クライアントへの侵入を検出する Windows Defender ATP の威力

1. Session ID: SEC015
本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 開催日（2016年11月1－2日）時点のものであり、予告なく変更される場合があります。

2. Windows Defender ATP って？
Windows Defender ATP で何ができるか？
Windows Defender ATP をどうやって使うか

3. Microsoft Tech Summit

4. Windows Defender ATP
（Advanced Threat Protection）
Windows Defender ATP
（Windows Defender Advanced Threat Protection）
Windows 10 にビルドインされた
ウィルス対策ソフト
Office 365 で利用可能な
電子メールのセキュリティ対策機能
Windows 10 にビルドインされた新しいセキュリティ対策機能

5. 1. Detect security incidents at the endpoint
（エンドポイントでのセキュリティ事象の検知）
2. Investigate security incidents
（セキュリティ事象の調査）
3. Contain the incident
（事象の封じ込め）
4. Remediate endpoints to a pre-infection state
（感染前の状態へのエンドポイントの修復）

6. デバイス保護 データ保護マルウェア対策 ID 保護
POST-BREACHPRE-BREACH
攻撃検知

7. 強力な脅威情報ナレッジ
行動特性 による検知を
クラウドで実現
Windows にビルトイン

8. • クライアントの機能は
Windows 10 に標準搭載
• エージェントの
追加インストールは不要
• クライアントから
収集したデータを
IOC, IOA を組み合わせた
サービスで分析
• クラウドのスケーラブルな
プラットフォーム上で
分析を実施
• Microsoft の
セキュリティ技術者
• Microsoft の
様々なサービスからの情報
• セキュリティパートナー、
コミュニティーとの連携
IOC（Indicators of Compromises：侵入の痕跡）、IOA（Indicators of Attack：攻撃の兆候）

9. Microsoft Tech Summit

10. 管理者
クライアント
常駐のセンサーでクライアントの
情報を収集
例）プロセッサ、レジストリ、
ファイル、ネットワーク
収集したデータを
クラウドに送信
ポータルで
現状の把握
専用のテナント
クラウドからの情報
セキュリティ業界からの
情報
Microsoft 社内の
セキュリティ技術者の情報
Microsoft 社内の
リサーチ結果
Microsoft Threat
Intelligence
蓄積された Knowledge の活用
Windows
Defender ATP
Security Information and
Event Management
(SEIM)

11. Microsoft Tech Summit

12. Microsoft Tech Summit

13. 利用開始の
申請
サインアップ
設定
ファイルの
取得
設定
ファイルの
配布
利用開始

14. AAD Provisioning Get Started

15. • データセンターロケーション
• ログの保存期間
• 組織の規模
• 組織の情報

25. • グループポリシー用
• SCCM CB（1606以降）用
• SCCM 2012/2012R2, SCCM CB（1602以前）用
• Microsoft Intune/MDM 用
• ローカル スクリプト用

29. • グループポリシーの利用
• タスクをスケージュールしてコマンドを実行
• SCCM の利用
• SCCM CB 1606：専用の UI を利用
• 以前のSCCM：パッケージを作成して配布
• Microsoft Intune（MDM）の利用
• コマンドプロンプトの利用

30. Microsoft Tech Summit

32. • 以下の項目を、カスタムポリシーで設定
• 参考URL
• https://msdn.microsoft.com/library/windows/hardware/mt723296(v=vs.85).aspx

33. • Windows 10 Anniversary Update（1607）
（2016年8月リリース版以降）
• Windows 10 Enterprise
• Windows 10 Pro
• Windows 10 Education（Enterprise, Pro）
• Connected User Experiences and Telemetry（DiagTrack）
• Windows Defender Advanced Threat Protection Service（Sense）
• 各クライアント端末からのインターネットアクセス

34. • Passive モードで Windows Defender が稼働
• マルウェア対策自身は、3rd パーティ製マルウェア対策ソフトが
実施
• Windows Defender Early Launch Antimalware (ELAM)
ドライバの有効化が必要

35. • https://technet.microsoft.com/en-us/itpro/windows/keep-
secure/configure-proxy-internet-windows-defender-
advanced-threat-protection

36. • データの送信は随時実施
• オフライン時は一定量バッファし、ネットワーク接続時に送信
• トラフィックは、5MB/日 程度

38. Microsoft Tech Summit

39. Windows 10
Enterprise E5
Add-on
Windows 10
Enterprise E3
Windows 10
Enterprise E5
Windows Client のライセンス体系
New
Per User, Per Device
で購入が可能
New

40. マネージド セキュリティ サービス
Enterprise Threat Detection
アナリスト

41. https://winatpregistration-prd.trafficmanager.net/UserAgreement
https://www.microsoft.com/ja-jp/WindowsForBusiness/windows-atp
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-
advanced-threat-protection

42. Combined Microsoft Stack:
Maximize detection coverage throughout the attack stages
WEBサイトの
ブラウズ
http://
プログラムの
実行
Office 365 ATP ATAWindows ATP
Email protection User protectionEnd Point protection
Eメールの
受信
添付ファイルの
オープン
URL のクリック 感染 侵入
C&C への
接続確立
潜伏・維持 権限昇格 偵察
他のデバイスへ
の侵入
重要な
リソースへの
アクセス

43. Windows 10 が提供する新しいセキュリティ機能
クライアント端末のセキュリティ脅威を
クラウドベースのサービスで検知

44. Day 時間 セッション
ID
Room タイトル
Day 1 11:30 - 12:20 CLD013 Room 6 一体どこまでできるの！？ クラウドを使用した Windows 10 管理 ～明日からできるクラウ
ドからのPC管理～
Day 1 12:45 - 13:35 SEC013 Room 3 その資格情報、簡単に盗まれますよ～攻撃者の手口と Active Directory & Windows 10 の対
策方法
Day 1 14:00 - 14:50 SPL004 Room 6 Surface from ideation to manufacturing
「Surface - コンセプトから製品化までの裏側 - 」（英語セッション,同時通訳）
Day 1 15:15 - 16:05 DEP004 Room 3 Windows Server 2016 標準機能とクラウド活用で、ここまで出来るセキュリティ対策
Day 1 15:15 - 16:05 SEC009 Room 7 Windows 10 とクラウドリソースの利用を安全にする Better Together シナリオ
Day 1 16:30 - 17:20 SEC008 Room 3 Azure AD でクラウドの認証基盤を統合したいけど、ID の安全性はどう確保する？
Day 1 16:30 - 17:20 DEP007 Room 4 WaaS に対応したアップデート配信基盤の設計
Day 1 16:30 – 17:20 APP014 Room 7 デスクトップ アプリを Windows ストア で公開するには
Day 1 17:45 - 18:35 SEC015 Room 1 クライアントへの侵入を検出する Windows Defender ATP の威力
Day 1 17:45 – 18:35 SEC004 Room 6 Cloud First, Mobile First における ID 管理とは？-人 ( Identity ) からはじまるアクセス制御-

45. Day 時間 セッション
ID
Room タイトル
Day 2 09:00 - 09:30 DEP008 Room 7 Windows ストアは業務の邪魔者？ ～企業向け Windows ストアを活用した最適なアプリ展
開と管理手法～
Day 2 09:55 – 10:25 SEC017 Room 2 なぜ Windows 10 は史上最も安全といわれるのか？ ～RED TEAM のアプローチ～
Day 2 09:55 - 10:25 SEC019 Room 5 30分で理解 ! 初心者向け Active Directory の "フェデレーション" 構成パターン
Day 2 10:50 – 11:40 PRD008 Room 2 日本初！“Windows 10 Team” OS ベースの新デバイス、Surface Hub のすべて～
Day 2 10:50 - 11:40 SEC014 Room 4 ゼロデイ攻撃やランサムウェアの脅威に打ち勝つために～ Device Guard 徹底解説
Day 2 10:50 - 11:40 SEC012 Room 7 Windows 10 があなたの情報を守る ～Windows Information Protection～
Day 2 13:10 – 14:00 CLD027 Room 6 Windows の第一人者が語る！Windows as a Service の全貌
（英語セッション,同時通訳）
Day 2 14:25 – 15:15 SEC003 Room 3 セキュリティマニアックス ～インフラ編 サイバー攻撃からビジネスを守る！～
Day 2 14:25 - 15:15 CLD024 Room 6 Windows の第一人者が語る! Windows 10 の現実と WaaS 導入 -実践編-
（英語セッション,同時通訳）
Day 2 15:40 - 16:30 CLD016 Room 3 "Windows 10 と Windows Server 2016 で何が変わる？“ ～ 新しい認証方式、Windows 10
New VPN～
Day 2 15:40 - 16:30 SEC016 Room 5 詳説 - Rights Management Services / Azure Information Protection
Day 2 15:40 – 16:30 PRD009 Room 8 Windows 10 Mobile のセキュリティ設定と導入・管理のコツ

46. Day 時間 セッション
ID
Room タイトル
Day 2 16:55 – 17:45 SEC011 Room 3 セキュリティマニアックス ～クライアント編 Windows 10 vs Windows 7～
Day 2 16:55 – 17:45 PRD014 Room 8 これが最新のワークスタイルだ!〜 Windows 10 Mobile でお仕事を楽しむ方法
Day 2 18:10 - 19:00 SEC007 Room 1 条件付きアクセスを徹底理解 - Azure Active Directory で実現する場所とデバイスの“条件付き
アクセス制御”-
Day 2 18:10 - 19:00 CLD009 Room 5 お待たせしました！ 真の VDI on Azure がついに実現します！ ~ Citrix と Microsoft のタッ
グがもたらす次世代型クラウド・デスクトップ環境 ~
Day 2 18:10 - 19:00 DEP010 Room 7 進化し続ける OS インフラへの挑戦 ～WaaS 時代のアプリ互換の考え方～