IT エンジニアのための流し読み Windows - Microsoft Defender Exploit Guard

勉強用資料 | Microsoft の正式見解ではありません
@takuyaot01
IT エンジニアのための流し読み Windows
Microsoft Defender Exploit Guard

本資料について
IT エンジニア向けの勉強資料として公開しています
Microsoft の正式見解であったり、内容をコミットするものではございません。
仕様が変わったり、サポートされる情報が変化することもあることをご了承ください。
内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。
ただし、営業資料などのビジネス目的での使用はお控えください。m(_ _)m
@takuyaot01
太田卓也

1. Microsoft Defender Exploit Guard の概要
2. 攻撃面の縮小 (Attack Surface Reduction)
3. エクスプロイト保護 (Exploit Protection)
4. 制御されたフォルダーアクセス (Controlled Folder Access)
5. ネットワーク保護 (Network Protection)
6. 動作確認と検証
7. Microsoft 製品との連携
8. まとめ
ITエンジニアのための流し読み Windows

リカバリーとレスポンス
すべての防御が失敗すると仮定する
脅威を検出し攻撃のプロセスを混乱させる迅速な対応
攻撃者がアクセスできないバックアップからデータを復元
ダメージを最小限に抑える防御
そもそも最前線の防御は失敗すると仮定する
攻撃者コストを上げて攻撃が成立する前提環境を破壊
ラテラルムーブメントによる感染拡大を防止
攻撃の最前線でブロックする
攻撃者のコストを引き上げることで、攻撃の開始自体を防ぐ
マルウェア対策の 3 つの戦略

攻撃面の縮小
(Attack Surface Reduction : ASR)
エクスプロイト保護
(Exploit Protection)
ネットワーク保護
(Network Protection)
制御されたフォルダーアクセス
(Controlled Folder Access)
アプリケーションを悪意ある攻撃から保護
攻撃の脅威を抑制。安全性と生産性の両立を実現するためのエンドポイントセキュリティ機能

O F F
M A C H I N E
O N
M A C H I N E
P R E - B R E A C H
Microsoft Defender
Antivirus Behavioral
Engine
(ふるまい検知)
▪ プロセスツリーの視覚化
▪ アーティファクト検索機
能
▪ マシンの隔離と検疫
Microsoft
Defender for
Endpoint
(EDR)
▪ 強化されたふるまいおよ
び機械学習による検出
▪ メモリスキャン機能
O365 (Email)
▪ メールを媒介した
攻撃脅威の縮小
▪ 高度なサンドボックス解析
Edge (ブラウザ)
▪ ブラウザの堅牢化
▪ スクリプトを介した攻撃
手法の制限
▪ アプリケーション
コンテナの堅牢化
▪ レピュテーションベースのダ
ウンロード制限
▪ SmartScreen
P O S T- B R E A C H
O F F
M A C H I N E
Microsoft Defender
Antivirus
(ファイルスキャン)
▪ 改善されたML
およびヒューリスティック
保護
▪ クラウドベースのアクティ
ブアップデート
▪ 拡張されたエクスプロイ
トキットの検出
One Drive
(クラウドストレージ)
▪ クラウド内の信頼できる
バージョン管理された
ファイルストレージ
▪ 特定時点のファイル回
復
Application Guard
(仮想化)
▪ アプリケーションの仮想
化による隔離
デバイスロックダウン
▪ Windows 10S
▪ Device Guard
▪ Credential Guard
▪ VSM
Microsoft
Defender Exploit
Guard
(HIPS)
攻撃面の縮小
• 攻撃表面を縮小の対象をカス
タマイズするためのルールセット
不正なアプリケーション実行
からの保護
・メモリベースの
エクスプロイトを対策
制御された
フォルダーアクセス
信頼されていない
アプリの保護された
フォルダへのアクセスを禁止
• 不審な外部送信を
ブロック
アプリ制御
(ホワイトリスト)
▪ ホワイトリストを用いたアプリ
ケーション制御

メモリ
☠️攻撃ツール☠️ ☠️攻撃ツール☠️
☠️
☠️ 任意の
攻撃コード
☠️
6 不正なデータ送信やリモート操作
1 メールやリンクでの侵入 2 メモリ等に攻撃コードを配置 3 脆弱性をつくためのオペレーション
4 権限の昇格や攻撃コードの実行
5 不正な参照やデータの破壊

◼ 攻撃面の縮小(Attack Surface Reduction)
– Windows OS の機能。悪用されることが多いプログラムやソフトウェア動作を 15 のルールを基にブロックすることが可能
◼ 制限の対象
– ファイルをダウンロードまたは実行しようとする実行可能ファイル
– Office アプリや Web メールで使用されるスクリプト
– 暗号化されたスクリプトや、疑わしいスクリプト
– 日常の作業で通常は開始されない、アプリが引き受けた動作
脅威や悪用とは関係なく
悪意のある行動を阻止
ユーザーの生産性を損なわない
攻撃表面を縮小の
特徴とメリット
攻撃面の縮小 (Attack Surface Reduction)とは

1 メールやリンクでの侵入
ASR による保護を有効化することにより
Office のマクロ
各種スクリプト
Web メール
などを介した
不正な操作がブロックされる

有効にしたルールに基づいて、特定の動作をするとブロック

安全なファイル
不審なファイル
Office ファイル (例. docx, docm, pptx, pptm, etc)
マクロを含む Office ファイル
コンテンツを実行する
マクロを含むOffice ファイル
データのダウンロードや
コンテンツを実行する
マクロを含むOffice ファイル
Attack Surface Reduction
侵入のきっかけとなる部分を制御可能に
制御の一例：Office ファイルの潜在的な脅威の判定と制限の判断
マクロの有無やマクロ内での処理内容を判断して、一般的な脅威の要因となるかどうかを判定

ASR で制御される対象
• Office アプリケーションが実行可能なコンテンツの作成を制限
• Office アプリケーションの子プロセスの起動をブロック
• Office アプリケーションのプロセスへの投入をブロック
• Office のマクロコードから Win32 のインポートをブロック
• 難読化されたマクロコードをブロック
• 難読化された悪質な JavaScript, VBScript, および PowerShell コードをブロック
• インターネットからダウンロードしたペイロードを実行しないように JavaScript と VBScript をブロック
• 電子メール（webmail / mail-client）を介して侵入する実行可能なコンテンツの実行をブロック
防御の対象

◼ 定義済みのルールセット
– GUID でルールが識別され、設定時はGUIDベースで対象を定義
◼ 適用対象 Office 製品
– Microsoft Office 365 , Microsoft Office 2016 , Microsoft Office 2013 , Microsoft Office 2010
◼ 適用対象の Office アプリ
– Microsoft Word , Microsoft Excel , Microsoft PowerPoint , Microsoft OneNote
ルール名 GUID
メールクライアントと Web メールから実行可能ファイルのコンテンツをブロックする BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Office アプリケーションが子プロセスを作成できないようにする D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Office アプリケーションが実行可能ファイルのコンテンツを作成できないようにする 3B576869-A4EC-4529-8536-B80A7769E899
Office アプリケーションが他のプロセスにコードを挿入できないようにする 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
ダウンロードされた実行可能ファイルのコンテンツを、JavaScript または VBScript で起動できないようにする D3E037E1-3EB8-44C8-A917-57927947596D
暗号化されている可能性のあるスクリプトの実行をブロックする 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Office マクロからの Win32 API 呼び出しをブロックする 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
定義可能なルール

有効化するルールと除外されるアプリケーション、および動作ルールを登録
コンピューターの構成 – 管理用テンプレート –
Microsoft Defender ウイルス対策 – Microsoft Defender Exploit Guard –
Attack Surface Reduction
> Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -
AttackSurfaceReductionRules_Actions Enabled
> Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID
2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled,
Enabled, Disabled, AuditMode
./Vendor/MSFT/Policy/Config/Defender/
AttackSurfaceReductionOnlyExclusions
AttackSurfaceReductionRules
https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-exploit-guard/enable-attack-surface-reduction
ブロックモード = 1
無効 = 0
監査モード = 2
ASR ルールと動作の設定
グループポリシー
PowerShell (CM)
モバイルデバイス管理用の構成サービスプロバイダー (Intune)

https://blogs.technet.microsoft.com/srd/2016/11/03/beyond-emet/
Enhanced Mitigation Experience Toolkit (EMET) は提供終了に
既存の機能は Windows 10, Version 1709 以降で Exploit Protection として OS の標準機能として実装
EMET と Exploit Protection

項目 Microsoft Defender Exploit Guard EMET
Windows のバージョン Windows 10 バージョン 1709 以降のすべてのバージョン
Windows 8.1、Windows 8、Windows 7、Windows 10
Windows 10 バージョン 1703 以降にはインストール不可
インストール要件追加のインストールは不要追加のダウンロードとインストールが必要
ユーザーインターフェイス Microsoft Defender セキュリティセンターに統合専用ツールによる UI
サポート Windows 10 サポートライフサイクルに準拠 2018 年 7 月 31 日に終了
更新プログラム
Windows 10 の年 2 回の更新チャネルの一部としてリリース
継続的な更新プログラムと新機能の開発
計画されている更新プログラムと開発はなし
Exploit Protection
EMET のすべての軽減策に加えて、新しい軽減策が追加
既存の EMET 構成を変換およびインポート可能
限定的な軽減策セット
攻撃表面の縮小既知の感染ベクトルをブロック可能 / 個々のルールを構成可能モジュール専用の限定的なルールセット構成のみ
ネットワーク保護悪意のあるネットワーク接続をブロック可能使用不可
フォルダーアクセスの制御重要なフォルダーを保護可能 / アプリやフォルダー向けに構成可能使用不可
GUI Microsoft Defender セキュリティセンターアプリを使って構成をカスタマイズおよび管理 EMET ツールのインストールと使用が必要
グループポリシーを使った構成グループポリシーを使って軽減策を展開および管理対応
シェルツールを使って構成グループポリシーを使って軽減策を展開および管理 EMET ツール (EMET_CONF) の使用が必要
SCCMによる管理対応使用不可
Microsoft Intuneによる管理対応使用不可
レポート
Windows イベントログとフル監査モードの報告を使用
Microsoft Defender Advanced Threat Protection との完全な統合
限定的な Windows イベントログの監視
監査モード Windows イベントの報告を行うフル監査モード EAF、EAF+、ROP 回避の軽減策に限定
EMET との Microsoft Defender Exploit Guard との機能比較

◼ 最新の脆弱性軽減策を提供
◼ OS が標準で実装する脆弱性軽減策
– メモリの脆弱性を軽減
• バッファオーバーフロー、ダブルフリー、ヒープ破壊 (Use After Free)
– 重要なAPIおよび関数へのアクセスを制限
• APIハイジャック、EOP（Elevation-of-Privilege）
– 攻撃の緩和先に対応していないレガシーアプリケーションを保護
• リターン指向プログラミング（ROP）
◼ 脆弱性軽減策を適用しないアプリケーションの定義
– 信頼されたアプリケーションの動作に軽減策が影響を与える場合には除外させることが可能
– 除外対象は一元管理可能
攻撃者が利用するさまざまな
攻撃テクニックをブロック
攻撃の開始前の
水際での対処が可能
Exploit Protection の
特徴とメリット
Exploit Protection による脆弱性対策

メモリ
☠️
2 メモリ等に攻撃コードを配置 3 脆弱性をつくためのオペレーション
4 権限の昇格や攻撃コードの実行
Exploit Protection により
OS の脆弱性をつくためのプロセスや
攻撃コードの配置や実行が
ブロックされる

Exploit Protection の軽減策 (1/2)
軽減策説明制御の対象
監査モード
対応
制御フローガード (CFG)
間接呼び出しに対する制御フローの整合性を確保します。
必要に応じてエクスポートを抑制し、厳密な CFG を使うことができます。
システムおよび
アプリレベル
×
データ実行防止 (DEP)
コードが、ヒープとスタックなどのデータ専用メモリページから実行されることを防ぎます。
他のすべてのアーキテクチャに対して永続的に有効になっている、32 ビット (x86) アプリでのみ構成できます。必要に応じて ATL サンクエ
ミュレーションを有効にすることができます。
アプリレベル
×
イメージのランダム化の強制
(必須 ASLR)
/DYNAMICBASE でコンパイルされてないイメージを強制的に再配置します。
必要に応じて、再配置情報を持たないイメージの読み込みを失敗させることができます。
アプリレベル
×
メモリ割り当てのランダム化
(ボトムアップ ASLR)
システム構造のヒープ、スタック、TEB、PEB の場所を含む、仮想メモリ割り当ての場所を
ランダム化します。必要に応じて、64 ビットプロセスのより広範なランダム化分散を使うことができます。
アプリレベル
×
例外チェーンの検証 (SEHOP)
例外のディスパッチ中に、例外のチェーンの整合性を確保します。
32 ビット (x 86) アプリケーションにのみ構成できます。
アプリレベル
×
ヒープの整合性の検証ヒープの破損が検出された場合はプロセスを終了します。
アプリレベル
×
任意のコードガード (ACG)
イメージベースでない実行可能コードの導入を禁止し、コードページの変更を防ぎます。
必要に応じて、スレッドオプトアウトを許可し、リモートダウングレードを許可できます。
アプリレベル
対応
整合性が低いイメージのブロック整合性が低いとマークされているイメージの読み込みを防止します。
アプリレベル
対応
リモートイメージのブロックリモートデバイスからのイメージの読み込みを防止します。アプリレベル対応
信頼されていない
フォントのブロック
システムフォントディレクトリにインストールされていない GDI ベースフォント
(特に Web のフォント) の読み込みを防止します。
アプリレベル対応

Exploit Protection の軽減策 (2/2)
軽減策説明制御の対象
監査モード
対応
コードの整合性ガード
Microsoft、WQL、およびそれ以上により署名されたイメージの読み込みを制限します。
必要に応じて、Microsoft Store によって署名されたイメージも許可できます。
アプリレベルのみ対応
拡張ポイントの無効化
AppInit DLL、ウィンドウフック、Winsock サービスプロバイダーなど、
すべてのプロセスへの DLL インジェクションを許可する各種拡張メカニズムを無効にします。
アプリレベルのみ ×
Win32k システムコールの無効化アプリがで Win32k システム呼び出しテーブルを使うことができないようにします。アプリレベルのみ対応
子プロセスを許可しないアプリが子プロセスを作成できないようにします。アプリレベルのみ対応
エクスポートアドレスフィルター (EAF)
悪意のあるコードによって解決されている危険な操作を検出します。
必要に応じて、悪用によって一般的に使用されているモジュールによるアクセスを検証できます。
インポートアドレスフィルター
(IAF)
悪意のあるコードによって解決されている危険な操作を検出します。アプリレベルのみ対応
実行のシミュレート
(SimExec)
機密性の高い API の呼び出しが正当な呼び出し元に戻るようにします。
API 呼び出しの検証
(CallerCheck)
機密性の高い API が正当な呼び出し元によって呼び出されるようにします。
ハンドルの使用状態の検証例外が無効なハンドル参照で発生するようにします。アプリレベルのみ ×
イメージ依存関係の整合性の検証 Windows イメージの依存関係の読み込みにコード署名を適用します。アプリレベルのみ対応
スタックの整合性の検証
(StackPivot)
スタックが機密性の高い API にリダイレクトされていないことを確認します。アプリレベルのみ対応

Exploit Protection の設定
◼ 軽減策とアプリケーション毎の除外設定を登録
– Microsoft Defender セキュリティセンターからの登録
• 専用の UI から有効化する機能および除外するプログラムを登録する
• 設定をエクスポートして別のPC展開用のテンプレートにすることも可能
Microsoft Defender Exploit Guard –
Exploit Protection
> Get-ProcessMitigation -Name processName.exe
> Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or
options>,<mitigation or options>,<mitigation or options>
https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-exploit-guard/customize-exploit-protection
./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings
PowerShell (CM)

プロバイダー/ソース ID 説明
Security-Mitigations 1 ACG の監査
Security-Mitigations 2 ACG の実施
Security-Mitigations 3 Do not allow child processes 監査
Security-Mitigations 4 Do not allow child processes ブロック
Security-Mitigations 5 Block low integrity images 監査
Security-Mitigations 6 Block low integrity images ブロック
Security-Mitigations 7 Block remote images 監査
Security-Mitigations 8 Block remote images ブロック
Security-Mitigations 9 Disable win32k system calls 監査
Security-Mitigations 10 Disable win32k system calls ブロック
Security-Mitigations 11 Code integrity guard 監査
Security-Mitigations 12 Code integrity guard ブロック
プロバイダー/ソース ID 説明
Security-Mitigations 13 EAF の監査
Security-Mitigations 14 EAF の実施
Security-Mitigations 15 EAF+ の監査
Security-Mitigations 16 EAF+ の実施
Security-Mitigations 17 IAF の監査
Security-Mitigations 18 IAF の実施
Security-Mitigations 19 ROP StackPivot の監査
Security-Mitigations 20 ROP StackPivot の実施
Security-Mitigations 21 ROP CallerCheck の監査
Security-Mitigations 22 ROP CallerCheck の実施
Security-Mitigations 23 ROP SimExec の監査
Security-Mitigations 24 ROP SimExec の実施
WER-Diagnostics 5 CFG のブロック
Win32K 260 非信頼フォント
(参考) Exploit Protection の監査とイベントログ

◼ フォルダアクセス制御による防御
– ランサムウェアが狙う、業務データを
アクセス権の制御により保護
– データが保護されることにより
エンドポイントの復旧が容易となるため
事業継続性を担保することが可能に
侵害されるユーザーのインフラ
5. 支払い後に解読
キーの提供
4.身代金の支払い
1. ランサムウェア
の侵入
2. ファイルの暗号化
3.身代金の請求
一般的なランサムウェアによる脅威
◼ データを暗号化されることによるビジネスの中断
◼ 匿名性が高く、捜査や交渉が困難
◼ 攻撃ツールの急速な変化によりアンチウィルス
ソリューションからの対応が困難
◼ ビジネスの継続性だけではなく、企業の評判にも
影響を与えやすい

◼ データ保護のアプローチによるランサムウェアへの対応を実現
– 攻撃成功時のデータ保持もしくは復旧の迅速化
– シンプルな管理の実装
• 既知のフォルダを保護
• アプリケーションのホワイトリスティング
– 既存アプリケーションとの高い互換性
◼ 実行ファイルの評価
– すべてのアプリ (.exe、.scr、.dll ファイルなどを含むあらゆる実行可能ファイル) が
Microsoft Defender ウイルス対策によって評価されアプリに悪意があるか安全であるかが判断
– アプリに悪意があるか疑わしいと判断された場合、保護されているフォルダー内のファイルの
変更は許可されない
◼ 要件
– Windows 10 1709 以降
– Microsoft Defender AV の
リアルタイム保護が有効になっている
必要がある
制御されたフォルダーアクセス

メモリ
☠️
☠️ 任意の
攻撃コード
☠️
5 不正な参照やデータの破壊
信頼されていないアプリケーションからの
保護対象フォルダへのアクセスを制限
ファイルの暗号化などの攻撃から
データを保護

「制御されたフォルダーアクセス」の設定
◼ 保護対象のフォルダーと信頼されたアプリケーションを登録
– Microsoft Defender セキュリティセンターからの登録
• 管理者権限が必要
• 専用の UI からフォルダーおよびアプリケーションを登録する
フォルダーアクセスの制御
> Set-MpPreference -EnableControlledFolderAccess Enabled
./Vendor/MSFT/Policy/Config/Defender/
ControlledFolderAccessAllowedApplications
ControlledFolderAccessProtectedFolders
https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-exploit-guard/enable-controlled-folders-exploit-guard
PowerShell (CM)

31
ネットワーク保護 - 不正なアクセス先へのアウトバンド通信をブロック
◼ ネットワークフィルタドライバのレイヤでアウトバウンドトラフィックの監視とブロック
– ネットワークレベルで不審な外部への通信をブロックすることでアプリケーションを問わず脅威の抑止を実現
◼ SmartScreen と同様のインテリジェントセキュリティグラフ（ISG）を使用して、
マルウェア、フィッシング、およびその他のWebベースの脅威からエンドポイントを保護
◼ ネットワーク保護機能は、Microsoft Defender SmartScreen の情報を利用
◼ すべてのブラウザとプロセスで使用可能

32
メモリ
☠️
☠️ 任意の
攻撃コード
☠️
6 不正なデータ送信やリモート操作
1 メールやリンクでの侵入
不正なサイトへの
アウトバウンド通信をブロック
ユーザーが不正なサイトに誘導されたり、
攻撃ツールのダウンロード操作などを制限

33
◼ Web ブラウザからのフィッシングサイトへのアクセスや、マルウェ
アが C&C サーバーに接続する際のアウトバウンド通信をアプリ
ケーションを問わずシステムでブロック
◼ Smart Screen の情報を活用した強力な保護
– 不審な接続先を識別する情報は Smart Screen と同じ
データベースを利用
– すべてのブラウザとアプリケーションで
SmartScreen クラスの保護機能を利用可能
◼ シンプルな実装と簡単設定
– スイッチ一つで有効化、詳細なカスタマイズは不要
– Windowsに標準機能として実装され、
追加のインストールは不要
◼ モバイル対応
– 接続されているネットワークに非依存

34
「ネットワーク保護」機能の設定
◼ 保護対象のフォルダーと信頼されたアプリケーションを登録
➢ Set-MpPreference -EnableNetworkProtection Enabled (強制モード)
➢ Set-MpPreference -EnableNetworkProtection AuditMode (監査モード)
https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-exploit-guard/enable-network-protection
./Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
◼ 設定は有効・無効および動作モードのみの定義
PowerShell (CM)

36
◼ Microsoft Defender Exploit Guard を評価するためのツールとテストサイト
– Microsoft Defender Antivirus Testground
(https://demo.wd.microsoft.com/?ocid=cx-wddocs-testground)
– Azure AD アカウントが必要
◼ Microsoft Defender Exploit Guard の各機能について、
動作検証のためのシナリオと疑似攻撃のためのツールが入手可能
Microsoft Defender Testground

37
動作の確認
◼ Exploit Guard 評価パッケージの利用
– https://aka.ms/mp7z2w
◼ Exploit Guard Demo Tool
– ARS のシナリオに基づいた疑似的な攻撃動作をシミュレーション
– ASR の設定の有効・無効や動作モードが正しく設定されているかどうかを確認可能
◼ File Creator
– フォルダのアクセスコントロールの検証用ツール
– ユーザープロファイルの各フォルダや任意のパスにファイルを作成可能
– 信頼されていないアプリからのファイル作成が制限されていることを確認できる

38
イベントログによる動作確認
◼ Exploit Guard 評価パッケージの利用
– https://aka.ms/mp7z2w
◼ イベントログのカスタムビュー定義ファイル
– ASR (asr-events.xml)
– Exploit Protection (ep-events.xml)
– コントロールされたフォルダーアクセス(cfa-events.xml)
– ネットワーク保護(np-events.xml)
◼ 定義ファイルをインポートすることで、各機能のイベントを
フィルターして表示が可能に
◼ イベントフォワーディングやイベントログ収集ツールとの
連携によりイベントの一元管理にも対応
※ 別途、3rdパーティのソリューションとの連携が必要と
なるケースがあります。

40
クラウド型 – モバイルデバイス/アプリ管理 (MDM/MAM) サービス
アプリの管理 (MAM)
端末やユーザーに応じたアプリの配布・設定が可能
またアプリ保護ポリシー対応アプリであれば、
さらに厳密にセキュリティ設定を行うことがが可能
クラウドサービスとの連携 (アクセス制御等)
Azure AD の条件付きアクセスと連携し、
管理されたデバイスやポリシーに準拠したデバイスのみ
アクセス可能といったような制御が可能
モバイルデバイスの管理 (MAM)
Windows 10/11 や iOS, Android を一元管理
管理下のデバイスに対する、ポリシーの一括設定や
ワイプや端末の探索などのアクションが可能

41
Microsoft Intune から Microsoft Defender Exploit Guard を管理
Microsoft Intune は Microsoft Defender Exploit Guard の管理に完全対応
プロファイルの作成メニューより定義を構成する

42
機能の設定
各コンポーネントの設定項目があらかじめ定義済み

43
組織内のセキュリティの一元管理
最新のデータで、組織内の状況を監視・管理。またセキュリティのスコア
リングなども可能で組織内に求められる推奨アクションの確認も可能
OS 標準搭載
OS に組み込まれた挙動センサーによって、セキュリティイベントやエンド
ポイントの挙動をログに詳しく記録。標準機能のため、エージェントの
展開・管理も不要で、非常に高度なパフォーマンス基準に対応。
自動調査と修復も
クライアントへのプログラムの停止やネットワークの切り離しといったアク
ションの操作はもちろん、オートメーションによる自動調査・修復も可能
設定方法や必要なもの
◼ Microsoft Defender for Endpoint のライセンス
◼ 各クライアントのインターネット接続 (Port 80/443)
◼ スクリプトで有効化するのみ。グループポリシーや Configuration
Manager, Intune でも可能
Microsoft Defender for Endpoint (MDE)

44
アラートの検出と対応
(EDR)
攻撃面の減少
セキュリティを強化
次世代の保護
(ウイルス対策)
自動調査と修復
Microsoft Defender
for Endpoint
脅威と脆弱性の管理
セキュリティの統合管理

45
イベントログの収集と MDE 連携
単独でのイベントによる動作検証に加え、Microsoft Defender for Endpoint と連携することで
より高度なセキュリティの脅威の検出に対応可能
Exploit Guard でのブロック状況がイベン
トとして MDE に通知
インシデントグラフによる
攻撃時のプロセスの流れを
確認可能
WDEG の各種機能によるブロックはすべ
てイベントログに出力可

https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-exploit-guard/windows-defender-exploit-guard
Evaluate Microsoft Defender Exploit Guard
https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-exploit-guard/evaluate-windows-defender-
exploit-guard
Download the Exploit Guard Evaluation Package
https://aka.ms/mp7z2w
Microsoft Security Response Center - Microsoft Defender Exploit Guard: 攻撃表面を縮小して次世代型マルウェアに対抗する
https://blogs.technet.microsoft.com/jpsecurity/2017/11/01/windows-defender-exploit-guard-reduce-the-attack-surface-against-
next-generation-malware/

勉強用資料 | MS の正式見解ではありません
@takuyaot01
IT エンジニアのための流し読み Windows
END

IT エンジニアのための流し読み Windows - Microsoft Defender Exploit Guard

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to IT エンジニアのための流し読み Windows - Microsoft Defender Exploit Guard

Similar to IT エンジニアのための流し読み Windows - Microsoft Defender Exploit Guard (20)

More from TAKUYA OHTA

More from TAKUYA OHTA (14)