Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識

Slide 1

Slide 1 text

Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識株式会社エストディアン国井傑 (くにいすぐる)

Slide 2

Slide 2 text

2 自己紹介 • 国井傑 (くにいすぐる) • 株式会社エストディアン所属 • 公立大学法人会津大学客員教授 • マイクロソフト認定トレーナー (1997～2025) • Microsoft MVP for Security (2006～2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカルライター (日経 BP, 技術評論社, @IT 等)

Slide 3

Slide 3 text

MDE の基本知識

Slide 4

Slide 4 text

4 アラートとインシデントインシデントアラートアラート推奨されないような特定の事象が発生した時に出力する内容個々のアラートの詳細を確認していくことが次のステップになるインシデント一連の攻撃や関連するアラートをひとまとめにしたもの。まずはここから調査を開始する。影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。 https://security.microsoft.com > インシデントとアラート

Slide 5

Slide 5 text

5 インシデントとアラートの検出インシデントインシデント内のアラートインシデントと判定した要因

Slide 6

Slide 6 text

6 アラートでの検出特定のアラートの詳細アラートを発生させた事象に関わるプロセスツリー

Slide 7

Slide 7 text

7 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入され、悪意のコードが実行されたプロセスが注入により 204.79.197.203 への通信が行われた Powershell.exe は explorer.exe から呼び出されている

Slide 8

Slide 8 text

8 デバイスのインベントリ https://security.microsoft.com > アセット > デバイス > 個別のデバイスアクティビティを時系列に表示

Slide 9

Slide 9 text

知っておきたい Windows の基本知識その 1 ハッシュ

Slide 10

Slide 10 text

10 RegSvcs.exe ってマルウェア？ Multi-stage incident involving Defense evasion & Discovery on one endpoint より

Slide 11

Slide 11 text

11 ハッシュはファイルを確認するための情報ハッシュ値 Multi-stage incident involving Defense evasion & Discovery on one endpoint より

Slide 12

Slide 12 text

12 Virustotal でチェック

Slide 13

Slide 13 text

知っておきたい Windows の基本知識その 2 schtasks.exe

Slide 14

Slide 14 text

14 schtasks.exe ってマルウェア？ Multi-stage incident involving Execution & Defense evasion on one endpoint よりいいえ。タスクスケジューラのコマンドです。悪性ファイルの自動実行を補助するために使います。

Slide 15

Slide 15 text

15 MITRE ATT&CK の Persistence カテゴリの攻撃に該当

Slide 16

Slide 16 text

16 類似のプログラムたち • ASEP • Auto Start Entry Point の略で Windows 起動時に同時に起動するプログラムを指定するレジストリの領域 • Autoruns プログラム (Windows Sysinternals) から確認可能 • sc.exe • サービスの登録・実行などを管理するコマンドベースのプログラム • 実行方法 sc.exe create badservice binpath=c:¥users¥admin¥downloads¥malware.exe • wmic.exe • コマンドベースで WMI の操作を行うプログラムで、任意のプログラムの遠隔実行が可能 • 実行方法 wmic.exe /node:dc01 process call create “cmd.exe /c netsh advfirewall set allprofiles state off”

Slide 17

Slide 17 text

知っておきたい Windows の基本知識その 3 rundll32.exe

Slide 18

Slide 18 text

18 rundll32.exe ってマルウェア？ Suspicious files incident including Ransomware on one endpoint よりいいえ。DLL をロードするためのプログラムです。こんな感じで実行します。 C:¥Windows¥System32¥rundll32.exe C:¥Windows¥System32¥shell32.dll,Contr ol_RunDLL

Slide 19

Slide 19 text

19 類似のプログラムたち • dllhost.exe • DLL内の関数を呼び出すためのプログラム • 実行方法 dllhost.exe xxx.dll • regsvr32.exe • DLL または ActiveX コントロールをレジストリに登録し、後に実行可能な状態にするためのプログラム • 実行方法 regsvr32 xxx.dll /s

Slide 20

Slide 20 text

知っておきたい Windows の基本知識その 4 svchost.exe

Slide 21

Slide 21 text

21 svchost.exe ってマルウェア？ Suspicious files incident including Ransomware on one endpoint よりいいえ。サービス実行を管理するためのプログラムで、次のような書式で命令します svchost.exe -k サービス(グループ)名 -s サービスグループ内の特定のサービス名

Slide 22

Slide 22 text

知っておきたい Windows の基本知識まとめ

Slide 23

Slide 23 text

MDE の監視には Windows はどのようなプログラムから成り立っているのか？を理解する必要があります。少しずつでも知識を蓄え、今後に備えていきましょう！

Slide 24

Slide 24 text

https://AzureAD.net のリンクより詳細をご覧いただけます MDE を学びたい方、ご検討ください