Microsoft365E5

Transcript

1. Microsoft 365 E5を使ってみた 株式会社川口設計 川口 洋 kawa @ sec-k.co.jp ©Kawaguchi

   Sekkei, Inc. 1 2019/04/10 時点

2. Microsoft 365 E5 ©Kawaguchi Sekkei, Inc. 2 Windows10 Enterprise Office365

   EMS(モバイル管理) ・Microsoft 365 E5 月額：¥6,640/ユーザー ・Microsoft 365 E3 月額：¥3,690/ユーザー ・Microsoft 365 F1 月額：¥1,090/ユーザー ・Microsoft 365 Business 月額：¥2,180/ユーザー https://licensecounter.jp/office365/blog/2017/11/microsoft-365-price.html

3. どっちが楽か？ ©Kawaguchi Sekkei, Inc. 3 OS/Office クラウドに統合さ れた便利なやつ AV/DRP 管理サーバ

   運用管理

4. なぜE5を使おうと思ったか？ ©Kawaguchi Sekkei, Inc. 4 全てマイクロソフトでそろえた方が 一番コストメリットがあるのでは？ 既存資産がない Windows10 Enterprise

   ATP(Advanced Threat Protection) (EDR機能) Intune (MDM機能) セキュリティスコア 勝手に機能が追加されてくる

5. 川口から見たE5 ©Kawaguchi Sekkei, Inc. 5 Windows 10 Pro Office 2016

   オンプレActive Directory ウイルス対策ソフト／EDR メール管理一般（サーバ） MDMなどのモバイル管理 標的型攻撃メール訓練 SOC機能 DLP／RMS Windows 10 Enterprise AppLocker/Credential Guard Office 365(モバイルも含む) Azure AD Windows Defender ATP Office 365 + Exchange Intune 攻撃シミュレーター Windows Defender ATP + Threat Expert DLP／Azure Information Protection 個別構築のケース E5のケース 個別調達、管理サーバ運用から脱却すればコストが下がるのでは？

6. 超まとめ  めちゃくちゃ楽にできる  個別ソフトにお金を払ってられない  個別にサーバ管理とかしてられない  セキュリティベンダの仕事はどこにあるのか？ 

   機能が多すぎてまだ把握できていない  進化するスピードが速くてついていけない ©Kawaguchi Sekkei, Inc. 6

7. 川口設計をサポートしてくれている会社 ©Kawaguchi Sekkei, Inc. 7 小さい会社だけど意外に Azureを売っている会社

8. Windows 10 Enterprise ©Kawaguchi Sekkei, Inc. 8

9. Windows 10 Enterprise  App Locker  Device Guard 

   Exploit Guard  Credential Guard  Windows Defender ATP ©Kawaguchi Sekkei, Inc. 9 いろいろと機能が用意さ れている＆気が付いたら 追加されている

10. Exploit Guard ©Kawaguchi Sekkei, Inc. 10 昔のEMETみたいな機能

11. Exploit Guard設定 ©Kawaguchi Sekkei, Inc. 11 https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-exploit-guard/enable-attack-surface-reduction

12. 攻撃表面の縮小ルール (Attack surface reduction Rules) すべての Office アプリケーションが子プロセスを作成できません。 D4F940AB-401B-4EFC-AADC-AD5F3C50688A 暗号化されている可能性のあるスクリプトの実行をブロックする

    5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Office マクロからの Win32 API 呼び出しをブロックする 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Office アプリケーションが実行可能ファイルのコンテンツを作成できないようにする 3B576869-A4EC-4529-8536-B80A7769E899 Office アプリケーションが他のプロセスにコードを挿入できないようにする 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 ダウンロードされた実行可能ファイルのコンテンツを、JavaScript または VBScript で起動できないようにする D3E037E1-3EB8-44C8-A917-57927947596D メール クライアントと Web メールから実行可能ファイルのコンテンツをブロックする BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 実行可能ファイルの分布、年齢、または信頼されたリストを満たしていない限り実行をブロックする条件 01443614-cd74-433a-b99e-2ecdc07bfc25 ランサムウェアに対する高度な保護を使用します。 c1db55ab-c21a-4637-bb3f-a12568109d35 資格情報を盗む Windows ローカル セキュリティ機関サブシステム (lsass.exe) からのブロックします。 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 PSExec と WMI コマンドから生成されたブロック プロセスの作成 d1e49aac-8f56-4280-b9ba-993a6d77406c USB から実行される、信頼されていないと、署名されていないプロセスをブロックします。 b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Office 通信アプリケーションが子プロセスを作成できません。 26190899-1602-49e8-8b27-eb1d0a1ce869 子プロセスを作成できないようにブロック Adobe Reader 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c ©Kawaguchi Sekkei, Inc. 12 https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-exploit-guard/customize-attack-surface-reduction

13. ネットワーク保護(Network Protection) ©Kawaguchi Sekkei, Inc. 13

14. Azure AD ©Kawaguchi Sekkei, Inc. 14

15. Azure AD  シングルサインオン（Slack、Dropbox）  MFAは通常運用  レガシー認証にご注意 ©Kawaguchi Sekkei,

    Inc. 15 MFAを強制しないと、レガシー認 証でIMAPなどに接続される恐れも https://blogs.technet.microsoft.com/mskk-deviceandmobility/2018/06/09/ems-legacyauthnblock/

16. Windows Defender ATP ©Kawaguchi Sekkei, Inc. 16

17. Windows Defender ATP  MSの検知精度に頼る  管理サーバを持たなくていい  スコア管理ができる 

    インシデント一覧からSIEMもどきみたいにできる  プロセスツリーが見える  リモートから対処ができる ©Kawaguchi Sekkei, Inc. 17 これがあると楽でいい

18. ©Kawaguchi Sekkei, Inc. 18 Microsoft 365 セキュリティ/コンプライアンス 2019年4月4日くらいまで

19. ©Kawaguchi Sekkei, Inc. 19 セキュリティセンター セキュリティ専用画面

20. ©Kawaguchi Sekkei, Inc. 20 セキュリティセンター

21. ©Kawaguchi Sekkei, Inc. 21 ATP の安全な添付ファイル (Office 365)

22. ©Kawaguchi Sekkei, Inc. 22 ATP の安全なリンク (Office 365) 組織全体に適用する（メールの？） リンクに関する設定

    個別に適用する（メールの？）リン クに関する設定

23. ©Kawaguchi Sekkei, Inc. 23 コンプライアンスセンター コンプライアンス対応のスコアリン グやToDoやタスク管理までできる （みたい）

24. ©Kawaguchi Sekkei, Inc. 24 ATP管理画面 とりあえずここを見ておけば何か起 きていないかを把握できる 対処すべきアラート

25. ©Kawaguchi Sekkei, Inc. 25 Secure Score セキュリティレベルがスコアリング されるのがいい

26. ©Kawaguchi Sekkei, Inc. 26 Secure Score 業種比較 全体の平均値と業界の 平均値を参照可能

27. ©Kawaguchi Sekkei, Inc. 27 Threat Analytics 気にするべきセキュリティ情報の表示 マイクロソフトの目線 グローバルの情報 日本国内に限定した情報はない

28. ©Kawaguchi Sekkei, Inc. 28 Threat Analytics 自組織が対応できているか

29. ©Kawaguchi Sekkei, Inc. 29 インシデント一覧

30. ©Kawaguchi Sekkei, Inc. 30 インシデント一覧

31. ©Kawaguchi Sekkei, Inc. 31 未対処インシデント

32. ©Kawaguchi Sekkei, Inc. 32 未対処インシデントの詳細 インシデントの対処結果を反映

33. ©Kawaguchi Sekkei, Inc. 33 Threat protection アラート情報の日時の推移

34. ©Kawaguchi Sekkei, Inc. 34 インシデントの相関図 相関図を表示可能

35. ©Kawaguchi Sekkei, Inc. 35 Advanced Hunting 組織全体のアラート分析

36. ©Kawaguchi Sekkei, Inc. 36 www.sec-k.co.jp へのアクセス 最近14日間で特定URLにアクセス したユーザを探すクエリ

37. ©Kawaguchi Sekkei, Inc. 37 試しにフィッシングメールにひっかかってみた

38. ©Kawaguchi Sekkei, Inc. 38 プロセス相関図 プロセスツリーを参照 実行ファイルのハッシュ値

39. ©Kawaguchi Sekkei, Inc. 39 接続先IPアドレスに関する情報

40. ©Kawaguchi Sekkei, Inc. 40 CVE-2018-8174 Exploitをダウンロードした

41. ©Kawaguchi Sekkei, Inc. 41 データ保存の仕様 データ保持期間 180日がMAX コストが別でもいいのでもっと伸ばしたい データ保存場所 US、UK、EUしか選べない

    日本を選択したい

42. ©Kawaguchi Sekkei, Inc. 42 Mac対応 これから Announcing Microsoft Defender ATP

    for Mac and new Threat and Vulnerability Management capabilities https://www.microsoft.com/security/blog/?p=89123 これを機に Microsoft Defender ATP に改名

43. ©Kawaguchi Sekkei, Inc. 43 Windows10と7/8のATP Actionsの違い Windows10 Windows7/8 2019年にWindows7/8にも対応 Action項目が少ない

    システム情報収集 AVスキャン実行 特定アプリ実行制限 マシンを隔離

44. ©Kawaguchi Sekkei, Inc. 44 Exploit Guardの誤検知 update系の正規プログラムをたまに誤検知 （誤ブロック）している。体感的には問題 とならないけど、気になる。

45. Office 365 ©Kawaguchi Sekkei, Inc. 45

46. ©Kawaguchi Sekkei, Inc. 46 Office インストール権 5台/ユーザ Officeも買い切りではなく、 サブスクリプション Macやiphoneにも入れられる

47. ©Kawaguchi Sekkei, Inc. 47 Office Home

48. Exchange Online ©Kawaguchi Sekkei, Inc. 48

49. ©Kawaguchi Sekkei, Inc. 49 Exchange 管理センター 自前でメールサーバを管理したくな いからこういうのが助かる 設定項目が多すぎて未開拓

50. ©Kawaguchi Sekkei, Inc. 50 メッセージ追跡 過去に届いたメールを検索可能

51. ©Kawaguchi Sekkei, Inc. 51 10日以上の検索は後で通知が来る 検索結果を知らせるメール 「何もなし」というお知らせ

52. ©Kawaguchi Sekkei, Inc. 52 Exchange Online PowerShell 操作中 Powershell操作に関して アラートが出る

53. Intune ©Kawaguchi Sekkei, Inc. 53

54. ©Kawaguchi Sekkei, Inc. 54 Intuneとは（デバイス管理） 「デバイス管理」と「Intune」で 名称が統一されていないのがわか りにくい Microsoft Intune

    はエンタープライズ モビリティ管理 (EMM) スペースのクラウドベース サービスであり、会 社のデータを守りながら、社員に生産的に働いてもらうことができます。 他の Azure サービスと同様に、 Microsoft Intune は Azure Portal で使用できます。 Intune では次のことができます。 https://docs.microsoft.com/ja-jp/intune/what-is-intune WindowsOSだけではなく、Mac やiOSなども管理可能 jamfという外部サービスでMacの 統合ができそうだけど、最低ライ センス数に満たず未導入

55. ©Kawaguchi Sekkei, Inc. 55 Intune管理画面 iPadやiPhoneも管理対象

56. ©Kawaguchi Sekkei, Inc. 56 個別デバイスの管理 いろいろリモート操作可能

57. 攻撃シミュレーター ©Kawaguchi Sekkei, Inc. 57

58. ©Kawaguchi Sekkei, Inc. 58 攻撃のシミュレーション 標的型攻撃メール（もどき？）

59. ©Kawaguchi Sekkei, Inc. 59 いわゆる 標的型メール訓練機能 ランディング＝クリックしたときの 誘導先URL リンク型の標的型メール訓練

60. ©Kawaguchi Sekkei, Inc. 60 訓練対象 ターゲットは自組織のメール アドレスのみ指定可能

61. ©Kawaguchi Sekkei, Inc. 61 集計用サーバもMSが用意 この中から選択

62. ©Kawaguchi Sekkei, Inc. 62 訓練メールの内容 変数で指定

63. ©Kawaguchi Sekkei, Inc. 63 届いた訓練メール いわゆる普通の訓練メール

64. ©Kawaguchi Sekkei, Inc. 64 Chromeはフィッシングサイト認定 Googleはフィッシングサイト扱い ID情報を入力させるタイプの フィッシングページ

65. ©Kawaguchi Sekkei, Inc. 65 訓練状況の集計 クリック率やID情報入力率を自動集計

66. Azure Information Protection ©Kawaguchi Sekkei, Inc. 66

67. ©Kawaguchi Sekkei, Inc. 67 ラベル付で情報管理 標準で用意されている情報ラベル 機密/Confidential 以上の情報はAzureAD で認証されないと参照できない

68. ©Kawaguchi Sekkei, Inc. 68 PowerPoint画面でのラベル付 Officeファイルで保護 レベルを指定する

69. アクセス制御  Azure ADにアクセスができる前提  PC作業  ラベル付が重要  Outlookのメール送信時にも設定

     ？？テキストファイルやPDFの管理は？？  スマホ作業  OneDriveやDropbox経由でファイルを機密指定のファイルを参照でき ないので不便  PowerPointやWordアプリからならアクセス可能 ©Kawaguchi Sekkei, Inc. 69

70. データ損失防止 DLP ©Kawaguchi Sekkei, Inc. 70

71. DLP ©Kawaguchi Sekkei, Inc. 71 個人情報に該当するケースを指定 （条件がよくわからない）

72. 気になる点 ©Kawaguchi Sekkei, Inc. 72

73. 気になる点  Hyper-Vを有効化するとVirtualBoxが使えない  ログ保存エリアを日本にしたい  ログ保存期間を延ばしたい  Exploit Guardの誤検知

     Mac正式対応はいつから？  Threat Expertはどんな感じ？ ©Kawaguchi Sekkei, Inc. 73

74. ©Kawaguchi Sekkei, Inc. 74 使い切れていない機能群 APIで連携もできるみたい SIEMとの連携も

75. おまけ Windows10 EnterpriseからWindows10 Proにまで拡張された機能 ©Kawaguchi Sekkei, Inc. 75

76. 安全なブラウジング ©Kawaguchi Sekkei, Inc. 76 Windows Defender Application Guard Edgeをコンテナ環境で動かすことで安全性を担保

    Windows10Pro 以降で使える Hyper-Vの機能が前提 メモリ8Gだと少々厳しい、かも 通常のEdge WDAG

77. WDAGでファイルをダウンロード ©Kawaguchi Sekkei, Inc. 77 ファイルをダウンロード ダウンロードしたファイルを実行

78. WDAG インストール ©Kawaguchi Sekkei, Inc. 78

79. WDAG エンタープライズモード ©Kawaguchi Sekkei, Inc. 79 EdgeやIEでブラウジング中に指定ドメイン以外を 参照する場合は強制的にWDAGが起動 （例）go.jpを保護指定すると、go.jp以外にEdgeで アクセスした場合、自動的にWDAGが起動する

    今後、FirefoxやChromeにも提供予定

80. WDAGの設定 ©Kawaguchi Sekkei, Inc. 80

81. ©Kawaguchi Sekkei, Inc. 81 Microsoft 365 E5は便利 中小企業ほどお得だと思う もっと情報交換したい