Windows Defender ATP (標準)

Transcription

1 Windows Defender Advanced Threat Protection (Windows Defender ATP)

2 種類 頻度 0.01%

3 高度化 巧妙化する攻撃手法 現在 ソーシャルエンジニアリング攻撃 1 Day エクスプロイトファイルベースのユーザーモードのマルウェア ASEP による永続性端末間を移動する Pass the Hash ツール メモリベースの攻撃 0-day エクスプロイト プロセスインジェクションによるメモリベースの攻撃 カスタムツールで端末間を移動 カーネルベースの攻撃 0-day エクスプロイト カーネルモードの悪用とカーネルインプラントによる永続性 ファイルベース ファイルレス 巧妙な攻撃の早期検知 対応が必要

4 侵入された場合の対策は十分ですか? Device デバイス保護 protection Threat 認証情報の保護 resistance 情報の保護 Identity protection 脅威からの保護 Information protection Breach detection investigation & response Device Health attestation Device Guard Device Control Security policies SmartScreen AppLocker Device Guard Windows Defender Network/Firewall Built-in 2FA Account lockdown Credential Guard Microsoft Passport Windows Hello ;) Device protection / Drive encryption Enterprise Data Protection Conditional access Windows Defender ATP

5 そもそも EDR って何? Endpoint Detection and Response (EDR) 以下の 4 機能を備えたソリューション 1 セキュリティインシデントの検出 2 セキュリティインシデントの調査 3 インシデントを封じ込める 4 エンドポイントを修復する インシデント発生!! 検出 現在何台の PC が感染している? 現在攻撃を受けている PC は? 不正なモノをクリックした社員は? 調査 いつ どこから感染が始まった? どのような種類のマルウェア? どの範囲で被害がある? 封じ込め 修復 マルウェアの現在の活動を止めたい 他 PC への感染拡大を防ぎたい ネットワークから切り離したい

6 Windows 10 Enterprise E5 Windows Defender ATP OS 組み込み型クラウドベース EDR セキュリティ 組織のセキュリティの把握 調査 対応をいち早く! OS 標準搭載のクライアント OS に組み込まれた挙動センサーによって セキュリティイベントやエンドポイントの挙動をログに詳しく記録 標準機能のため エージェントの展開 管理も不要で 非常に高度なパフォーマンス基準に対応 クラウドベースのセキュリティ分析サービスマイクロソフトの広範なデータをエンドポイントから収集したデータと組み合わせることで 異常な挙動や攻撃者の手法を検出し既知の攻撃との類似点を特定 攻撃の痕跡 (IOA) 挙動分析 機械学習のルールを組み合わせて利用 マイクロソフトとコミュニティの脅威インテリジェンス脅威の検出をするマイクロソフトの専門部隊がデータを継続的に調査し 新しい挙動パターンを特定して 収集したデータを過去の攻撃やセキュリティコミュニティから収集した既存の侵入の痕跡 (IOC) と関連付け Windows Defender ATP の管理画面

7 Windows 10 Enterprise E5 Windows Defender ATP で出来ることの例 常に最新の情報で監視 収集されたデータは常に最新の情報で分析 管理者側で何もしなくとも新たな脅威はもちろん 攻撃の予兆までも認識することが可能 迅速な対応が可能 管理コンソールからクライアント端末へのアクションを選択するだけで プログラムの停止やネットワークの切り離しなどが可能 根本原因の特定 インシデントがどのような経路で広がったか どのような影響があるかなどを 180 日前までにさかのぼりちょうさをすることも可能 セキュリティ統合管理 マイクロソフトの様々なセキュリティ製品と連携し 統合的にセキュリティを監視 管理することが可能

8 クライアント Microsoft Threat Intelligence センサーによるデータ報収集 プロセス レジストリ ファイル ネットワーク クラウドからの情報 セキュリティ業界からの情報 Microsoft 社内のセキュリティ技術者の情報 Microsoft 社内のリサーチ結果 データをテナントに送信 蓄積された Knowledge の活用 クライアントへのアクション Windows Defender ATP お客様専用テナント 管理ポータルによる操作 アラートの監視 各種ステータスの確認 クライアントへのアクション ポータルでの管理アクション操作 管理者 既存の SIEM との連携 Security Information and Event Management (SIEM)

9 Windows Defender ATP の優れた検知機能 EDR の中でもより高度な検知技術 一連の行為の監視 高度な攻撃 IOA Level 3 高度なふるまい検知 (EDR) 偵察行為 事前準備 行動監視 見えない攻撃 正規品の武器化 Windows Defender ATP 未知のマルウェア IOC Level 2 レピュテーションふるまい検知 (NGAV) 模倣犯 新しい手口 新しい容疑者 Windows Defender ウイルス対策 ( ヒューリスティックスキャン クラウド保護 ) Windows Defender Smart Screen 既知のマルウェア Level 1 アンチウイルス (EPP) 指紋 指名手配写真 Windows Defender ウイルス対策 マルウェア シグネチャ IOC : Indicator of Compromise 既知の攻撃のデータベース エクスプロイト IP アドレス 脆弱性 IOA : Indicator of Compromise 未知の攻撃のデータベース 水平移動 C&C サーバーへの接続 ステルス行動 永続性 コード実行

10 攻撃者の侵入経路 ~ サイバー攻撃の例 ~ IE Edge からの PE ファイル検知 Office PE ファイル検知 UAC なく特権昇格を行う行動 既知の脆弱性攻撃 危険なプロセス行動 Rundll32 を経由した JavaScript run 実行 Powershell での特定の cmdline (ML) Metasploit 使用時 RLO のファイル作成 危険なプロセスインジェクション Scheduled task からのインストール (via schdtasks) OS 起動と同時に RAT が自動的に実行される仕掛け (ASEP = Auto-Start Extensibility Points) をセットされた際 継続的な情報収集をされた時 Reverse shell が外部の IP と接続しに行った時 有名な会社のミススペルドメイン (Amazoon など ) Netsh 経由した Path proxifier 通常出ない IP との接続 外部の CC との接続 common tools の名前変更登録 探査コマンド検知 探査コマンド実行 資格情報の盗難 危険なハッキングツールの検知 psexec 経由のリモートハックツール WMI リモート経由実行 Mimikatz 使用 PowerShell リモート実行 mimikatz (kirbi) の PTT 通信 危険なハッキングツールの検知 情報 AD 侵害 配送 / 侵略 インストール永続攻撃 C&C 探査水平移動 情報盗難 逃亡 既知のマルウェア検知 Power Shell コマンドリモート実行 不正な IP アドレスとの通信 通常ない IP アドレスとの通信 資格情報の盗難 IOA と IOC を両方用いて検知 対処する事が大切ひとつひとつの痕跡に対する判断では悪意のある行為か通常の行為かの区別がつかないが IOA と IOC のアラートを一連の行為を関連付けて考えれば 悪意のある行為だと推定できる

11 Windows 10 と共に機能が進化 振る舞いベースのクラウド型 EDR ソリューションとして登場 Windows 10 に組み込まれ エージェントレスで展開の必要なし 調査とインタラクティブなハンティングのための豊富なタイムライン機能 これまでにない脅威の可視化と深い OS のセキュリティとビッグデータ レスポンスアクションを強化した EDR ソリューション ( プロセスの停止 ブラックリスト ネットワーク切り離し ) 強化された検出 - メモリ インジェクション カーネル Windows Defender ウイルス対策検出の可視性 スレットインテリジェンスのカスタム Office 365 ATP との検出と調査の統合 Windows 10 の脅威とエンドポイントの保護と応答を備えた統合エンドポイントセキュリティソリューション Security Analytics によるセキュリティのスコア化とアドバイス 強化された検出 (Windows Defender シリーズ連携 Exploit Guard 連携 ) Windows Security Graph APIs Windows Server のサポート Windows 10, Version 1607 (Anniversary Update) Windows 10, Version 1703 (Creators Update) Windows 10, Version 1709 (Fall Creators Update)

12 Windows 10 Enterprise E5 Windows Defender ATP Windows 10, Version 1703 ( Creators Update ) 新機能 1703 NEW 管理コンソールからクライアントへの対応が可能 クライアントの特定のプロセスの停止管理コンソールより クライアント端末で実行されている特定のプログラムのプロセスを停止可能 特定のファイルの実行防止管理者がファイルを登録することで 企業内のクライアント端末上で特定のファイルの実行を防止 ネットワークからの切り離し管理コンソールより 特定のクライアント端末をネットワークから切り離すことが可能 フォレンジック解析用のデータ取得セキュリティインシデントの調査用ファイルの収集が可能 管理コンソール : アクション

13 Windows 10 Enterprise E5 Windows Defender ATP Windows 10, Version 1709 ( Fall Creators Update ) 新機能 影響が出る前に攻撃を止める 1709 NEW Attack surface reduction Exploit Guard により 企業でのコードの実行を制限し 実行時の悪用を軽減するツールを提供 新しいダッシュボード Windows Defender シリーズのステータスや関連のイベント ブロックした攻撃などの情報が確認可能 さらなる検出 調査 および対応最新の攻撃への検出や 問題の特定に素早く至るための調査情報の提供 新たな対応アクションも追加 Security Analytics セキュリティの状態をスコア化 脆弱な可能性がある領域を特定し 必要なアクションを実行 Security Analytics

14 Windows 10 Enterprise E5 Windows Defender ATP Windows 10, 次期バージョン搭載予定 インシデント対応を自動化 NEW Hexadite の技術を統合セキュリティオートメーションでの実績がある Hexadite 社の技術を Defender ATP の機能へ統合 セキュリティ侵害に対する自動的な調査や対策を行う人工知能 (AI) ベースの機能 Automated Investigation アラートの調査や脅威への対処を 人手を介入させることなく あるいは半自動モードで行える Windows 10, Version 1803 予定 Windows Defender ATP の新機能として 追加のコスト無しで搭載 Automated Investigation

15 Windows 10 Enterprise E5 Windows Defender ATP よくある質問集 Q. ウイルス対策ソフトとは違うの? A. 異なります ウイルス対策ソフトは侵入や実行防止を目的としていますが WDATP をはじめとする EDR 製品は侵入された後の検知や対処を目的に作られています ウイルス対策ソフトと組み合わせてお使いください Q. 他社製のウイルス対策ソフトを使っているんだけど? A. 組み合わせることが可能です Windows Defender ウイルス対策はもちろん 他社製のウイルス対策ソフトとの組み合わせも可能です Q. Windows Defender ATP の必要要件は? A. E5 のご契約および Windows 10 の 1607 以降 インターネット接続 (80/443) が必要です 各クライアントからお客様テナントにリアルタイムにデータが送信されます (1 日平均 2 MB/ 台程度 ) Q. Windows Defender ATP を試してみることはできる? A. 可能です よりお申込みいただくことで 90 日間の無料トライアルが可能です

16