IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
7 likes3,261 views
IT エンジニア向けの Microsoft 365 関連の勉強用資料です。 Microsoft Defender ATPについて 2020 年 7 月現在の情報を簡単にまとめています。 ngsymm365
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
- 1. @takuyaot_ms IT エンジニアのための 流し読み Microsoft 365 入門!Microsoft Defender ATP
- 2. 本資料について 企業の IT エンジニア向けの勉強資料として公開しています Microsoft の正式見解であったり、内容をコミットするものではございません。 内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。 ただし、ビジネスでの使用はお控えください。m(_ _)m 太田 卓也 (オオタ タクヤ) Microsoft のテクニカルスペシャリスト M365 Security & Compliance 担当 @takuyaot_ms 最近は Twitter で情報を
- 3. ? Defender ATP の概要 ? Defender ATP の主な机能 ? Defender ATP と他製品の連携機能 ? まとめ?関連情報
- 4. *EDR : Endpoint Detection and Response 以下の 4 機能を備えたソリューション ウイルス対策ソフトが侵入防御が前提であるのに対し、 EDR は侵入されたときの対処を前提に考えられています。 以前は Defender はウイルス対策を目的とした製品でしたが、 現在ではセキュリティ製品のシリーズ名になっています。 Defender シリーズ例 : ? Windows Defender ウイルス対策 (従来のウイルス対策) ? Windows Defender ファイアウォール (パーソナルファイウォール) ? Windows Defender SmartScreen (危険な Web サイトからの保護) ? Windows Defender Device Guard (標的型攻撃からのデバイス保護) ? Windows Defender Credential Guard (標的型攻撃からの資格情報保護) ? Windows Defender Application Guard (仮想ブラウザ) ? Microsoft Defender ATP (EDR をはじめとしたセキュリティ統合監視?管理) ウイルス対策 Windows Defender ウイルス対策 EDR + セキュリティ管理 Microsoft Defender ATP Defender シリーズを組み合わせてセキュリティを統合管理が可能 ① セキュリティ インシデントの検出 ② セキュリティ インシデントの調査 ③ インシデントを封じ込め ④ エンドポイントを修復
- 5. Defender ATP
- 6. Microsoft Defender ATP の特徴 Windows に標準組み込み OS に組み込まれた挙動センサーによって、セキュリティ イベントや エンドポイントの挙動をログに詳しく記録。エージェントの展開?管 理も不要で、非常に高度なパフォーマンス基準に対応。 クラウド ベースのセキュリティ分析サービス Microsoft の広範なデータをエンドポイントから収集したデータと組み合わ せることで、異常な挙動や攻撃者の手法を検出し既知の攻撃との類似 点を特定。攻撃の痕跡 (IOA) 、挙動分析、機械学習のルールを組み 合わせて利用。 Microsoft とコミュニティの脅威インテリジェンス 脅威の検出をする Microsoft の専門部隊がデータを継続的に調査し、 新しい挙動パターンを特定して、収集したデータを過去の攻撃やセキュリ ティ コミュニティから収集した既存の侵入の痕跡 (IOC) と関連付け。
- 7. クライアント管理者 ダッシュボード閲覧 クライアントへの命令 ネットワーク分離 プロセス停止 etc 膨大なナレッジ情報 データ送信 Defender ATP お客様用テナント Intelligent Security Graph ? プロセス ? レジストリ ? ファイル ? ネットワーク セキュリティ業界からの情報 Microsoft のリサーチ結果 クラウドからの情報 セキュリティ専門部隊の情報 7
- 8. サービス URL
- 9. Defender ATP の優れている点 攻撃への耐性 Windows OS に組み込み込まれた挙動センサーを使用するため、 プロセスやサービス停止などによる攻撃を受けない。 メンテナンスフリー エージェントの展開不要、アップデートの管理不要。 Windows OS の毎月の更新プログラムを適用するのみ。 アップデートに伴う検証も不要 Windows にビルトインされてるから可能なこと 高パフォーマンス OS 標準のセンサーを利用するため負荷が非常に低い。 また通信データも最適化され、1 台あたり 1 日 5MB 程度。 Microsoft 365 セキュリティ製品連携 Windows セキュリティ製品はもちろん、Azure AD や Intune, MCAS や Office 365 といった様々な製品と連携
- 10. ? Defender ATP の概要 ? Defender ATP の主な机能 ? Defender ATP と他製品の連携機能 ? まとめ?関連情報
- 11. Microsoft Defender ATP の主な机能
- 13. Report セキュリティの傾向を可視化。脆弱な可能性があ る領域を特定し、必要なアクションを可視化 Threat & Vulnerability Management 端末の構成や 3rd Party ソフトウェア含む 既知の脆弱性情報を元に企業内のリスクを定量的 に可視化し、優先順位を付けた対策を示唆 Advanced Hunting クエリを活用してより詳細なデータの抽出が可能 特定の条件に合致するものなどサンプルのクエリも 併せて提供
- 15. Threats & Vulnerabilities Management 既知の脆弱性情報を元に企業内のリスクを定量的に可視化
- 16. Microsoft Defender ATP の主な机能
- 17. 攻撃者によって悪用されることが多いソフトウェア動作を 15 のルールを基にブロックすることが可能 ? メール クライアントと Web メールから実行可能ファイルのコンテンツをブロックする ? 子プロセスの作成をすべての Office アプリケーションでブロックする ? Office アプリケーションが実行可能ファイルのコンテンツを作成できないようにする ? Office アプリケーションが他のプロセスにコードを挿入できないようにする ? ダウンロードされた実行可能ファイルのコンテンツを、JavaScript または VBScript で起動できないようにする ? 暗号化されている可能性のあるスクリプトの実行をブロックする ? Office マクロからの Win32 API の呼び出しをブロックする ? 流行、年齢、または信頼できるリストの条件を満たしていない限り、実行可能ファイルをブロックする ? ランサムウェアに対する高度な保護機能を使用する ? Windows のローカルセキュリティ機関サブシステム (lsass.exe) からの資格情報の盗用をブロックする ? PSExec および WMI コマンドから送信されたブロックプロセスの作成 ? USB から実行される信頼されていないプロセスと未署名のプロセスをブロックする ? Office コミュニケーションアプリケーションによる子プロセスの作成を禁止する ? Adobe Reader で子プロセスを作成しないようにブロックする ? WMI イベントサブスクリプションによる持続性のブロック Attack surface reduction 規則を使用して攻撃のサーフェスを削減する https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft- defender-atp/attack-surface-reduction
- 20. Microsoft Defender ATP の主な机能
- 21. 高度な脅威とマルウェアをブロックして対処 ? ふるまい検知ベースのリアルタイム保護 ? ファイルベース及びファイルレスのマルウェアをブロック ? 信頼できるアプリケーションと信頼できないアプリケーション からの悪意ある活動を阻止 Defender ウイルス対策の制御やアラートの受け取りなど、 Defender ATP にて統合管理が可能
- 22. ウイルス対策のスキャンを実行する 対象となるデバイス上の Defender ウイルス対策のス キャンをリモートで開始し、マルウェアを特定して修復 することができる。 Defender ウイルス対策の状態確認 Defender ウイルス対策の定義ファイルが、 7 日間以上 アップデートされていないとレポートおよびリスクとして加算。 また、停止や正常にレポートしていない場合に確認が可能。
- 23. Microsoft Defender ATP の主な机能
- 24. ? タグを管理する ? 自動調査の開始 ? ライブ応答セッションを開始する ? 調査パッケージを収集する ? ウィルス対策のスキャンを実行する ? アプリの実行を制限する ? コンピューターを分離する ? 脅威の専門家に問い合わせる コンピューターに対して対応アクションを実行 管理者はコンソールより特定の PC にアクションの実施が可能 インシデント発生時の素早い対処で被害を最小限に コンピューターに対して対応アクションを実行する https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft- defender-atp/respond-machine-alerts
- 26. Live Response リモートシェル接続を使用して、デバイスにアクセスが可能 詳細な調査作業を行うことができるだけでなく、 緊急時にもリアルタイムで対応を行うことができる ライブ応答を使用してデバイス上のエンティティを調査する https://docs.microsoft.com/ja-jp/windows/security/threat- protection/microsoft-defender-atp/live-response コマンド例 説明 cd 現在のディレクトリを変更します。 dir ディレクトリ内のファイルとサブディレクトリの一覧が表示されます。 findfile デバイス上の特定の名前でファイルを検索します。 processes デバイスで実行されているすべてのプロセスを表示します。 registry レジストリ値を表示します。 analyze さまざまなエンジンを使用してエンティティを分析します。 getfile デバイスからファイルを取得します。 run デバイス上のライブラリから PowerShell スクリプトを実行します。 remediate 様々なエンティティに対して、修復アクションを実行します。
- 27. ? ファイルの停止と検疫 ? インジケーターの追加 ? ファイルをダウンロードする ? 詳細分析 ? 脅威の専門家に問い合わせる ファイルに対しての対応アクションを実行 管理者はコンソールより特定のファイルへアクションが可能 感染の拡大防止やファイルの分析調査を実施 ファイルに対して対応アクションを実行する https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft- defender-atp/respond-file-alerts
- 29. Microsoft Defender ATP の主な机能
- 30. Automated Investigation アラートを自動的に調査し、複雑な脅威を数分で修正。 セキュリティ オートメーションでの実績がある Hexadite 社の技術を Defender ATP の機能へ統合。
- 31. Defender ATPOffice 365 WORDファイルから EXE ファイルの生成と実行 decode-backdoor.exe ASEP レジストリへの登録 HKLM?Software?Microsoft?Windows?CurrentVersion?Run. Scheduled Task への登録 Schtaskexe xxxx. 攻撃者サーバーから EXE ファイルをダウンロード&実行 mimikatz.exe 攻撃者サーバーから EXE ファイルをダウンロード&実行 mcujpJRy.exe
- 32. WORDファイルから EXE ファイルの生成と実行 decode-backdoor.exe ASEP レジストリへの登録 HKLM?Software?Microsoft?Windows?CurrentVersion?Run. Scheduled Task への登録 Schtaskexe xxxx. 攻撃者サーバーから EXE ファイルをダウンロード&実行 mcujpJRy.exe 攻撃者サーバーから EXE ファイルをダウンロード&実行 mimikatz.exe Defender ATPOffice 365
- 33. Microsoft Defender ATP の主な机能
- 37. Microsoft Defender ATP の主な机能
- 42. Web 保護 Web の脅威からコンピューターを保護することができ、不要 なコンテンツを規制することが可能。 またその状況をアラートやレポートで確認 Web コンテンツのフィルター処理 (Preview) ポリシーを構成して特定のカテゴリをブロックし、そのカテゴリ 内の URL にユーザーのアクセスを制限 別途パートナーデータプロバイダーと契約が必要。 Web 脅威の保護 ネットワーク保護の機能を利用して、低評価ソースのサイトとの 通信をブロック。また管理者が指定した IP アドレスや URL/ドメ インへのアクセスをブロックすることが可能
- 43. Web コンテンツのフィルター処理 (Preview) コンテンツカテゴリに基づいて web サイトへのアクセスを追跡し、 規制することが可能。 Web コンテンツのフィルター処理 https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft- defender-atp/web-content-filtering ? ロケーションにとらわれず、ポリシーの適用が可能 ? ルールは Machine Group 単位で指定 ? カテゴリは外部パートナーのものを使用 Cyren の URL フィルターには70のカテゴリ 悪質のサイトからの防御のみならず、コンプライアンスの規制、帯域幅の 使用、またはその他の懸念により、問題が発生する可能性を未然に防 ぎ、またインシデント発生時の素早い対処で被害を最小限に。 現在 Cyren 社 の提供する脅威インテリジェンスサービスを利用可能。
- 45. ? Defender ATP の概要 ? Defender ATP の主な机能 ? Defender ATP と他製品の連携機能 ? まとめ?関連情報
- 47. Microsoft Threat Protection 1 つのダッシュボードで M365 セキュリティの脅威の相関性を確認することが可能
- 48. 条件付きアクセスとの連携 HIGH MEDIUM LOW NONE クラウドアプリ 社内アプリ アクセス不可 脅威レベル アクセス可 HIGH MEDIUM LOW NONE 自動調査及び対処 Microsoft Defender ATP の脅威リスクレベルを基に アプリへのアクセスを制御 自動対応化により対処が行われ、アクセス可能に ? Intune : デバイス コンプライアンス ポリシー ? Azure AD : 条件付きアクセス 脅威レベル 条件付きアクセスを有効にしてユーザー、デバイス、データの保護を強化する https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows- defender-atp/conditional-access-windows-defender-advanced-threat-protection Defender ATP intuneAzure AD
- 49. Defender ATP を導入したクライアントから、Cloud App Security へ直接データを送信可能。 クライアントのクラウドサービスへの接続の監視?管理が可能に ファイアウォール プロキシ Defender ATP ログコレクター アクセスログ Cloud App Security PC ユーザー IP アドレス Defender ATP Cloud App Security ? エンドポイントから直接収集 (VPN やプロキシの経由不要) ? 承認されていないクラウドアプリへのアクセスをブロックする ? 未承認のアプリへのアクセスをアラート Microsoft Defender Advanced Threat Protection と Microsoft Cloud App Security の統合 https://docs.microsoft.com/ja-jp/cloud-app-security/wdatp-integration
- 50. ① Cloud App Security で Zoom をブロック設定 Defender ATP Cloud App Security ② Defender ATP に連携され自動的にブロックリスト登録 ③ Zoom の Web アクセスやアプリの通信がブロック!
- 51. ? Defender ATP の概要 ? Defender ATP の主な机能 ? Defender ATP と他製品の連携機能 ? まとめ?関連情報
- 52. Defender ATP Microsoft Defender Advanced Threat Protection https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender- atp/microsoft-defender-advanced-threat-protection
- 53. Q. 他社製のウイルス対策ソフトを使っているんだけど? A. ウイルス対策ソフトは侵入や実行防止するのを目的としていますが、Defender ATP などEDR にカテゴリされる製品は 脅威発生後のいち早い検知と対処を目的としています。ウイルス対策ソフトと組み合わせての使用が前提となります。 Q. Microsoft Defender ATP を試してみることはできる? Q. ウイルス対策ソフトとは違うの? Q. Microsoft Defender ATP の必要要件は? A. 組み合わせることが可能です。ただし一部機能 (ファイルの実行防止) などが使用できません。 Defender ウイルス対策が推奨とはなりますが、他社製のウイルス対策ソフトとの組み合わせも可能です。 A. Defender ATP のライセンスおよび Windows 10 をはじめとした対応 OS、インターネット接続 (80/443) が必要です。 各クライアントからお客様テナントにリアルタイムにデータが送信されます。(1 日平均 5 MB/台程度) A. 可能です。 https://aka.ms/wdatp よりお申込みいただくことで、60 日間の無料トライアルが可能です。
- 54. 4分でわかる!Windows Defender ATP 機能紹介編 https://youtu.be/tC6wnVI3ziA 8分でわかる! Windows Defender ウィルス対策 https://youtu.be/QDzZan8sr_4 Microsoft Defender ATP Windows Defender ウイルス対策 4分でわかる!EDR と Windows Defender ATP 概要編 https://youtu.be/FED9QFOrvN4 4分でわかる!Windows Defender ATP 特徴?構成編 https://youtu.be/JmU93Dyn5k0 短時間でポイントが確認できますので、よろしければ参考にしてください。
- 55. @takuyaot_ms IT エンジニアのための 流し読み Microsoft 365 入門!Microsoft Defender ATP END