microsoft 365 で実践 さよなら ネットワークセキュリティ · azure active directory...
TRANSCRIPT
PR20
Microsoft 365 で実践! さよなら!
ネットワーク セキュリティ
川上 貴史
日本マイクロソフト株式会社
セキュリティ技術営業部
テクノロジーソリューションプロフェッショナル
荒木 さつき
「境界防御」
境界防御を前提としたセキュリティ
インターネット
安全なネットワーク 安全ではないネットワーク
境界防御を前提としたセキュリティ
インターネット
安全なネットワーク 安全ではないネットワーク
クラウドサービスの登場
インターネット
安全なネットワーク 安全ではないネットワーク
クラウドサービスの登場
インターネット
安全なネットワーク 安全ではないネットワーク
クラウドサービスの登場
インターネット
安全なネットワーク 安全ではないネットワーク
クラウドサービスの登場
クラウドサービスの登場
VPN・VDIの経路を暗号化
クラウドサービスへの経路を暗号化
クラウドサービスの登場
• セッション数が2倍
• 消費帯域が2倍
• 認証が2回
• 暗号・復号処理を2回
• IPルートの再考
• PACファイルの再考
VPN・VDIの経路を暗号化
クラウドサービスへの経路を暗号化
クラウドサービス利用時にネットワークのサイジング調整が必須
クラウドサービスへのセキュリティ
• クラウドセキュリティの4つのポイント• 利用サービスの可視化
• 脅威からの防御
• コンプライアンスの確保
• データの保護
VPN・VDIの経路を暗号化
クラウドサービスへの経路を暗号化
対策に必要な導入・運用・人・お金がおいつかないよ・・・
クラウドサービスの登場は境界防御の終焉
インターネット
安全なネットワーク 安全ではないネットワーク
だから、「ゼロトラストネットワーク」だから、「Microsoft 365」
「ゼロトラストネットワーク」 です!
「Microsoft 365」
大事なことなのでもう1回!
セキュリティで守るべきもの
Identity & access management
IDとアクセス管理
Threat protection
脅威からの保護
Information protection
情報保護
Security
management セキュリティ統合管理
こんにちは 「Microsoft 365」です!
21
Enterprise Mobility+ Security
Windows 10
検知分析防御力向上 被害軽減 事後対応
なりすまし対策
マルウェア対策
多要素認証ユーザーIDの統合
認証基盤要塞化
サーバーの安全公開
標的型メール対策 スパムメール対策
アクセス制御
安全なWeb閲覧
安全な構成
脆弱性緩和
ログ管理 ネットワーク分離
ドキュメント暗号化
標的型攻撃検知 メール暗号化
侵入拡大防止
盗難紛失対策
電子文書管理
不正アプリ起動防止
ファイル追跡
アクセス権の無効化
リモートワイプ
Office 365
ユーザーを取り巻くセキュリティ
ユーザー
オンプレミス
クラウドサービス
Microsoft365をユーザーに適用すると
ユーザー
オンプレミス
クラウドサービス
Intune
System CenterConfiguration Manager
Windows DefenderAdvanced Threat Protection
AzureInformation Protection
AzureInformation Protection
Microsoft Cloud App Security
Azure ActiveDirectory Premium
WindowsInformation Protection
「Microsoft Information Protection」
セキュリティの管理
ユーザー
オンプレミス
クラウドサービス
管理者
Microsoft365を管理者に適用すると
ユーザー
オンプレミス
クラウドサービス
管理者
Office 365 AdvancedThreat Protection
Azure ActiveDirectory Premium
Azure ActiveDirectory Premium
Office 365 ThreatIntelligence
Microsoft365を管理者に適用すると
ユーザー
オンプレミス
クラウドサービス
管理者
各ポイントで検知されたインシデント・イベントを集約し、インシデントの原因をつきとめ、被害を局所化し封じ込めを行う
セキュリティの管理
ユーザー
オンプレミス
クラウドサービス
管理者
各ポイントで検知されたインシデント・イベントを集約し、インシデントの原因をつきとめ、被害を局所化し封じ込めを行うEnterprise Mobility
+ Security
Windows 10
Office 365
Microsoft ATPのすべて
攻撃の持続性確保タスクスケジューラやレジストリの変更により攻撃の持続
性を確保
OS の脆弱性を利用した権限の昇格
悪意のあるサイトへの誘導
悪意のあるサイトへ誘導してバックドアを仕込む
悪意のある Office マクロやスクリプトの利用
攻撃者のサーバーに接続するためのツールとして悪用
拡張子を偽装したファイルの利用
(RLO 攻撃)Exe を実行させるために拡張子を右から左に変更し、アイコンを Office や PDFに偽装
する
不審な IP アドレスとの通信
ハッカーのサーバへの通信を確立させ攻撃を継続化させる
既知のマルウェアウイルス、ワーム、
トロイの木馬、スパイウェアなど既知の
マルウェア攻撃
ランサムウェアデータを暗号化し暗号化解除に仮想通貨での支払いを要求
する
ファイルレス攻撃実行ファイルを利用せず、
Power Shell やコマンドなど正規のプログラムを攻撃に活
用
正規のプロセスになりすまして攻撃
プロセスホロウィングなど正規のプロセスに偽装して攻撃
を行う
Cyber Kill Chainに基づく多層型検知・防御ソリューション
メールの受信 添付ファイルを開く
URL をクリック 攻略行為
マルウェアや悪意のあるコードの実行
攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大
リソースへのアクセス内部偵察
偵察Reconnaissance
攻撃Exploitation
配送Delivery
インストールInstall
ドメインを乗っ取るためのネットワーク内部調査
同じネットワークにいる端末に横展開するための偵察行為
他の端末に不正アクセスMimikaz や psexec などのツールを使用し、Pass the
Hash やPass the Ticket を利用した
不正アクセスを実施
ドメイン侵害ドメイン Admin の資格情報を保有する端末に不正アクセスし資格情報を不正に取得
偵察
なりすましメール悪意のある添付ファイルやURL が記載されたメールが
着弾
遠隔操作Command & Control
目的達成Objectives
侵入拡大Lateral Movement
個別最適での導入で運用が回せるのか?!
Cyber Kill Chainに基づく多層型検知・防御ソリューション
メールの受信 添付ファイルを開く
URL をクリック 攻略行為
マルウェアや悪意のあるコードの実行
攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大
リソースへのアクセス内部偵察
偵察Reconnaissance
攻撃Exploitation
配送Delivery
インストールInstall
偵察
遠隔操作Command & Control
目的達成Objectives
侵入拡大Lateral Movement
検知Detect
防御Protect
対処Respond
Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確
認Office 365 Threat
Intelligence悪質なメールの詳細取得及び細かい対応が可
能
Office 365 ATP不正なリンクへの誘導を
防御
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderApplication Guard
セキュアブラウザにより不正サイトを
介した攻撃を防御
Windows DefenderExploit Guard
Network Protection
Windows DefenderAntivirus
既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知
Windows DefenderExploit Guard
Controlled Folder Access
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderCredential GuardPass The Hash,
Pass the Ticket からの防御
Azure ATPGolden Ticket や
特権アカウントなどの検知Advanced Threat
Analytics (On Premise)
Azure ATPPass the Hash, Pass the
Ticket などの検知Advanced Threat
Analytics (On Premise)
Windows DefenderATP
RLO 攻撃を検知
Windows DefenderATP
プロセスホロウィングなど正規のプロセスからの
攻撃を検知
Windows DefenderATP
バックドアなどの異常行動を検知
Windows DefenderATP
不正な権限昇格を検知
Windows DefenderATP
ポートスキャン等の内部偵察を検知
Microsoft ATP
Office 365 ATPWindows
Defender Series
Windows
Defender ATP
Azure ATP
クラウドセキュリティ (個別最適なケースが多い) As-Is
本社
Azure AD
悪意のある添付ファイルフィッシングリンク付きのメール
SharePoint等からファイルの
大量ダウンロード
悪質なメールの削除 既知対策をインライン
未知対策を検知モードで実装
している場合がほとんど
脅威
CASBは
まだまだ検討段階
認証の可視化は
されていない場合がほとんど
ブルートフォース攻撃漏洩した資格情報での
ログイン
既知対策のAVのみ実装
している場合がほとんど高度なファイルレス攻撃未知のマルウェア感染
操作ログは取得しているが
DLPはまだまだ検討段階
機密情報の漏洩
Office 365
悪意のあるメールの削除対応は
人的な連携で運用している
場合がほとんど
EDRを含めたエンドポイントセキュリティ
クラウドセキュリティ (全体最適&自動連携) To-Be
本社
Office 365 ATP
悪質な添付ファイルの振る舞い分析悪質なフィッシンリングリンクの書き換え
マイクロソフト解決策
脅威
Cloud App Security
シャドーITの検出SaaS内での機密情報の可視化異常行動検知
Azure ATP
不正なIPからのサインインの検知・対処異常な場所移動でのサインイン検知・対処
Windows Defender ATP
エンドポイントの攻撃の検知・自動調査および自動対処
Azure Information Protection
機密情報の自動ラベリングおよび暗号化
Office 365
Threat Intelligence
O365 へのテナント攻撃を可視化メールボックスに対して未読状態のマルウェア添付メールの削除可能
EDRを含めたエンドポイントセキュリティ
Azure AD
悪意のある添付ファイルフィッシングリンク付きのメール
SharePoint等からファイルの
大量ダウンロード
悪質なメールの削除
ブルートフォース攻撃漏洩した資格情報での
ログイン
高度なファイルレス攻撃未知のマルウェア感染
機密情報の漏洩
エンドポイントセキュリティ (OSビルトイン)
既知のマルウェア対策(シグネチャマッチング)
未知のマルウェア対策①+②(ファイルレピュテーション
+ 機械学習)
不審な挙動の検知(EDR for IOA)
高度な攻撃の検知(EDR for IOC)
- 弊社以外の競合製品は少ない -(IOAに対応している製品は少ない)
Windows Defenderウイルス対策
Windows DefenderCloud Protection
+ Machine Learning
Windows Defender ATP
Windows DefenderATP
Windows DefenderExploit Guard
BitLocker
Windows DefenderDevice Guard
HDD/SSD暗号化
資格情報の保護 - 弊社以外に競合製品なし -Windows DefenderCredential Guard
未知のマルウェア対策③(脆弱性/マクロ悪用対策 + NW保護)
- この対策は未導入 -
最新の脅威に対する対策要件 とある構成 (As-Is) 全部入りです(To-Be)
ブートレコード保護 - 弊社以外に競合製品なし -
Trend Micro VB Corp.
(1,000円前後?*)
- この対策は未導入 -
1階
3階
1デバイス当たり
管理サーバやクライアントのバージョンアップ対応コスト大
2階
- この対策は未導入 -
- この対策は未導入 -
某アンチウィルス 製品要オンプレ
サーバ (DB)無償に
既存対策費用をご投資頂くことにより、
展開費用無しで、自動化された高度
な脅威対策が可能に!
管理サーバ不要OSビルトインでバージョンアップ対応コスト無し
対処の
自動化
1ユーザ(ID)当たり
某ドライブ暗号化 製品
Cyber Kill Chainに基づく多層型検知・防御ソリューション
メールの受信 添付ファイルを開く
URL をクリック 攻略行為
マルウェアや悪意のあるコードの実行
攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大
リソースへのアクセス内部偵察
偵察Reconnaissance
攻撃Exploitation
配送Delivery
インストールInstall
偵察
遠隔操作Command & Control
目的達成Objectives
侵入拡大Lateral Movement
検知Detect
防御Protect
対処Respond
Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確
認Office 365 Threat
Intelligence悪質なメールの詳細取得及び細かい対応が可
能
Office 365 ATP不正なリンクへの誘導を
防御
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderApplication Guard
セキュアブラウザにより不正サイトを
介した攻撃を防御
Windows DefenderExploit Guard
Network Protection
Windows DefenderAntivirus
既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知
Windows DefenderExploit Guard
Controlled Folder Access
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderCredential GuardPass The Hash,
Pass the Ticket からの防御
Azure ATPGolden Ticket や
特権アカウントなどの検知Advanced Threat
Analytics (On Premise)
Azure ATPPass the Hash, Pass the
Ticket などの検知Advanced Threat
Analytics (On Premise)
Windows DefenderATP
RLO 攻撃を検知
Windows DefenderATP
プロセスホロウィングなど正規のプロセスからの
攻撃を検知
Windows DefenderATP
バックドアなどの異常行動を検知
Windows DefenderATP
不正な権限昇格を検知
Windows DefenderATP
ポートスキャン等の内部偵察を検知
Microsoft ATP
Office 365 ATP
メールを入り口とした悪意のある攻撃を「検知&ブロック」
①既知のマルウエアに対する保護
②未知のマルウェアに対する保護
③悪意のある URL に対してクリック時の保護をリアルタイムに提供
Office 365 ATPへの投資と継続的な機能実装
マルウェア検知率
99.9%
ファイルの
デトネーション時間
平均45秒新機能の追加実装
他のサービスと連携:メール以外の経路からの侵入にも対応
Microsoft Teams
BEC (Business Email Compromise) ビジネスメール詐欺被害状況
世界での被害件数
22,143 件以上
世界での被害総額
3100億 円
1件あたりの被害額
1600万 円
2013年10月から2016年6月における「BEC」の活動による調査情報 https://www.ic3.gov/media/2016/160614.aspx
BECとは企業や法人における業務メールの盗み見を発端に、
経営幹部や取引先を偽装するなりすましメールにより、偽の送金指示を送る詐欺手口
Office 365 ATP フィッシング対策
①社内端末に感染からメールのやり取りなど監視する
②宛先をCEOに成りすまして、CEOに成りすまして金銭振り込みのメールをCFOに送る
CFOに対しては金銭的なやり取りや振り込み命令を定期的に行っている
CFO
【検知】
Office 365 ATP フィッシング対策による保護対象により、
なりすましメールを検知、管理者に連絡が行くとともに
メールを検疫する事が可能。
• ドメイン偽装
• ユーザーのなりすまし
2点に関してのなりすまし対策をする事が可能
【対処】
• 検疫フォルダに送信、受信者にメールは届かない
• 管理者アドレスにそのメールを送信
• 受信者の迷惑フォルダに送信
• メッセージを送信し、Bccで他のユーザーにメールを送信
などの対処をする事が可能、ドメイン単位、ユーザー単位でアクションも様々に設定する事が可能。
IT管理者
③Office 365 ATP が検知するとメールを検疫にかける
フィッシング対策CEOなどになりすましてCFOにメールを送った際に検知し、メールを検疫にかける事が可能
ドメインとユーザーのなりすましを検知
Office 365 ATP と競合他社との利用ユーザ規模の比較
Office 365 ATP の検出機能を利用するお客様の数は急増しており、他のトップ セキュリティ ベンダーのユーザー数をすべて合わせても、
Office 365 ATP の利用者数には届きません。この数は、シェア第 2位のベンダーのエンド ユーザー数の3倍になります。
利用ユーザ数は
そのベンダーが保持している
脅威情報の質や量に直結する
ため、セキュリティ・ソリューション
をご検討いただく上で
非常に重要な要素です
Cyber Kill Chainに基づく多層型検知ソリューション
メールの受信 添付ファイルを開く
URL をクリック 攻略行為
マルウェアや悪意のあるコードの実行
攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大
リソースへのアクセス内部偵察
偵察Reconnaissance
攻撃Exploitation
配送Delivery
インストールInstall
偵察
遠隔操作Command & Control
目的達成Objectives
侵入拡大Lateral Movement
検知Detect
防御Protect
対処Respond
Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確
認Office 365 Threat
Intelligence悪質なメールの詳細取得及び細かい対応が可
能
Office 365 ATP不正なリンクへの誘導を
防御
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderApplication Guard
セキュアブラウザにより不正サイトを
介した攻撃を防御
Windows DefenderExploit Guard
Network Protection
Windows DefenderAntivirus
既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知
Windows DefenderExploit Guard
Controlled Folder Access
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderCredential GuardPass The Hash,
Pass the Ticket からの防御
Azure ATPGolden Ticket や
特権アカウントなどの検知Advanced Threat
Analytics (On Premise)
Azure ATPPass the Hash, Pass the
Ticket などの検知Advanced Threat
Analytics (On Premise)
Windows DefenderATP
RLO 攻撃を検知
Windows DefenderATP
プロセスホロウィングなど正規のプロセスからの
攻撃を検知
Windows DefenderATP
バックドアなどの異常行動を検知
Windows DefenderATP
不正な権限昇格を検知
Windows DefenderATP
ポートスキャン等の内部偵察を検知
Microsoft ATP
Windows
Defender ATP
エンドポイントセキュリティ (OSビルトイン)
47
既知のマルウェア対策(シグネチャマッチング)
未知のマルウェア対策①+②(ファイルレピュテーション
+ 機械学習)
不審な挙動の検知(EDR for IOA)
高度な攻撃の検知(EDR for IOC)
- 弊社以外の競合製品は少ない -(IOAに対応している製品は少ない)
Windows Defenderウイルス対策
Windows DefenderCloud Protection
+ Machine Learning
Windows Defender ATP
Windows DefenderATP
Windows DefenderExploit Guard
BitLocker
Windows DefenderDevice Guard
HDD/SSD暗号化
資格情報の保護 - 弊社以外に競合製品なし -Windows DefenderCredential Guard
未知のマルウェア対策③(脆弱性/マクロ悪用対策 + NW保護)
- この対策は未導入 -
最新の脅威に対する対策要件 とある構成 (As-Is) 全部入りです(To-Be)
ブートレコード保護 - 弊社以外に競合製品なし -
Trend Micro VB Corp.
(1,000円前後?*)
- この対策は未導入 -
1階
3階
1デバイス当たり
管理サーバやクライアントのバージョンアップ対応コスト大
2階
- この対策は未導入 -
- この対策は未導入 -
某アンチウィルス 製品要オンプレ
サーバ (DB)無償に
既存対策費用をご投資頂くことにより、
展開費用無しで、自動化された高度
な脅威対策が可能に!
管理サーバ不要OSビルトインでバージョンアップ対応コスト無し
対処の
自動化
1ユーザ(ID)当たり
某ドライブ暗号化 製品
高度化・巧妙化する攻撃手法
ソーシャルエンジニアリング攻撃
1 Day エクスプロイト
ファイルベースのユーザーモードのマルウェア
ASEP による永続性
端末間を移動する Pass the Hash ツール
現在
0-day エクスプロイト
プロセスインジェクションによるメモリベースの攻撃
カスタムツールで端末間を移動
メモリベースの攻撃
0-day エクスプロイト
カーネルモードの悪用とカーネルインプラントによる永続性
カーネルベースの攻撃
巧妙な攻撃の早期検知・対応が必要
ファイルベース ファイルレス
定義ファイル更新型のアンチウイルス ソフトの限界
マルウェアのライフサイクルは
シグネチャ ベースの保護よりも速い
定義ファイルは平均 20 時間後に
亜種に対応するが(Windows Defender AV は 1 日に 3 回の配信)
そもそもマルウェアの 85% は
亜種であり、最初の 4 時間で世の中の
デバイスの 30% が感染し、
攻撃者は 7 時間以内に攻撃を追える
最初の 4 時間でデバイスの30% が
感染
20 時間後に
シグネチャ アップデートが行われる PC が増える
マルウェアの着弾の時系列
マルウェアの感染割合
定義ファイルの更新割合
マルウェアの多品種化 (ロングテール) 総量で見ると既知のマルウェアが
大半を占めるが、種類で見ると
96% ものマルウェアが一度しか
検出されない
言い換えると総数ではなく種類で見ると 96%
ものマルウェアが未知
頻度
種類
EDRが担うべき領域
AV(EPP)が担うべき領域
2度現れる
4%は
AV(EPP)が担うべき領域
2度と現れない96%は
EDRが担うべき領域
Endpoint Detection and
Response
EDR は、進行中の高度な攻
撃を早期に特定し、検出され
た攻撃に、迅速に対応するた
めに作られた、新しいセキュリ
ティ技術です。
そもそも EDR って何?
以下の 4 機能を備えたソリューション
① セキュリティ インシデントの検出
② セキュリティ インシデントの調査
③ インシデントを封じ込める
④ エンドポイントを修復する
Windows Defender ATP 動作概要
管理者
クライアント
常駐のセンサーでクライアントの情報を収集
例)
プロセッサー、レジストリ、ファイル、ネットワーク
収集したデータを
クラウドに送信
ポータルで
現状の把握 専用のテナント
クラウドからの情報
セキュリティ業界からの
情報
Microsoft 社内の
セキュリティ技術者の情報
Microsoft 社内の
リサーチ結果
Microsoft Threat Intelligence 蓄積された Knowledge の活用
Windows
Defender ATP
Security Information and
Event Management (SEIM)
エンドポイントセキュリティ (OSビルトイン)
既知のマルウェア対策(シグネチャマッチング)
未知のマルウェア対策①+②(ファイルレピュテーション
+ 機械学習)
不審な挙動の検知(EDR for IOA)
高度な攻撃の検知(EDR for IOC)
- 弊社以外の競合製品は少ない -(IOAに対応している製品は少ない)
Windows Defenderウイルス対策
Windows DefenderCloud Protection
+ Machine Learning
Windows Defender ATP
Windows DefenderATP
Windows DefenderExploit Guard
BitLocker
Windows DefenderDevice Guard
HDD/SSD暗号化
資格情報の保護 - 弊社以外に競合製品なし -Windows DefenderCredential Guard
未知のマルウェア対策③(脆弱性/マクロ悪用対策 + NW保護)
- この対策は未導入 -
最新の脅威に対する対策要件 とある構成 (As-Is) 全部入りです(To-Be)
ブートレコード保護 - 弊社以外に競合製品なし -
Trend Micro VB Corp.
(1,000円前後?*)
- この対策は未導入 -
1階
3階
1デバイス当たり
管理サーバやクライアントのバージョンアップ対応コスト大
2階
- この対策は未導入 -
- この対策は未導入 -
某アンチウィルス 製品要オンプレ
サーバ (DB)無償に
既存対策費用をご投資頂くことにより、
展開費用無しで、自動化された高度
な脅威対策が可能に!
管理サーバ不要OSビルトインでバージョンアップ対応コスト無し
対処の
自動化
1ユーザ(ID)当たり
某ドライブ暗号化 製品
IOC : Indicator of Compromise既知の攻撃のデータベース
✓ マルウェア
✓ シグネチャ
✓ エクスプロイト IP アドレス
✓ 脆弱性
IOA : Indicator of Attack未知の攻撃のデータベース
✓ 水平移動
✓ C&Cサーバーへの接続✓ ステルス行動、永続性
✓ コード実行
Cyber Kill Chainに基づく多層型検知ソリューション
メールの受信 添付ファイルを開く
URL をクリック 攻略行為
マルウェアや悪意のあるコードの実行
攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大
リソースへのアクセス内部偵察
偵察Reconnaissance
攻撃Exploitation
配送Delivery
インストールInstall
偵察
遠隔操作Command & Control
目的達成Objectives
侵入拡大Lateral Movement
検知Detect
防御Protect
対処Respond
Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確
認Office 365 Threat
Intelligence悪質なメールの詳細取得及び細かい対応が可
能
Office 365 ATP不正なリンクへの誘導を
防御
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderApplication Guard
セキュアブラウザにより不正サイトを
介した攻撃を防御
Windows DefenderExploit Guard
Network Protection
Windows DefenderAntivirus
既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知
Windows DefenderExploit Guard
Controlled Folder Access
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderCredential GuardPass The Hash,
Pass the Ticket からの防御
Azure ATPGolden Ticket や
特権アカウントなどの検知Advanced Threat
Analytics (On Premise)
Azure ATPPass the Hash, Pass the
Ticket などの検知Advanced Threat
Analytics (On Premise)
Windows DefenderATP
RLO 攻撃を検知
Windows DefenderATP
プロセスホロウィングなど正規のプロセスからの
攻撃を検知
Windows DefenderATP
バックドアなどの異常行動を検知
Windows DefenderATP
不正な権限昇格を検知
Windows DefenderATP
ポートスキャン等の内部偵察を検知
Microsoft ATP
IOA と IOC を両方用いて検知・対処する事が大切ひとつひとつの痕跡に対する判断では悪意のある行為か通常の行為かの区別がつかないが、
IOA と IOC のアラートを一連の行為を関連付けて考えれば、悪意のある行為だと推定できる。
既知のマルウェア検知不正なIPアドレスとの
通信資格情報の盗難
Power Shellコマンドリモート実行
通常ないIPアドレスとの通信
IOC
IOA
54
サイバーキルチェーン毎のアラート表示
エンドポイント上でどのように
攻撃されているのか可視化
EnterpriseE5
サイバーキルチェーンのカテゴライズにのっとり
アラートを表示
一つのエンドポイントでどのように侵害され
たのか把握可能
55
攻撃の具体的な流れの可視化
EnterpriseE5
Power Shell コマンドも詳細把握可能
レジストリに永続化のプロセスを仕込んだ詳
細まで把握可能
プロセスやexeなどの動作順序がすべてトラッキングし
ているので、
どのプロセスが悪さをしているのか把握可能
コマンドベースで検知可能
56
EnterpriseE5
他の端末で同じexeファイルやプロセスが動作している場合
はIncident Graphにより可視化、横展開を知らせる
今回は他に5台実行している端末が見つかる
拡散の基点
拡散の広がりを把握する事が可能
脅威の拡散状況の可視化(Incident Graph)
57管理コンソール : アクション
クライアントの特定のプロセスの停止管理コンソールより、クライアント端末で実行されている特定のプログラムのプロセ
スを停止可能。
特定のファイルの実行防止管理者がファイルを登録することで、企業内のクライアント端末上で特定のファイ
ルの実行を防止。※ 本機能は「Windows Defender ウイルス対策」の利用が必要
ネットワークからの切り離し
管理コンソールより、特定のクライアント端末をネットワークから切り離すことが可
能。
フォレンジック解析用のデータ取得セキュリティ インシデントの調査用ファイルの収集が可能
57
EnterpriseE5
Windows Defender ウイルス対策のスキャン遠隔でアンチウイルスソフトのスキャンの命令を行う事が可能。
Microsoftの証明書が付与しているアプリのみの実行制限Microsoft以外の証明書が付与しているアプリを動作させないようにする事が可
能。
管理コンソールからクライアントへの対応が可能
組織内の全ての端末をリモートで対処
58
EnterpriseE5
Hexadite の技術を統合セキュリティ オートメーションでの実績がある
Hexadite 社の技術を Defender ATP の機能へ統
合。
セキュリティ侵害に対する自動的な調査や対策を行
う人工知能(AI)ベースの機能。
Automated Investigationアラートの調査や脅威への対処を、人手を介入させ
ることなく、あるいは半自動モードで行える。
Automated Investigation
他の端末での相関などもAIが判断して自動で横断的に調査し対処
AIを活用した対処の自動化
Built in. Cloud powered
Windows Defender ATP
ENDPOINT DETECTION & RESPONSE
高度な攻撃の検出、調査、対応
ATTACK SURFACE REDUCTION
攻撃・攻略行為の阻止
AUTO INVESTIGATION& REMEDIATION
脅威の発見からいち早く対処
SECURITY POSTURE
組織のセキュリティの状況を可視化し、改善する
NEXT GENERATION PROTECTION
新たな脅威から保護する
MANAGED HUNTING
Managed HuntingService
統合管理
Windows Defender ATP = EDRだけじゃない!!!
Windows Defender ATP vs 他EDRベンダー製品
要件 WD ATP 他EDRベンダー製品 補足
エクスプロイト対策ができるか 〇次世代型AV機能がOSビルトイン
Xこれができないとすり抜けが多くなる
ファイルレス攻撃やマクロ悪用攻撃などに対す
る次世代型AV機能も含まれているか
IOC情報だけでなく
IOA情報も検知できるか〇 ほぼX or 一部〇
検知できる内容が限定される
EDRに求められる価値の1つとして、マルウェア
の挙動に関する情報を漏れなく記録するため
に、IOA情報も検知できる必要がある
EXOメールとの連携 〇 Xメール運用チームとの人的な連携必要
検知したメール由来の攻撃に対して、全社的に
同様のメールが届いていないか即座に把握し、
メールへの対処も連携して実施できるか
Azure ADとの連携 〇 XAD運用チームとの人的な連携必要
攻撃された端末のリスクレベルに応じ、企業の
機密データを含むクラウド/オンプレサービスへの
アクセス権を、即座に自動コントロールできるか
脅威ハンティング機能
およびサービス〇
元から機能あり/MSSで活用
ほぼX or 一部〇元から機能なし/MSSとは別のサービス
脅威情報の活用ができるか
WD ATPの場合、プラットフォームに付属してい
るため、MSSで活用も当たり前
カーネルモードで稼働するか 〇 ほぼX or 一部〇検知できる内容が限定される
カーネルモードで稼働すると、ユーザーモードで稼
働するよりも、より詳細な挙動を検知でき、且
つ端末への負荷も少ない
インシデントレスポンス自動化
が実装されているか〇
自動化機能がOSビルトイン
Xインシデントレスポンスに時間を要する
自動化が実装されているEDR製品はWDATP
以外には存在しない。MSSのコスト低減にも寄
与する可能性を見出せる。
CASBとの連携 〇エージェント機能がOSビルトイン
Xクラウドサービスを利用するにあたって、CASBの
要件がある場合、ProxyやAPI経由でのCASB
よりも、エージェント型CASBは運用的に有利
Cyber Kill Chainに基づく多層型検知・防御ソリューション
メールの受信 添付ファイルを開く
URL をクリック 攻略行為
マルウェアや悪意のあるコードの実行
攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大
リソースへのアクセス内部偵察
偵察Reconnaissance
攻撃Exploitation
配送Delivery
インストールInstall
偵察
遠隔操作Command & Control
目的達成Objectives
侵入拡大Lateral Movement
検知Detect
防御Protect
対処Respond
Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確
認Office 365 Threat
Intelligence悪質なメールの詳細取得及び細かい対応が可
能
Office 365 ATP不正なリンクへの誘導を
防御
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderApplication Guard
セキュアブラウザにより不正サイトを
介した攻撃を防御
Windows DefenderExploit Guard
Network Protection
Windows DefenderAntivirus
既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知
Windows DefenderExploit Guard
Controlled Folder Access
Windows DefenderExploit GuardAttack Surface
Reduction
Windows DefenderCredential GuardPass The Hash,
Pass the Ticket からの防御
Azure ATPGolden Ticket や
特権アカウントなどの検知Advanced Threat
Analytics (On Premise)
Azure ATPPass the Hash, Pass the
Ticket などの検知Advanced Threat
Analytics (On Premise)
Windows DefenderATP
RLO 攻撃を検知
Windows DefenderATP
プロセスホロウィングなど正規のプロセスからの
攻撃を検知
Windows DefenderATP
バックドアなどの異常行動を検知
Windows DefenderATP
不正な権限昇格を検知
Windows DefenderATP
ポートスキャン等の内部偵察を検知
Microsoft ATP
Azure ATP
ID 侵害を可視化するダッシュボード
Microsoft ATP
Microsoft ATP (Office 365 ATP / Windows Defender ATP / Azure ATP)を活用すること
により相互に情報連携し、サイバー攻撃をより可視化し、適切な運用判断が可能に。
Office 365 ATP Windows Defender ATP Azure ATP
Microsoft ATP
Office 365 x Windows Defender ATP
Email から来た攻撃をより可視化し、対処することが可能
悪質なメールの詳細情報
悪質な添付ファイルの受信状況
悪質なファイルが含まれたメールの詳細
Office 365 Threat Intelligence
特定の悪質なファイルの受信状況
Windows Defender ATP Office 365 ATP
Office 365 x Windows Defender ATP
マクロ付きの WORD ファイル「How to reactivate your account.docm」の詳細情報
ファイルを実行した端末は1台同じファイルが5つのメールに存
在している
ポイント③
適切なアクションの実行
Office 365
Threat Intelligence
マクロ付きの WORD ファイル「How to reactivate your account.docm」の
SHA256をフィルタとしてOffice 365 ATPポータルで受信履歴を表示
同じ件名・送信者・送信IPであることが判明
5つメールの送信先アドレスも判明
5つの悪質なメールに対するアクションを実行
ポイント①
同じ添付ファイルのメールが組織の受信箱に5つあること、実
際に実行されたのは1台と判明
ポイント②
5つのメールの詳細を理解Windows Defender ATP Office 365 ATP
Windows Defender ATP x Azure ATP
ユーザの異常なアクセスおよび端末の横展開などの攻撃を可視化することが可能
特定のユーザ ID に対する Azure ATP リンクが搭載 ID ベースの異常なアクセスおよび Pass the Hash 等の攻撃を検知可能
Windows Defender ATP Azure ATP
連携によりインシデントへ秒速で対応
エンドポイント
PC(Windows 10)
ID基盤(Azure ATP)
メールサービス(Office 365)
すべての工程を数秒~数分で対応することができ運用工数が削減できる
ID 連携
© 2018 Microsoft Corporation. All rights reserved.
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。