Embed Size (px)
Citation preview
※米国時間 2017/7/3 に公開さ
れた ”Windows Defender ATP
helps analysts investigate and
respond to threats” の抄訳です。
Windows Defender ATPが支援する脅威の検知と対処
マイクロソフトは、クラウドの豊富な機能を駆使して、巧妙
な攻撃や高度な脅威から企業ネットワークを監視、保護する
ソリューションを開発しています。Windows Defender
Advanced Threat Protection (ATP) は組み込みの挙動セン
サー、機械学習、セキュリティ分析などの機能を活用して、
常に進化する脅威に対応するサービスです。強力な脅威イン
テリジェンスにより、調査や高度な脅威への対応をこれまで
以上にすばやく正確に実現します。
サイバーセキュリティは、まさに「いたちごっこ」の世界で
す。企業が攻撃者への対抗手段を講じれば、攻撃者はさらに
高度な技術を身につけます。さらに、クラウドへのサービス
移行や従業員のモバイル化が進み、新しいテクノロジの導入
スピードが加速するにつれて、企業情報を保護することがよ
り難しくなっています。
昨今では、モダン ワークスタイルの発展と共に、
変化に適応できる脅威保護ソリューションが求
められています。マイクロソフトの Windows
Defender ATP は、このような高度な攻撃に対
する難しい課題を解消します。
マイクロソフトの Core Services Engineering
(CSE、旧 Microsoft IT) チームでは、Windows
Defender ATP を活用して、これまでにないス
ピードで効果的に最新の脅威を検知および調査
して、対応しています。より多くのサービスの
クラウド移行に伴い、モバイル ワーカーの生産
性やセキュリティの向上に力を入れています。
Windows Defender ATP の活用により、脅威に
対するマイクロソフトのセキュリティ アナリス
トの対応は大きく変化しました。豊富な情報と
強力なツールを利用することで企業ネットワー
クの制御範囲を越えて、ユーザーやデバイスを
広く保護できるようになりました。
Windows Defender ATP を導入すると、次のよ
うなメリットをすぐに実感することができます。
• インテリジェント アラートと検知精度の
向上: 他のツールで発見できない挙動も検
知します。プロセスやコマンドライン コ
ンテンツにアクセスし、従来見過ごされて
いたシステム レベルの挙動を検知します。
• 検知時間を短縮: アラートおよびビューで
は、重要事項がほぼリアルタイムで通知さ
れます。また、関連データを画面上または
ワンクリックで簡単に確認できます。
• 対応策を提示: ファイルの検疫やブロック、
追加のログ データ収集、マシンの隔離、
実行可能ファイルの詳細分析などの具体的
なアクションが提示されます。
• 常に最新の状態を維持: Windows
Defender ATP の製品チームは、新たな脅
威の挙動の検知機能の開発を続けており、
既存の検知機能の向上、コンソールの改良
に努めています。最新機能は自動的に反映
されるようになっており、ユーザー操作は
一切必要ありません。
Windows Defender ATP をすばやく導入する方
法については、「Windows Defender ATP で高
度な脅威を検知 (英語)」を参照してください。
Windows Defender ATP のアーキテクチャ
Windows Defender ATP は 、 Windows
Defender ATP エンドポイント センサー、
Windows Defender ATP クラウド サービス
バックエンド、Windows Defender セキュリ
ティ センターという 3 つのメイン コンポーネ
ントで構成されています。
図 1 で示すように、各コンポーネントを連携さ
せることで、一貫して集中管理されたエンドポ
イント セキュリティを構成し、全社的な対応を
可能にします。
Windows Defender ATP エンドポイント セン
サーは Windows 10 Anniversary Update 以降
のバージョンに組み込まれています。エンドポ
イントとセキュリティ アナリストは Windows
Defender ATP を介し、双方向で情報をやり取
りします。
センサーは、デバイスから正確なシステム レベ
ルのデータと挙動情報を収集します。アナリス
トは、分析用のサンプル ファイル収集、デバイ
ス上の細なフォレンジック ログ収集、感染時の
デバイス隔離などを行うことができます。
Windows Defender ATP サービスは Azure クラ
ウド上に構築されており、サービス利用者には、
Azure 内の専用の Windows Defender ATP テナ
ントが割り当てられます。クラウド サービスで
あるため、企業ネットワーク外のエンドポイン
トからもデータを受信することができます。マ
イクロソフトの Windows Defender ATP デー
タは隔離されており、専用のテナント内で安全
に維持されます。同様に、お客様の Windows
Defender ATP 環境も、お客様専用のテナント
内に安全に隔離されます。データへのアクセス
は Azure Active Directory (Azure AD) 認証を必
要とし、すべて監査の対象となります。
図 1: Windows Defender ATP のアーキテクチャ概要
大規模な処理にも対応
マイクロソフトのアナリストは、Web ベースの
Windows Defender セキュリティ センターを利
用して、Windows Defender ATP データへアク
セスしたり、Windows Defender ATP エンドポ
イントと通信したりするなど、悪意あるアク
ティビティの調査や対応を実施しています。分
析作業は Windows Defender ATP コンソール
で行います。ダッシュボード、アラート キュー、
マシン ビュー、ファイル ビュー、ユーザー
ビューのほか、検索機能を備えており、企業内
のマシン、ファイル、ユーザー、URL、IP アド
レスに関するデータを調べることができます。
マイクロソフトのアナリストはこのビューを使
用して、全社の状況をすばやく把握すると同時
に、検出された重要なアラートやイベントを掘
り下げて細かく調査しています。
図 2 のように、Windows Defender ATP ダッ
シュボードでは、アラートの概要情報を表示し
てリスクの高い組織内の重要なマシンを確認で
きます。
インテリジェントなアラートの発行と
検知精度の向上
• 侵害インジケーター (IOC): 過去に攻撃で
収集されたエビデンスや、業界内で広く共
有されている知識に基づくインジケーター。
• 攻撃インジケーター (IOA): 攻撃に関する
不審なイベントを検知するために、ヒュー
リスティック分析、挙動ルール、機械学習、
異常検出のアルゴリズムなどから導き出さ
れるインジケーター。
• 内部の脅威インテリジェンス インジケー
ター: 過去 6 か月分の履歴データの分析に
基づくインジケーター。
• グローバル脅威インテリジェンス インジ
ケーター: 外部の脅威インテリジェンス組
織とのパートナーシップを通じて収集され
るインジケーター。
Azure クラウドのスケーラビリティと処理能力
をベースとしている Windows Defender ATP
では、この規模で発生するイベントも問題なく
処理することができます。さらに、大量のア
ラート分析も容易に管理することができます。
要約されたデータがインテリジェントとして、
ほぼリアルタイムでダッシュボードとコンソー
ル ビューに表示されるため、アラートに関する
重要な情報のみをすばやく確認して、対応の必
要性を判断し、調査および対応すべきサポート
階層を特定することができます。マイクロソフ
トではさらに、さまざまなしきい値を設定して
リスクの優先度を付けたり、対応を要するア
ラートの発行の精度を高めたりしています。
図 2: Windows Defender ATP ダッシュボード
Windows Defender ATP のアラートを活用する
と、環境内のデバイスの可視性が大幅に向上し
ます。マイクロソフトには 25 万以上のアク
ティブ ユーザーがおり、テナント内のコン
ピューターは 50 万以上に上り、大量の監視と
アラートが発生しています。信頼性の高い
Windows Defender ATP アラートがこの規模で
稼動するとなると、膨大な数のイベントを処理
する必要があります。従来のセキュリティ ツー
ルでは、データ ストレージとアラート分析の両
方でデータが超過していました。
イベント ログとマルウェア定義を照合する際、
Windows Defender ATP では複数のインジケー
ターに基づいてインテリジェントにアラートを
発行します。
アラートビュー
これらを組み合わせることで、組織内での関連
性の高いアラートを発行できるようになります。
さらに、インジケーターの開発者が新しいテク
ニックやアナリストからのフィードバックを反
映することで、インジケーターの品質は継続的
に向上します。
Windows Defender ATP コンソールの使用
• 署名者、複数のバージョンのファイル
ハッシュ、サードパーティによるハッシュ
の分析、通信履歴のある IP アドレスやホ
スト名、当社環境内でのファイルの配布状
況など、プロセス ツリー内のあらゆる
ファイルの情報
• システムに最後にログインしたユーザー
• システム名とドメイン
• 対象エンドポイントまたは他のシステム上
の関連アクティビティを示すインシデント
グラフ
• 1 つまたは複数のアラートに関するタイム
ライン
• 関連するホスト名または IP アドレス
インシデントの把握と解決に必要な情報のほと
んどはアラート ビューで入手できるため、他の
ビューを参照する必要はありません。マイクロ
ソフトでは、このビューを使用してアナリスト
がイベントの原因や影響度をすばやく確認でき
るようになり、解決までの時間を大幅に短縮し
ました。特に気になるイベントや複雑なイベン
トに関しては、簡単にビューを切り替えて異な
る側面から重点的に調べることもできます。た
とえば、下の図 3 では、rundll32.exe に実行可
能ファイルがインジェクトされていることがわ
かります。
Windows Defender セキュリティ センター の
Windows Defender ATP コンソールを使用する
と、Windows のセキュリティ アラートとセ
キュリティ データのさらに精密な情報をまとめ
て参照することができます。たとえば、システ
ムの処理履歴、不審なファイルの属性、ネット
ワークへの接続開始アクションなどをほぼリア
ルタイムで把握したり、疑わしいファイルの場
所や入手元を割り出して、環境内に同じファイ
ルがあるかどうかを調査したりできます。マイ
クロソフトではこのコンソールを使用して不審
な挙動を把握し、疑わしいプロセスを実行した
アクションを詳しく調査しています。また、社
内のマシンや世界中で同様のアラートが発生し
ているかどうかを確認しています。これらはわ
ずか数クリックで簡単に操作できます。
アラート ビューでは、収集したセキュリティ
イベントの生データをわかりやすく解説します。
アラートの基本的な背景情報のほか、検知結果
と関連イベントを集約したプロセス ツリーが表
示されます。単に不審な挙動を知らせるだけで
なく、基盤システムのアクティビティや、具体
的なアクションも提示します。このビューだけ
でも、各アラートに関する次のような情報を入
手することができます。
図 3: 詳細なプロセス ツリーを使用したクロス プロセス イ
ンジェクションのアラートビュー
アナリストは、アラート ビューから、ワンク
リックでマシン、ファイル、ユーザーの各
ビューに切り替えて、アラートの詳細なコンテ
キスト情報を基に疑わしいアクティビティを追
跡し、悪意の有無を簡単に判断できます。
マシンビュー
マシン ビューでは、マシンに関するさまざまな
データや挙動の履歴を確認することができます。
所属するドメインの基本情報、システムが最初
および最後に使用された日付、システムにサイ
ンインした (リモートを含む) ユーザーの概要に
加え、マシンに関連付けられた新規および解決
済みのアラートの一覧などが表示されます。マ
イクロソフトでは、システムの感染履歴や誤検
知の実績をすばやく調べたり、アラートに関す
る追加コンテキストを入手したりする際に活用
しています。さらにこのビューでは、マシンの
システム ログの調査パッケージを収集したり、
そのマシンを完全に隔離したりすることもでき
ます。
マシン タイムラインには、マシンのセキュリ
ティ イベントの記録が、発生した順番に表示さ
れ、タイムライン イベントを展開すると、コン
テキストの詳細情報を確認することができます。
図 4 のように、不審なトークンの修正イベント
を展開することで、Winword.exe によって添付
ファイルが開かれたことや、問題のメールおよ
び Word ファイルの名前がわかります。さらに、
このイベントの発生源と思われる感染ベクトル
とファイル名を、ワンクリックで追加インジ
ケーターとして表示できます。
タイムライン内のファイル名やホスト名、IP ア
ドレスの左の強調表示をクリックしてサイド タ
ブを開くと、タイムライン内での項目のコンテ
キストはそのままで、重要ポイントの要約が表
示されます。Office 365 ATP を使用するエンド
ポイントでメールを受信した場合は、コンテキ
ストを表示したまま、タイムライン上の脅威エ
クスプローラーへの直接リンクからメール情報
を確認できます。
マシン ビューのタイムラインの検索機能は、
Windows Defender ATP の通常の検索機能より
もさらに強力です。通常の項目に加えて、特定
のパス、コマンド ライン内の文字列、ユーザー
アカウントなどを検索することができます。調
査したいイベントのタイムライン上のポイント
へとすばやくジャンプすることができ、不審な
アクティビティを探し出す際に便利です。
マシン ビューでは、ワンクリックでフォレン
ジック データの分析やマシンの隔離などもでき
るため、関係するユーザーや外部チームに対応
を依頼する必要がなく、セキュリティ イベント
への対応時間を大幅に短縮できます。
Windows Defender ATP の調査パッケージはシ
ステムの特定のログを集約したもので、調査の
補助データとして使用されます。このアクショ
ンを実行すると、ユーザーに影響を及ぼすこと
なく、エンドポイントでプロセスのログ情報が
収集され、圧縮パッケージとして、クラウド内
にセキュアに格納されます。パッケージは
Windows Defender ATP コンソールでダウン
ロードすることができます。
攻撃の拡散を防ぎ他のデバイスへの被害を食い
止めるには、マシンを隔離するのが効果的です。
Windows Defender ATP センサーは、Windows
ホストのファイアウォールを使用して、対象マ
シンを切り離してからユーザーに通知します。
図 4: マシン タイムラインから Outlook で Word ファイルを
開いたことがわかる
ファイルビュー
Windows Defender ATP では、調査すべき不審
なファイルのアラートを発行します。一方、外
部ソースから不審なファイルに関する情報を入
手し、そのファイルが自社の環境内にあるかど
うかを確認することもできます。このような場
合にファイル ビューを使用すると便利です。
ファイル ビューでは、ファイルのハッシュに基
づく豊富な情報から、ファイルの正当性をすば
やく判断することができます。ファイルの
MD5、SHA1、SHA256 の各ハッシュ値のほか、
ファイルの署名者の情報などを参照することが
できます。Windows Defender Antivirus で既に
有害性が特定されている場合には、その情報と
共に、サードパーティ サービスによるファイル
ハッシュの確定評価が表示されます。ファイル
のハッシュ値に基づいて、組織内に存在する
ファイルの別名を調べることも可能です。また、
組織内や (匿名の) 世界中のファイルの拡散状況
から、対象ファイルが自社環境にカスタマイズ
されたものなのか、一般に広く拡散されている
ものなのかを判断することもできます。
• ファイルの停止と検疫: 特定の攻撃を組織
全体で封じ込めます。マルウェアの実行停
止、ファイルの検疫、環境内からの除去を
行います。
• ファイルのブロック: インターネット上の
あらゆる場所から侵入しようとする特定の
攻撃ファイルをブロックします。
• ファイルの詳細分析: 実行可能ファイルを
詳細分析に送り、コールアウト IP アドレ
ス、ダウンロードされたファイル、作成ま
たは変更されたレジストリ キーなどのイ
ンジケーターを収集します。テナントに影
響を与えないサンドボックス内で分析を実
行するため、データをセキュアに保ちます。
ファイル ビューでは、ワンクリック オプショ
ンで次のような対応が可能です。
図 5: Windows Defender ATP コンソールのファイルビュー
さらに、ファイル ビューには、Windows
Defender ATP によって対象ファイルのハッ
シュ値が検出されたマシンのタイムラインが表
示されるため、修復が必要なシステムを割り出
すことができます。図 5 は不審なファイルの情
報を表示しています。この画面からワンクリッ
クで対象ファイルの配布を禁止し、分析に回す
ことができます。
ユーザービュー
• ユーザーがサインインしたマシン
• Azure AD テナントのユーザー アカウント
の詳細
• 対象ユーザーに関連したアラート
• 組織内での活動履歴 (サインインしたマシ
ン)
特定のユーザー アカウントの詳細情報を収集し
たい場合には、他のビューから簡単にユーザー
ビューへと切り替えることができます。この
ビューでは、ユーザーの役割や正常時のアク
ティビティの種類をひとめで確認できます。
ユーザー アカウントの側面から資格情報の侵害
を調査することで、そのアカウントを使用する
マシンの間で拡大する被害を特定できます。
ユーザー アカウント情報は、ダッシュボードや
アラート キューのほか、マシンの詳細ページに
表示されます。
ユーザー アカウントのリンクをクリックすると、
詳細ページで次のような情報を確認できます。
検索機能による攻撃のエビデンスの探
索
これにより、脅威の拡散状況や資格情報の侵害
の可能性などを調査することができます。アカ
ウント侵害の可能性が高い場合、このビューで
対象のアカウントが最近使用したシステムを確
認することができます。さらに、アカウント侵
害が疑われる日の前後で、アカウント アクティ
ビティのプロファイルを作成して、正常なアク
ティビティと悪意あるアクティビティをより的
確に見分けることができます。
図 6 のように、ユーザー ビューでは、ユーザー
がサインインしたデバイスや、ユーザーのアカ
ウント関連するアラートなどの詳細情報を確認
できます。
図 6: Windows Defender ATP コンソールのユーザービュー
マイクロソフトでは Windows Defender ATP
コンソールの検索バーを使用して、ファイル名
やハッシュ、IP アドレスまたは URL、挙動、
マシン、ユーザーといった攻撃のエビデンスを
探索しています。アラートがない状態でネット
ワーク内の悪意ある活動を捕らえる際に便利な
のが、検索機能とビューの切り替え機能です。
検索結果からすばやくセキュリティ侵害の影響
へと視点を変えることで、環境全体を広く調査
することができます。たとえば、特定の IP ア
ドレスやファイルが以前から存在していたかど
うかを確認したり、以前に存在していなかった
一連のファイル ハッシュを環境内から探し出し
たりします。
ユースケース: フィッシングとランサムウェア
ランサムウェア
Windows Defender ATP は、フィッシング攻撃
やランサムウェア攻撃など、エンドポイント上
のあらゆる種類の脅威および侵害行為を検出し
ます。
フィッシング
• 資格情報の窃盗: 資格情報の窃盗サイトへ
のアクセス履歴。
• 悪意あるファイル: ネットワーク全体から
目的のファイルまたはそのハッシュを検索。
• 悪意あるファイルのダウンロード: 対象
ファイルのダウンロード元の情報。
フィッシング攻撃の手がかりを早期に察知する
ことで、対応スピードもアップします。
Windows Defender ATP では一連の不審な挙動
に関するアラートを使用して、社内ユーザーを
狙ったフィッシング攻撃を検知することができ
ます。Windows Defender ATP コンソールでは
さまざまな情報を元に、ファイルのドロップ、
悪意あるファイルのダウンロード、資格情報の
窃盗サイトへのアクセスなど、フィッシング
メールによるアクションを判断します。Windows Defender ATP には、ランサムウェア
を検出するための特定の挙動分析機能が組み込
まれており、通常のマルウェア対策ツールでは
見つからないようなファイルでも、感染を検知
して通知します。マルウェア拡散のリスクがあ
る場合は、マシンを隔離する対応オプションも
あります。
各アラートは感染ステージと対応付けられてお
り、実行中のランサムウェアの進行具合をすぐ
に判断できるようになっています。Windows
Defender ATP は、ランサムウェアの感染ベク
トルを特定するための信頼性の高いインジケー
ターとフォレンジック データの収集ツールを備
えています。マイクロソフトでは Windows
Defender ATP 内の挙動アラート機能が検知し
たインジケーターを使用し、ネットワーク全体
で脅威の防止策を講じています。
Office 365 ATP と統合することで、フィッシン
グ メールの送信元と、受信者の情報を確認でき
るようになります。また、サイトの IP アドレ
スやサイト名から、同じサイトにアクセスした
ユーザーを洗い出して、新たなバリアントを発
見することもできます。さらに、最大で過去 6
か月分の保管データについてフィッシング イン
ジケーターを遡って分析し、見過ごされていた
活動を検出することも可能です。
詳細情報Microsoft IT Showcase
• Microsoft IT Showcase (英
語)
• Windows Defender
Advanced Threat
Protection (ATP)
• Windows のセキュリティ:
Windows Defender
Advanced Threat
Protection
• Microsoft IT: Windows
Defender を使用してマル
ウェア対策を強化 (英語)
• Windows Defender の製品
利用統計情報でマルウェ
アによる攻撃を軽減 (英
語)
進化する脅威に適応
Windows Defender ATP は常に進化する製品です。新たな脅
威に備える専任の開発チームが、マルウェア分析のエキス
パートと共に最新のマルウェアの潜伏手法を研究し、エンド
ポイントでの検出方法を生み出しています。
Windows Defender ATP の開発者とセキュリティ アナリス
トが緊密に意見交換を行うことで、ツールが強化されアナリ
ストの業務がさらに向上します。Windows Defender ATP の
製品グループは CSE のアナリストと幅広く連携しながら、
マルウェアに間違われやすい無害な挙動と、悪意あるアク
ティビティのインスタンスとの判定性能を向上し、誤検知の
軽減に努めています。また、アラート チューニング機能の実
装により、害のない挙動やイベントに対してアラートを発行
しないよう制御可能になったことで、アナリストが不要なア
ラートに神経をすり減らすことがなくなりました。この
チューニング機能は、マイクロソフトだけでなく、すべての
Windows Defender ATP テナントの検知精度の向上に役に立
ちます。また、コンソールのエクスペリエンスの向上にも積
極的に取り組んでいます。
まとめ
Windows Defender ATP は現代のビジネスに配慮した次世代
型セキュリティ製品の代表とも言えます。マイクロソフトの
セキュリティ アナリストにとって、これは新種の脅威を検出
したりマシン データを分析したりするための必須のツールで
す。精度の高い脅威検知とデータに基づく調査により、迅速
な対応を可能にしています。マイクロソフトのアナリストは
Windows Defender ATP を使用することで、より多くのシス
テム アラートに対し、より短い時間で対処できるようになり
ました。
© 2017 Microsoft Corporation. このドキュメントに記載された内容は情報の提供のみを目的としています。
明示または黙示にかかわらず、この要約に関してマイクロソフトはいかなる責任も負わないものとします。
このドキュメントに記載されている実在する企業名および製品名は各社の商標です。
