IT エンジニアのための 流し読み Windows 10 - 新しい Microsoft Edge - from Build 2019
IT エンジニアのための 流し読み M365 - Microsoft Defender for Endpoint 概要
1. 勉強用資料 | Microsoft の正式見解ではありません
@takuyaot01
IT エンジニアのための 流し読み M365
Microsoft Defender for Endpoint 概要
2. 勉強用資料 | Microsoft の正式見解ではありません
本資料について
IT エンジニア向けの勉強資料として公開しています
Microsoft の正式見解であったり、内容をコミットするものではございません。
仕様が変わったり、サポートされる情報が変化することもあることをご了承ください。
内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。
ただし、営業資料などのビジネス目的での使用はお控えください。m(_ _)m
@takuyaot01
太田 卓也
3. 勉強用資料 | Microsoft の正式見解ではありません
1. 製品概要
2. 機能紹介
3. まとめ
ITエンジニアのための流し読み M365
Microsoft Defender for Endpoint
4. 勉強用資料 | Microsoft の正式見解ではありません
Microsoft Defender
for Endpoint
脅威の可視化と自動対処
クロスプラットフォーム対応
クラウド サービスを活用した
セキュリティの監視と保護
Microsoft 製品連携
ウイルス対策も管理
Microsoft Defender for Endpoint
300 人までの企業向けバージョン
5. 勉強用資料 | Microsoft の正式見解ではありません
*EDR : Endpoint Detection and Response
以下の 4 機能を備えたソリューション
ウイルス対策ソフトが侵入防御が前提であるのに対し、
EDR は侵入されたときの対処を前提に考えられています。
現在はセキュリティ統合プラットフォームとして発展
EDR は多くの機能のうちの一つに
① セキュリティ インシデントの検出
② セキュリティ インシデントの調査
③ インシデントを封じ込め
④ エンドポイントを修復
Windows の Defender シリーズ例 :
◼ Microsoft Defender ウイルス対策 (従来のウイルス対策)
◼ Microsoft Defender ファイアウォール (パーソナルファイウォール)
◼ Microsoft Defender SmartScreen (危険な Web サイトからの保護)
◼ Windows Defender Application Control (アプリ実行制御)
◼ Microsoft Defender Credential Guard (資格情報保護)
◼ Microsoft Defender Application Guard (仮想ブラウザ)
◼ Microsoft Defender for Endpoint (EDR & セキュリティ統合監視)
Microsoft 365 の Defender シリーズ例 :
◼ Microsoft 365 Defender
◼ Microsoft Defender for Endpoint
◼ Microsoft Defender for Office 365
◼ Microsoft Defender for Identity
以前は Defender はウイルス対策製品でしたが、
現在ではセキュリティ製品のシリーズ名になっています
Microsoft Defender for Endpoint とは?
6. 勉強用資料 | Microsoft の正式見解ではありません
OS標準機能で、ウィルス侵入前の防御ができる ウィルス侵入後の検知・対応・修復もできる
防御
アラート検出と対処
次世代の保護
自動調査と修復
攻撃表面の縮小
脅威と脆弱性の管理
Microsoft Defender for Endpoint
更に強化
OS 標準搭載 ウイルス対策
Microsoft Defender for Endpoint とは?
9. 勉強用資料 | Microsoft の正式見解ではありません
アラートの検出と対応
(EDR)
攻撃面の減少
セキュリティを強化
次世代の保護
(ウイルス対策)
自動調査と修復
Microsoft Defender
for Endpoint
脅威と脆弱性の管理
セキュリティの統合管理
P1
P1
P2
10. 勉強用資料 | Microsoft の正式見解ではありません
機能 MDB P1 P2
集中管理 (レポート、トリアージ、応答アクション) ✓ ✓ ✓
次世代のマルウェア対策 ✓ ✓ ✓
デバイス コントロール (例:USB) ✓ ✓ ✓
エンドポイント ファイアウォール ✓ ✓ ✓
攻撃面の縮小ルール ✓ ✓ ✓
ネットワーク保護 ✓ ✓ ✓
Web コントロール / カテゴリーベースの URL ブロック ✓ ✓ ✓
デバイスベースの条件付きアクセス ✓ ✓ ✓
ランサムウェアの軽減 ✓ ✓ ✓
API、SIEM コネクタ、カスタム TI ✓ ✓
アプリケーション コントロール ✓ ✓ ✓
エンドポイントでの検出と応答 (EDR) ✓ ✓
自動調査と修復 ✓ ✓
脅威と脆弱性の管理 ✓ ✓
脅威インテリジェンス (脅威分析) ✓ ✓
サンドボックス (Deep Analysis) ✓
脅威エキスパート ✓
Built-in. Cloud-powered.
Microsoft Defender
for Endpoint
エンドポイントの保護に重点をおいたプラン
一部機能のみ提供で M365 E3 にも含まれる
フル機能が使用できるセキュリティ統合管理
M365 E5 にも含まれる
Microsoft Defender for Endpoint P1
Microsoft Defender for Endpoint P2
Microsoft Defender for Business
300 シート未満のお客様に提供可能な
エンタープライズ クラスの保護
11. 勉強用資料 | Microsoft の正式見解ではありません
◼ Windows 7, 8.1, 10, 11
◼ Windows Server 2008 R2, 2012 R2, 2016, 2019
◼ macOS (12, 11, 10.15), Linux
◼ Android (6.0 以上), iOS / iPadOS (12.0 以上)
ネットワーク接続
◼ 各 PC から サービス URL にアクセスできること
サポート OS
◼ Defender for Endpoint (クライアント or サーバー)
ライセンス
Microsoft Defender for Endpoint の最小要件
エンドポイント用 Microsoft Defender の最小要件 | Microsoft Docs
12. 勉強用資料 | Microsoft の正式見解ではありません
1. 製品概要
2. 機能紹介
3. まとめ
ITエンジニアのための流し読み M365
Microsoft Defender for Endpoint
13. 勉強用資料 | Microsoft の正式見解ではありません
アラートの検出と対応
(EDR)
攻撃面の減少
セキュリティを強化
次世代の保護
(ウイルス対策)
自動調査と修復
Microsoft Defender
for Endpoint
脅威と脆弱性の管理
セキュリティの統合管理
14. 勉強用資料 | Microsoft の正式見解ではありません
組織のセキュリティ状況をスコア化
改善のための処置・構成方法を提案
脅威と脆弱性の管理
Microsoft セキュリティスコア
世界で起こる最新の脅威情報確認
組織内への影響・対策も確認可能
脅威の分析
3rd パーティーソフトウェアを含む
脆弱性への対応状況を確認可能
脆弱性の管理
15. 勉強用資料 | Microsoft の正式見解ではありません
アラートの検出と対応
(EDR)
セキュリティを強化
次世代の保護
(ウイルス対策)
自動調査と修復
脅威と脆弱性の管理
セキュリティの統合管理
攻撃面の減少
Microsoft Defender
for Endpoint
16. 勉強用資料 | Microsoft の正式見解ではありません
ルールの例
◼ メールから実行可能ファイルのコンテンツをブロック
◼ Office のマクロから子プロセスの作成をブロック
◼ Office マクロからの Win32 API の呼び出しをブロック
◼ VBScript からダウンロードされた実行ファイルをブロック
◼ 暗号化されているスクリプトの実行をブロック
◼ ランサムウェアに対する高度な保護機能を使用する
◼ PSExec から送信されたブロックプロセスの作成
◼ USB から信頼されていないプロセスの実行をブロック
◼ Adobe Reader で子プロセスの作成をブロック
攻撃面の減少ルールによって
検出された侵害アクティビティを確認
検出された侵害アクティビティ
前提条件を満たしていなかったり、
誤まって構成されているデバイスを特定
デバイス構成の確認
攻撃面の縮小ルール
Windows OS の機能。悪用されることが多い
プログラムやソフトウェア動作を
15 のルールを基にブロックすることが可能。
MDE で状況を管理することが可能
マルウェア感染を防ぐために攻撃面の減少ルールを
使用する | Microsoft Docs
攻撃面の減少
18. 勉強用資料 | Microsoft の正式見解ではありません
Web 保護
Web の脅威からコンピューターを保護することができ、
不要なコンテンツを規制することが可能
またその状況をアラートやレポートで確認
Web コンテンツのフィルター処理
ポリシーを構成して特定のカテゴリをブロックし、
そのカテゴリ内の URL にユーザーのアクセスを制限
Web 脅威の保護
ネットワーク保護の機能を利用して、
低評価ソースのサイトとの通信をブロック
また管理者が指定した IP アドレスや
URL/ドメインへのアクセスをブロックすることが可能
攻撃面の減少
19. 勉強用資料 | Microsoft の正式見解ではありません
アラートの検出と対応
(EDR)
セキュリティを強化
自動調査と修復
脅威と脆弱性の管理
セキュリティの統合管理
攻撃面の減少 次世代の保護
(ウイルス対策)
Microsoft Defender
for Endpoint
20. 勉強用資料 | Microsoft の正式見解ではありません
Microsoft Defender
ウイルス対策
行動な機械学習やクラウド型保護
MDE のコンポーネントの一部として
管理・連携が可能
Windows 10 / 11 標準搭載
次世代型ウイルス対策
膨大なビックデータの活用
21. 勉強用資料 | Microsoft の正式見解ではありません
クライアントとクラウドの
ペアMLモデルによる
ファイルレス攻撃と
インメモリ攻撃の検知
AMSI ペア ML
プロセスツリーや不審な
動作のシーケンスから
新たな脅威を特定
メタデータの解析で
新たな脅威を迅速
に阻止
未知のファイルを
サンドボックスで実行し、
新たなマルウェアを捕捉
専門家が作成した
ルールで脅威をブロック
直接的に、あるいは連
想的に、評判の悪い脅
威を捕捉
ファイルレス攻撃や
インメモリ攻撃を検出
悪意のあるネットワーク
活動を捕捉
メモリ上で動作する
悪意のあるコードを検出
マルウェアの亜種や類似した
特徴を持つ新種を捕捉
疑わしい実行シーケンスなど、
悪意のある動作を特定
実行時にどのような
挙動を示すかによって
ファイルを評価
クライアントベースのML
モデルにより、新たな脅
威や未知の脅威を発見
マルチクラス、ディープニューラ
ルネットワーク分類により、
新しいマルウェアを検出
ファイル分類 ML
振る舞いベース ML
メタデータ ベース ML デトネーション ベース ML スマート ルール
レピュテーション ML
次世代保護のエンジン
36. 勉強用資料 | Microsoft の正式見解ではありません
Microsoft Endpoint Manager
Microsoft Defender for Endpoint
シームレスな統合
37. 勉強用資料 | Microsoft の正式見解ではありません
Azure AD
Microsoft Defender
for Endpoint
Microsoft Defender
for Office 365
Microsoft Defender
for Cloud Apps
Microsoft Defender
for Identity
Intune
Microsoft Defender
for Cloud Apps
◼ 統合されたダッシュボードでの管理
◼ リスクレベルに応じたアクセス制御 (Azure AD + Intune)
◼ Microsoft Defender for Endpoint のセンサーを利用した、
クラウドアクセス監視・ブロック (MDCA)
M365 製品間でデータを連携することにより、統合された保護と、
製品をまたいだ知識と機能の新しいレイヤーを提供
セキュリティの統合管理 – Microsoft 365 製品との連携
39. 勉強用資料 | Microsoft の正式見解ではありません
承認されたデバイス
承認された OS
承認された場所
3rd Party SaaS アプリ
Azure
多要素認証
ブロック
許可
ダウンロード制限等
危険なデバイス
危険な ID
ウイルスに感染!
Azure AD + Intune と連携した条件付きアクセス
40. 勉強用資料 | Microsoft の正式見解ではありません
❶ Defender for Cloud Apps で Zoom をブロック設定 ❷ Zoom の Web アクセスやアプリの通信がブロック!
Defender for Cloud Apps と連携したアプリ ブロック
※ MDE に連携され自動的にブロックリスト登録
41. 勉強用資料 | Microsoft の正式見解ではありません
専門家の深い知識による、
SOC への脅威分析のアドバイスを実施
※ 追加契約が必要となります。また英語での対応となります。
Microsoft 脅威エキスパート | Microsoft Docs
Microsoft 脅威エキスパート - ターゲット攻撃通知
人間の敵対的侵入、ハンズオンキーボード攻撃、サイバース
パイなどの高度な攻撃など、ネットワークに対する最も重要
な脅威を積極的に検出し通知します
Microsoft 脅威エキスパート – エキスパート オンデマンド
直接セキュリティ専門家にアラートの問い合わせやデバイスの
侵害、疑わしいネットワーク接続の原因など、組織に影響
を与える複雑な脅威のアドバイスを受けることができます
セキュリティの統合管理
42. 勉強用資料 | Microsoft の正式見解ではありません
アラートの検出と対応
(EDR)
攻撃面の減少 次世代の保護
(ウイルス対策)
自動調査と修復
脅威と脆弱性の管理
API - プラットフォームと接続
セキュリティを強化
ツール
SIEM データ
アプリ
レポート
デバイス
セキュリティの統合管理
API と統合
43. 勉強用資料 | Microsoft の正式見解ではありません
M365 製品間でデータを連携
統合された保護と機能連携
高度な追及
API エクスプローラーによるテストや
パートナーアプリケーション SIEM との連携
パートナーおよび API
Azure VM を利用した仮想評価ラボや
シミュレーションとチュートリアルを用意
評価ラボ
セキュリティの統合管理
44. 勉強用資料 | Microsoft の正式見解ではありません
1. 製品概要
2. 機能紹介
3. まとめ
ITエンジニアのための流し読み M365
Microsoft Defender for Endpoint
45. 勉強用資料 | Microsoft の正式見解ではありません
Microsoft Defender
for Endpoint
Microsoft Defender for Endpoint
300 人までの企業向けバージョン
予防的な保護、ふるまい検知、自動化された調査と対応を含む
クラウドベースのエンドポイントセキュリティ統合プラットフォーム サービス
◼ Windows に標準 & クロスプラットフォーム対応
◼ クラウドベースで最新の脅威を利用して常時監視
◼ EDR 機能だけではなく様々な機能とセキュリティの統合管理
◼ 脅威の可視化と自動調査・対応によるオペレーション補助
◼ Microsoft 製品との連携でさらなる有効活用
46. 勉強用資料 | Microsoft の正式見解ではありません
Q. 他社製のウイルス対策ソフトも使用できますか?
A. ウイルス対策ソフトは侵入や実行防止するのを目的としていますが、脅威発生後のいち早い検知と対処、セキュリティ
統合管理プラットフォームを目的としています。ウイルス対策ソフトと組み合わせての使用が前提となります。
Q. Microsoft Defender for Endpoint を試してみることはできますか?
Q. ウイルス対策ソフトととの違いはなんでしょう?
Q. Microsoft Defender for Endpoint の必要要件を教えてください
A. 組み合わせることが可能です。ただし一部機能 (ファイルの実行防止) などが使用できません。
Defender ウイルス対策が推奨とはなりますが、他社製のウイルス対策ソフトとの組み合わせも可能です。
A. Defender for Endpoint のライセンスおよび 対応 OS、インターネット接続 (80/443) が必要です。
各クライアントからテナントにリアルタイムにデータが送信されます。(1 日平均 5 MB/台程度)
A. 可能です。
http://aka.ms/mdatp よりお申込みいただくことで 3 ヵ月の無料トライアルが可能です。
Microsoft Defender for Endpoint - FAQ
47. 勉強用資料 | MS の正式見解ではありません
@takuyaot01
IT エンジニアのための 流し読み M365
Microsoft Defender for Endpoint 概要
END