、タスクスケジューラーの修復といったアクションの実行まで自動で行います。
MITRE ATT&CKの攻撃プロセスにおける対応イメージ
攻撃者は、端末に対してファイルを送り込み、「偵察活動」と「ファイルのダウンロード」を行い、不正アクセス環境を維持しようと試みます。その後、他端末への展開、認証情報の搾取を行いながら、データを盗んだり破壊工作を行います。このような攻撃者の一連のプロセスは米国の非営利団体MITREにより、MITRE ATT&CKというフレームワークにされています。
このような攻撃者の各プロセスにおいて、自動調査と修復機能を利用することで、インシデントを未然に防ぎます。
コメント