Microsoft Defender for Endpoint による インシデント調査 (Live！) 株式会社エストディアン 国井 傑 (くにい すぐる)

2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属 • マイクロソフト認定トレーナー (1997～2023) • Microsoft MVP for Enterprise Mobility, Security (2006～2023) • http://AzureAD.net • 主な職務・実績 • ID 関連技術/運用管理を中心としたトレーニング • 評価ガイド執筆多数 (MECM, Microsoft Defender 等) • テクニカル ライター (@IT, ITpro, ZDNet Japan 等)

3 自動調査 • 侵入の検出から調査、対処までを自動化 • AI ベースでの脅威の重要度の特定 • 対象となるコンピューターとオートメーションレベルを定義するだけで 自動調査を開始 侵入の検出 対象となる デバイスの特定 脅威の種類の特定 修復の完了 管理者の承認 修復ソースの確認 ファイル, IP 等の分析 AntiVirus 定義ファイル ファイアウォールの規則

4 Cyber Kill Chain フィッシングメール 悪質な添付ファイル フィッシングリンクをクリック 端末感染 攻撃者サーバーとの 接続 ブルートフォース 漏洩した資格情報 ユーザアカウントの 乗っ取り 横方向移動 特権アカウントの 乗っ取り ドメイン 乗っ取り 機密情報への アクセス データ 摂取/改ざん 永続化 + フィッシングサイト 閲覧 偵察・武器化 デリバリー エクスプロイト 侵入 潜伏活動 目的の実行 サイバー攻撃のプロセスを構造化して表現 (以下は標的型攻撃の例)

5 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。 影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。

6 デバイスのインベントリ デバイスのアクティビティをデバイス単位で参照 デバイスの 基本情報 アクティビティを 時系列に表示

7 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因

8 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー

9 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により 204.79.797.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている

10 ファイルの分析 組織内で同じ不正アクセスに 遭ったデバイス数を把握 ファイルに対する操作 ファイルの詳細分析

11 タイムラインから分析 アラート記載のログ日時 powershell_ise.exe から実行 powershell_ise.exe から実行 した最初のログではレジストリ アクセスを行っている

12 Advanced Hunting • Microsoft Defender for Endpoint で収集した内容に対するクエリ機能 • 特定のインシデントの検索やインシデントの影響範囲の調査に有効 PowerShell によるダウンロー ド処理を行ったイベントを検索 該当するイベントを発見 該当する時間のイベントを確認すると.. cmd.exe から PowerShell が 実行され、ダウンロード処理が 発生していることがわかる