Engineering

MDE編④ – Microsoft Defender for Endpoint のアラート検出と対処機能

Microsoft Defender for Endpoint については全5回のブログで機能をご紹介しています。
MDE編① – 脅威と脆弱性の管理機能を解説!

MDE編② – 攻撃面縮小(ASR)ルールを徹底解説!Intuneによる設定方法と動作確認手順

MDE編③ – ふるまい検知による高度な脅威とマルウェアの保護機能をご紹介

MDE編④ Microsoft Defender for Endpoint のアラート検出と対処機能

MDE編⑤ – Microsoft Defender for Endpoint の自動調査と修復機能

はじめに

Microsoft Defender for Endpoint の自動対応機能は、脅威を検出するだけでなく、即座に対応する能力を備えています。これにより、攻撃を未然に防ぎ、被害を最小限に抑えることが可能です。例えば、疑わしいファイルやプロセスが検出された場合、自動的に隔離され、さらに詳細分析が行われます。このプロセスは、企業のセキュリティチームの負担を軽減することが可能です。
さらに、この自動対応機能は、日々更新され続けるマイクロソフトの脅威データベース(後述のIOCとIOA)を利用しており最新の脅威を精度高く防ぐことができます。
今回のブログではそんなEDRとしての機能をご紹介します。

IOCとIOAとは?

  • IOC (Indicator of Compromise): 既知の攻撃のデータベース。過去に攻撃に使用された情報がデータベースとして登録されており、攻撃を受けた時に残された痕跡を照合することで、攻撃を検知することが可能です。こちらは侵害された後の「事後対応」を目的とした対応と復旧に利用されます。具体的には、マルウェアのハッシュやファイル名、既知の脆弱性、攻撃に利用されたIPアドレスなどが含まれます。
  • IOA (Indicator of Attack): 未知の攻撃のデータベース。こちらは攻撃の侵害前の「事前対応」を目的とした検知を行います。異常なユーザー活動、ネットワークトラフィックの異常、予期しないシステム変更、特定の攻撃パターンなど攻撃の試みを示す兆候が含まれます。IOAは、攻撃が成功する前に早期に検出し、対処するために使用されます。

Microsoft Defender の高度な検出機能

Microsoft Defender for Endpoint は IOCとIOAの両方を用いてアラートを検知する仕組みを備えています。一見問題のない行為でも、一連の行動を関連付けて判断することで悪意のある行為かどうかの判定が可能です。

端末に対するアクション

管理者はMicrosoft Defender for Endpointのコンソールより特定の端末に対してアクションを実行することが可能です。主に以下のアクションが可能です。

  • 自動調査
  • ライブ応答セッション
  • 調査パッケージの収集
  • ウイルススキャンの実行
  • アプリの実行制限
  • ネットワークからの分離

今回いくつかのアクションついてご紹介します。
アクションはMicrosoft Defenderポータル > アセット > デバイスから対象のデバイスを開き「…」から実行可能です。

調査パッケージ

「調査パッケージの収集」をクリックします。
対象のコンピューターから調査用のログを収集して、現状把握やフォレンジック解析に利用することが可能です。

ネットワークからの分離

「デバイスを分離」をクリックします。
対象のコンピューターのネットワーク通信の遮断が可能です。この際MDEとの通信は許可されます。またOutlookやTeamsの通信は許可するといったオプションも可能です。

ライブ応答レスポンス

端末にリモートシェル接続し、デバイスにポータルからアクセスが可能です。
詳細な調査作業を行うことができるだけでなく、緊急時にもリアルタイムで対応を行うことができます。
デバイスの詳細ページから「ライブ応答セッションを開始する」をクリックします。

利用できるコマンドは公式ドキュメントをご参照ください。
Microsoft Defender for Endpoint でライブ応答を使用してデバイス上のエンティティを調査する – Microsoft Defender for Endpoint | Microsoft Learn

ファイルに対するアクション

管理者はコンソールから特定のファイルへアクションが可能です。感染の拡大防止やファイルの分析調査を実施する目的で利用されます。主に以下のアクションが可能です。

  • ファイルの検疫
  • インジケーターの追加
  • ファイルのダウンロード
  • 詳細分析

特定のプログラムの停止、ブロック

特定のファイルやプログラムに対して、対象のデバイス上で動作を停止させることや、ブロックリストに登録が可能です。

ファイルの詳細分析

ファイルをダウンロードし中身を確認することや、サンプルとして送信し詳細分析を行うことも可能です。

まとめ

Microsoft Defender for Endpoint の自動対応機能は、企業のセキュリティ対策の負担を大幅に軽減することができます。対応は自動化、半自動化することができ、最新の脅威に迅速に対応できる体制が整います。さとりファクトリではMicrosoft Defender for Endpointの導入支援を行っていますのでお気軽にご相談ください。

                       

    

高橋 和輝

高橋 和輝

関連記事

コメント

この記事へのコメントはありません。

TOP