IT エンジニアのための流し読み M365 - Microsoft Defender for Endpoint 概要

勉強用資料 | Microsoft の正式見解ではありません
@takuyaot01
IT エンジニアのための流し読み M365
Microsoft Defender for Endpoint 概要

本資料について
IT エンジニア向けの勉強資料として公開しています
Microsoft の正式見解であったり、内容をコミットするものではございません。
仕様が変わったり、サポートされる情報が変化することもあることをご了承ください。
内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。
ただし、営業資料などのビジネス目的での使用はお控えください。m(_ _)m
@takuyaot01
太田卓也

1. 製品概要
2. 機能紹介
3. まとめ
ITエンジニアのための流し読み M365
Microsoft Defender for Endpoint

Microsoft Defender
for Endpoint
脅威の可視化と自動対処
クロスプラットフォーム対応
クラウドサービスを活用した
セキュリティの監視と保護
Microsoft 製品連携
ウイルス対策も管理
300 人までの企業向けバージョン

*EDR : Endpoint Detection and Response
以下の 4 機能を備えたソリューション
ウイルス対策ソフトが侵入防御が前提であるのに対し、
EDR は侵入されたときの対処を前提に考えられています。
現在はセキュリティ統合プラットフォームとして発展
EDR は多くの機能のうちの一つに
① セキュリティインシデントの検出
② セキュリティインシデントの調査
③ インシデントを封じ込め
④ エンドポイントを修復
Windows の Defender シリーズ例 :
◼ Microsoft Defender ウイルス対策 (従来のウイルス対策)
◼ Microsoft Defender ファイアウォール (パーソナルファイウォール)
◼ Microsoft Defender SmartScreen (危険な Web サイトからの保護)
◼ Windows Defender Application Control (アプリ実行制御)
◼ Microsoft Defender Credential Guard (資格情報保護)
◼ Microsoft Defender Application Guard (仮想ブラウザ)
◼ Microsoft Defender for Endpoint (EDR & セキュリティ統合監視)
Microsoft 365 の Defender シリーズ例 :
◼ Microsoft 365 Defender
◼ Microsoft Defender for Endpoint
◼ Microsoft Defender for Office 365
◼ Microsoft Defender for Identity
以前は Defender はウイルス対策製品でしたが、
現在ではセキュリティ製品のシリーズ名になっています
Microsoft Defender for Endpoint とは？

OS標準機能で、ウィルス侵入前の防御ができるウィルス侵入後の検知・対応・修復もできる
防御
アラート検出と対処
次世代の保護
自動調査と修復
攻撃表面の縮小
脅威と脆弱性の管理
更に強化
OS 標準搭載ウイルス対策
Microsoft Defender for Endpoint とは？

クライアント
管理者
ダッシュボード閲覧
クライアントへの命令
ネットワーク分離
プロセス停止 etc
膨大なナレッジ情報
データ送信
Intelligent Security Graph
◼ プロセス
◼ レジストリ
◼ ファイル
◼ ネットワーク
セキュリティ業界からの情報 Microsoft のリサーチ結果
クラウドからの情報セキュリティ専門部隊の情報
Defender for Endpoint

プラットフォームを超えてエンドポイントセキュリティを提供
エンドポイント / サーバーモバイルデバイスネットワークデバイス
仮想デスクトップ
Azure Virtual Desktop

アラートの検出と対応
(EDR)
攻撃面の減少
セキュリティを強化
次世代の保護
(ウイルス対策)
Microsoft Defender
for Endpoint
セキュリティの統合管理
P1
P1
P2

機能 MDB P1 P2
集中管理 (レポート、トリアージ、応答アクション) ✓ ✓ ✓
次世代のマルウェア対策 ✓ ✓ ✓
デバイスコントロール (例：USB) ✓ ✓ ✓
エンドポイントファイアウォール ✓ ✓ ✓
攻撃面の縮小ルール ✓ ✓ ✓
ネットワーク保護 ✓ ✓ ✓
Web コントロール / カテゴリーベースの URL ブロック ✓ ✓ ✓
デバイスベースの条件付きアクセス ✓ ✓ ✓
ランサムウェアの軽減 ✓ ✓ ✓
API、SIEM コネクタ、カスタム TI ✓ ✓
アプリケーションコントロール ✓ ✓ ✓
エンドポイントでの検出と応答 (EDR) ✓ ✓
自動調査と修復 ✓ ✓
脅威と脆弱性の管理 ✓ ✓
脅威インテリジェンス (脅威分析) ✓ ✓
サンドボックス (Deep Analysis) ✓
脅威エキスパート ✓
Built-in. Cloud-powered.
Microsoft Defender
for Endpoint
エンドポイントの保護に重点をおいたプラン
一部機能のみ提供で M365 E3 にも含まれる
フル機能が使用できるセキュリティ統合管理
M365 E5 にも含まれる
Microsoft Defender for Endpoint P1
Microsoft Defender for Endpoint P2
Microsoft Defender for Business
300 シート未満のお客様に提供可能な
エンタープライズクラスの保護

◼ Windows 7, 8.1, 10, 11
◼ Windows Server 2008 R2, 2012 R2, 2016, 2019
◼ macOS (12, 11, 10.15), Linux
◼ Android (6.0 以上), iOS / iPadOS (12.0 以上)
ネットワーク接続
◼ 各 PC からサービス URL にアクセスできること
サポート OS
◼ Defender for Endpoint (クライアント or サーバー)
ライセンス
Microsoft Defender for Endpoint の最小要件
エンドポイント用 Microsoft Defender の最小要件 | Microsoft Docs

(EDR)
攻撃面の減少
次世代の保護
Microsoft Defender
for Endpoint

組織のセキュリティ状況をスコア化
改善のための処置・構成方法を提案
Microsoft セキュリティスコア
世界で起こる最新の脅威情報確認
組織内への影響・対策も確認可能
脅威の分析
3rd パーティーソフトウェアを含む
脆弱性への対応状況を確認可能
脆弱性の管理

(EDR)
次世代の保護
攻撃面の減少
Microsoft Defender
for Endpoint

ルールの例
◼ メールから実行可能ファイルのコンテンツをブロック
◼ Office のマクロから子プロセスの作成をブロック
◼ Office マクロからの Win32 API の呼び出しをブロック
◼ VBScript からダウンロードされた実行ファイルをブロック
◼ 暗号化されているスクリプトの実行をブロック
◼ ランサムウェアに対する高度な保護機能を使用する
◼ PSExec から送信されたブロックプロセスの作成
◼ USB から信頼されていないプロセスの実行をブロック
◼ Adobe Reader で子プロセスの作成をブロック
攻撃面の減少ルールによって
検出された侵害アクティビティを確認
検出された侵害アクティビティ
前提条件を満たしていなかったり、
誤まって構成されているデバイスを特定
デバイス構成の確認
攻撃面の縮小ルール
Windows OS の機能。悪用されることが多い
プログラムやソフトウェア動作を
15 のルールを基にブロックすることが可能。
MDE で状況を管理することが可能
マルウェア感染を防ぐために攻撃面の減少ルールを
使用する | Microsoft Docs
攻撃面の減少

有効にしたルールに基づいて、特定の動作をするとブロック

Web 保護
Web の脅威からコンピューターを保護することができ、
不要なコンテンツを規制することが可能
またその状況をアラートやレポートで確認
Web コンテンツのフィルター処理
ポリシーを構成して特定のカテゴリをブロックし、
そのカテゴリ内の URL にユーザーのアクセスを制限
Web 脅威の保護
ネットワーク保護の機能を利用して、
低評価ソースのサイトとの通信をブロック
また管理者が指定した IP アドレスや
URL/ドメインへのアクセスをブロックすることが可能
攻撃面の減少

(EDR)
攻撃面の減少次世代の保護
Microsoft Defender
for Endpoint

Microsoft Defender
ウイルス対策
行動な機械学習やクラウド型保護
MDE のコンポーネントの一部として
管理・連携が可能
Windows 10 / 11 標準搭載
次世代型ウイルス対策
膨大なビックデータの活用

クライアントとクラウドの
ペアMLモデルによる
ファイルレス攻撃と
インメモリ攻撃の検知
AMSI ペア ML
プロセスツリーや不審な
動作のシーケンスから
新たな脅威を特定
メタデータの解析で
新たな脅威を迅速
に阻止
未知のファイルを
サンドボックスで実行し、
新たなマルウェアを捕捉
専門家が作成した
ルールで脅威をブロック
直接的に、あるいは連
想的に、評判の悪い脅
威を捕捉
ファイルレス攻撃や
インメモリ攻撃を検出
悪意のあるネットワーク
活動を捕捉
メモリ上で動作する
悪意のあるコードを検出
マルウェアの亜種や類似した
特徴を持つ新種を捕捉
疑わしい実行シーケンスなど、
悪意のある動作を特定
実行時にどのような
挙動を示すかによって
ファイルを評価
クライアントベースのML
モデルにより、新たな脅
威や未知の脅威を発見
マルチクラス、ディープニューラ
ルネットワーク分類により、
新しいマルウェアを検出
ファイル分類 ML
振る舞いベース ML
メタデータベース ML デトネーションベース ML スマートルール
レピュテーション ML
次世代保護のエンジン

ウイルス対策でのアラートの検知や
EDR と連動した対応が可能
アラート / インシデントの管理
ウイルス対策のスキャンの実行を
リモートで開始して修復が可能
ウイルス対策スキャンを実行
ウイルス対策の定義ファイルの更新や
正常動作しているかを確認可能
ウイルス対策の状態確認
次世代の保護 (ウイルス対策)

(EDR)
Microsoft Defender
for Endpoint

トリアージと調査
アラートされた内容を把握する
違反の範囲を拡大する
豊富なサポートデータ＆ツール
デバイスのアクティビティを調査する
アラート検出と対処 (EDR)

インシデント
ストーリーの再構築
インシデントの範囲
高忠実度、低ノイズ
エンドツーエンドの攻撃ストーリーを語る

◼ タグを管理する
◼ 追及を実行する
◼ デバイスを分離する
◼ アプリの実行を制限する
◼ ウィルス対策のスキャンを実行する
◼ 調査パッケージを収集
◼ Live Response セッションを開始する
◼ 自動調査の開始
◼ 脅威エキスパートに相談
デバイス対して対応アクションを実行
管理者は特定の PC にアクションの実施が可能
インシデント発生時の素早い対処で被害を最小限に
Microsoft Defender for Endpoint のデバイスで応答アクションを
実行する | Microsoft Docs

◼ 停止及びファイルの検疫
◼ インジケーターの追加
◼ ファイルをダウンロード
◼ 脅威エキスパートに相談
◼ アクションセンター
ファイルに対しての対応アクションを実行
管理者はより特定のファイルへアクションが可能
感染の拡大防止やファイルの分析調査を実施
Microsoft Defender for Endpoint のファイルに対して
応答アクションを実行する | Microsoft Docs

Live Response
リモートシェル接続を使用して、デバイスにアクセスが可能
詳細な調査作業を行うことができるだけでなく、
緊急時にもリアルタイムで対応を行うことができる
コマンド例説明
cd 現在のディレクトリを変更します。
dir ディレクトリ内のファイルとサブディレクトリの一覧が表示されます。
findfile デバイス上の特定の名前でファイルを検索します。
processes デバイスで実行されているすべてのプロセスを表示します。
registry レジストリ値を表示します。
analyze さまざまなエンジンを使用してエンティティを分析します。
getfile デバイスからファイルを取得します。
run デバイス上のライブラリから PowerShell スクリプトを実行します。
remediate 様々なエンティティに対して、修復アクションを実行します。
Microsoft Defender for Endpoint でライブ応答を使用して
デバイス上のエンティティを調査する | Microsoft Docs

(EDR)
Microsoft Defender
for Endpoint

自動調査
アラートを自動的に調査し、複雑な脅威を数分で修正
◼ アナリストが実行する理想的な手順を模倣
◼ ファイルまたはメモリベースの攻撃に有効
◼ 無制限のキャパシティで 24 時間 365 日動作
自動調査を使用して脅威を調査および修復する | Microsoft Docs

オートメーションレベル説明
Full - remediate threats automatically
完全に修復される脅威を自動的に行う
すべての修復操作が自動的に実行されます。
2020年8月16日以降に作成されデバイスグループが定義されていない Microsoft Defender ATP テナント
の場合、このオプションは推奨され、既定で選択されています。
Semi - require approval for core folders
主要なフォルダーの修復に対して準承認を必須にする
承認が必要なのは、Windows フォルダーや Program files フォルダーなどのオペレーティングシステムディレク
トリにあるファイルまたは実行可能ファイルの場合です。
他のすべてのフォルダーにあるファイルまたは実行可能ファイルは、必要に応じて自動的に修復されます。
Semi - require approval for non-temp folder
一時フォルダー以外の修復に対して承認を必須にする
承認が必要なのは、一時フォルダーに含まれていないファイルまたは実行可能ファイルの場合です。
ユーザーのダウンロードフォルダーやユーザーの temp フォルダーなど、一時フォルダー内のファイルまたは実行可能
ファイルが自動的に改善されます (必要な場合)。
Semi - require approval for all folders
任意の修復に対して準承認を必須にする
すべての修復アクションには承認が必要です。
2020年8月16日より前に作成され、デバイスグループが定義されていない Microsoft Defender ATP テナン
トの場合、既定ではこのオプションが選択されています。
No automated response
自動応答なし
デバイスでは、自動調査は実行されません。
*自動調査と修復機能が完全に無効になっているため、このオプションはお勧めできません。これにより、組織
のデバイスのセキュリティが低下します。 *
推奨
※ 自動対処で処理したものは「元に戻す」こともできますので、自動対処をお勧めしています。
自動調査と修復のレベル

❶ インシデントページでアラート確認 ❷ アラートをドリルダウンして詳細確認 ❸ デバイスやファイルにアクションを実施 ❹ インシデント / アラートのクローズ
◼ ダッシュボード
◼ インシデント
etc…
◼ アラート
◼ アラートの詳細ページ
◼ ファイルページ
◼ デバイスページ
etc…
手動によるオペレーションの場合
インシデント対応の流れ
セキュリティオペレーター

❶ インシデントページでアラート確認 ❷ アラートをドリルダウンして詳細確認 ❸ デバイスやファイルにアクションを実施 ❹ インシデント / アラートのクローズ
◼ ダッシュボード
etc…
◼ アラート
◼ アラートの詳細ページ
etc…
自動調査・対応の場合
インシデント対応の流れ
自動調査・対応
セキュリティオペレーター

Microsoft Defender
for Endpoint
脅威と脆弱性の管理攻撃面の減少次世代の保護
(EDR)

M365 製品間でデータを連携
統合された保護と機能連携
エンドポイントのセキュリティ状況
ネットワークや IoT デバイスにも対応
デバイスのインベントリ
脅威に対する保護状況のレポートや
正常動作や脆弱なデバイスの確認
各種レポート

Microsoft Endpoint Manager
シームレスな統合

Azure AD
Microsoft Defender
for Endpoint
Microsoft Defender
for Office 365
Microsoft Defender
for Cloud Apps
Microsoft Defender
for Identity
Intune
Microsoft Defender
for Cloud Apps
◼ 統合されたダッシュボードでの管理
◼ リスクレベルに応じたアクセス制御 (Azure AD + Intune)
◼ Microsoft Defender for Endpoint のセンサーを利用した、
クラウドアクセス監視・ブロック (MDCA)
M365 製品間でデータを連携することにより、統合された保護と、
製品をまたいだ知識と機能の新しいレイヤーを提供
セキュリティの統合管理 – Microsoft 365 製品との連携

38
XDR による集約化
攻撃の流れ

承認されたデバイス
承認された OS
承認された場所
3rd Party SaaS アプリ
Azure
多要素認証
ブロック
許可
ダウンロード制限等
危険なデバイス
危険な ID
ウイルスに感染！
Azure AD + Intune と連携した条件付きアクセス

❶ Defender for Cloud Apps で Zoom をブロック設定 ❷ Zoom の Web アクセスやアプリの通信がブロック！
Defender for Cloud Apps と連携したアプリブロック
※ MDE に連携され自動的にブロックリスト登録

専門家の深い知識による、
SOC への脅威分析のアドバイスを実施
※ 追加契約が必要となります。また英語での対応となります。
Microsoft 脅威エキスパート | Microsoft Docs
Microsoft 脅威エキスパート - ターゲット攻撃通知
人間の敵対的侵入、ハンズオンキーボード攻撃、サイバース
パイなどの高度な攻撃など、ネットワークに対する最も重要
な脅威を積極的に検出し通知します
Microsoft 脅威エキスパート – エキスパートオンデマンド
直接セキュリティ専門家にアラートの問い合わせやデバイスの
侵害、疑わしいネットワーク接続の原因など、組織に影響
を与える複雑な脅威のアドバイスを受けることができます

(EDR)
API - プラットフォームと接続
ツール
SIEM データ
アプリ
レポート
デバイス
API と統合

M365 製品間でデータを連携
統合された保護と機能連携
高度な追及
API エクスプローラーによるテストや
パートナーアプリケーション SIEM との連携
パートナーおよび API
Azure VM を利用した仮想評価ラボや
シミュレーションとチュートリアルを用意
評価ラボ

Microsoft Defender
for Endpoint
300 人までの企業向けバージョン
予防的な保護、ふるまい検知、自動化された調査と対応を含む
クラウドベースのエンドポイントセキュリティ統合プラットフォームサービス
◼ Windows に標準 & クロスプラットフォーム対応
◼ クラウドベースで最新の脅威を利用して常時監視
◼ EDR 機能だけではなく様々な機能とセキュリティの統合管理
◼ 脅威の可視化と自動調査・対応によるオペレーション補助
◼ Microsoft 製品との連携でさらなる有効活用

Q. 他社製のウイルス対策ソフトも使用できますか？
A. ウイルス対策ソフトは侵入や実行防止するのを目的としていますが、脅威発生後のいち早い検知と対処、セキュリティ
統合管理プラットフォームを目的としています。ウイルス対策ソフトと組み合わせての使用が前提となります。
Q. Microsoft Defender for Endpoint を試してみることはできますか？
Q. ウイルス対策ソフトととの違いはなんでしょう？
Q. Microsoft Defender for Endpoint の必要要件を教えてください
A. 組み合わせることが可能です。ただし一部機能 (ファイルの実行防止) などが使用できません。
Defender ウイルス対策が推奨とはなりますが、他社製のウイルス対策ソフトとの組み合わせも可能です。
A. Defender for Endpoint のライセンスおよび対応 OS、インターネット接続 (80/443) が必要です。
各クライアントからテナントにリアルタイムにデータが送信されます。(1 日平均 5 MB/台程度)
A. 可能です。
http://aka.ms/mdatp よりお申込みいただくことで 3 ヵ月の無料トライアルが可能です。
Microsoft Defender for Endpoint - FAQ

勉強用資料 | MS の正式見解ではありません
@takuyaot01
IT エンジニアのための流し読み M365
Microsoft Defender for Endpoint 概要
END

IT エンジニアのための 流し読み M365 - Microsoft Defender for Endpoint 概要

More Related Content

What's hot

Similar to IT エンジニアのための 流し読み M365 - Microsoft Defender for Endpoint 概要

More from TAKUYA OHTA