Slide 1

Slide 1 text

#JapanM365CC2024 Nov, 28. -30. 2024 ひと目じゃわからない Defender for Endpoint の使い方 髙橋 憲太郎@seafay NSW株式会社 B08

Slide 2

Slide 2 text

#JapanM365CC2024 自己紹介 ▪ 所属 NSW株式会社 ▪ 業務 Azure / Microsoft 365 などの コンサルティング ▪ 近況 Microsoft Top Partner Engineer Award 2年連続受賞 「ひと目でわかるIntune 第3版」 の執筆参加 ▪ その他 情報処理安全確保支援士(登録番号 026912) NWスペシャリスト Japan Microsoft 365 コミュニティ カンファレンス 2024 2

Slide 3

Slide 3 text

#JapanM365CC2024 アジェンダ Japan Microsoft 365 コミュニティ カンファレンス 2024 3 • Microsoft Defender for Endpoint の概要 • Microsoft Defender ポータルとは • Microsoft Defender for Endpoint のひと目でわからないポイント解説

Slide 4

Slide 4 text

#JapanM365CC2024 このセッション限定ルール Japan Microsoft 365 コミュニティ カンファレンス 2024 4 • 「あなた」の疑問は「みんな」の疑問 • わからないことは、すぐにQを投げこもう • 少しでも疑問に思ったら即投げよう • わからないことを持ち帰らない • ここではちょっと聞けないの人はどうしたらいいの? • 明日、品川に来て、直接疑問をぶつけること推奨

Slide 5

Slide 5 text

#JapanM365CC2024 そもそも Defender for Endpointって何なの? Japan Microsoft 365 コミュニティ カンファレンス 2024 5 Defender ウィルス対策 NGP 次世代の保護 EDR エンドポイントの 検出と対応 自動調査と修復 (AIR) 高度な追跡 脆弱性の管理 (Core) 脆弱性の管理 (Add-on) 追跡 挙動ベースおよび ヒューリスティックのリ アルタイム ウイルス対 策保護 ローカルおよびクラウ ドベースの機械学習 モデル、動作分析、 ヒューリスティック Defender for Endpoint

Slide 6

Slide 6 text

#JapanM365CC2024 Defender いっぱいない? Japan Microsoft 365 コミュニティ カンファレンス 2024 6 • 答え「いっぱい、ある」 • Microsoft Defender ウィルス対策 • Microsoft Defender for Endpoint(旧名:Windows Defender ATP) • Microsoft Defender SmartScreen • Microsoft Defenderファイアウォール • Microsoft Defender Application Guard • Microsoft Defender Application Guard for Edge • Windows Defender アプリケーションコントロール • Windows Defender Exploit Guard • Windows Defender Credential Guard 主にWindows 向けのセキュリティ機能シリーズ セキュリティソリューション名で利用

Slide 7

Slide 7 text

#JapanM365CC2024 Defender for Endpoint の概要① Japan Microsoft 365 コミュニティ カンファレンス 2024 7 1. ライセンス要件 Defender for Endpoint プラン 1 とプラン 2 のいずれかのライセンスが必要。 Microsoft 365 E3/E5などプランを含むライセンスでも利用が可能 300名以下の組織向けに「Microsoft Defender for Business」(MDB)と呼ばれ るライセンスもある。

Slide 8

Slide 8 text

#JapanM365CC2024 Defender for Endpoint の概要② Japan Microsoft 365 コミュニティ カンファレンス 2024 8 2. ライセンス上の違い(一部のみ) Defender for Business Defender for Endpoint P1 Defender for Endpoint P 2 次世代の保護 〇 〇 〇 攻撃面の減少(ASR) 〇 〇 〇 エンドポイントの検出と対応 〇 ― 〇 自動調査と修復(AIR) 〇 ― 〇 デバイスの自動分離 手動分離 手動分離 〇 高度な追跡 ― ― 〇 脆弱性の管理(Core) ― ― 〇 脆弱性の管理(Add-On) ― ― + 露出管理 ― 〇 〇

Slide 9

Slide 9 text

#JapanM365CC2024 Defender for Endpoint の概要③ Japan Microsoft 365 コミュニティ カンファレンス 2024 9 3. サポートプラットフォーム • Windows 10/11 • Windows Server • MacOS • Linux • Windows Server • iPad/iOS • Android

Slide 10

Slide 10 text

#JapanM365CC2024 Defender for Endpoint の概要④ Japan Microsoft 365 コミュニティ カンファレンス 2024 10 4. 導入方法 • Windows 10/11 • Intune / GPO / スクリプト • Windows Server • 構成管理ツール / スクリプト • MacOS • Intune / Jamf • Linux • 構成管理ツール / スクリプト • iPad/iOS • Intune • Android • Intune

Slide 11

Slide 11 text

#JapanM365CC2024 ひと目じゃわからないポイント解説① セクションの補足

Slide 12

Slide 12 text

#JapanM365CC2024 ひと目じゃわからない ポイントはどこか Japan Microsoft 365 コミュニティ カンファレンス 2024 12 まずは、ココ! 「Defender ポータル」

Slide 13

Slide 13 text

#JapanM365CC2024 カテゴリ:露出管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 13 露出管理 ブレード Microsoft セキュリティ露出管理 (MSEM)として提供される 2024 年 11 月に一般提供(GA)したサービスです。 組織が管理すべきセキュリティリスクに対応するための 支援ツールです。

Slide 14

Slide 14 text

#JapanM365CC2024 露出管理の概要画面 Japan Microsoft 365 コミュニティ カンファレンス 2024 14 リスクの高い設定の展開 適切なセキュリティポリシーが展 開されていない状態の可視化 攻撃ターゲット デバイス/ID/SaaS利用の攻撃 ターゲットを可視化 組織の重要資産 組織の管理デバイスにおいて、重要度の 高いデバイスのステータス

Slide 15

Slide 15 text

#JapanM365CC2024 何をするもの? Japan Microsoft 365 コミュニティ カンファレンス 2024 15 組織が管理するデバイス、ID、SaaSなどに対し、攻撃者が狙いやすいターゲットを可視 化することで、管理者が事前に対策を行うための情報を提供する機能です。 具体的に 「特定の設定が展開されているので、攻撃が成功しやすい」 という情報が提供されます。 攻撃パスには、ダッシュボードが追加された(2024年10月)ことで、 より具体的な攻撃ルートを確認できるようになっています。

Slide 16

Slide 16 text

#JapanM365CC2024 どう見える? Japan Microsoft 365 コミュニティ カンファレンス 2024 16 攻撃ターゲット: Windows PC 攻撃により漏洩する情報: クレデンシャル情報(IDなど) 改善に向けた対策情報

Slide 17

Slide 17 text

#JapanM365CC2024 カテゴリ:インシデントとアラート Japan Microsoft 365 コミュニティ カンファレンス 2024 17 調査と対応 ブレード 組織のテナント上で発行されたアラートを確認するための 管理画面です。 インシデントは、個別のアラートのうち、関連性を持つもの をまとめたものです。 P2で利用できる、「高度な追跡」もこのブレードから利用 できます。

Slide 18

Slide 18 text

#JapanM365CC2024 インシデント Japan Microsoft 365 コミュニティ カンファレンス 2024 18

Slide 19

Slide 19 text

#JapanM365CC2024 高度な追及 Japan Microsoft 365 コミュニティ カンファレンス 2024 19

Slide 20

Slide 20 text

#JapanM365CC2024 カテゴリ:脅威インテリジェンス Japan Microsoft 365 コミュニティ カンファレンス 2024 20 脅威インテリジェンス ブレード Microsoft の専門家であるセキュリティ研究者による、 Microsoft 製品内の脅威インテリジェンス を提供するサー ビスです。 • アクティブな脅威アクターとその攻撃活動 • 人気のある新しい攻撃手法 • 重大な脆弱性 • 一般的な攻撃対象領域 • 流行しているマルウェア

Slide 21

Slide 21 text

#JapanM365CC2024 脅威の分析 Japan Microsoft 365 コミュニティ カンファレンス 2024 21

Slide 22

Slide 22 text

#JapanM365CC2024 カテゴリ:アセット Japan Microsoft 365 コミュニティ カンファレンス 2024 22 アセット ブレード Microsoft Defender ポータル上で管理/監視する アセット(エンティティ)を管理運用するための機能

Slide 23

Slide 23 text

#JapanM365CC2024 アセット:デバイス情報 Japan Microsoft 365 コミュニティ カンファレンス 2024 23

Slide 24

Slide 24 text

#JapanM365CC2024 カテゴリ:Microsoft Sentinel Japan Microsoft 365 コミュニティ カンファレンス 2024 24 Microsoft Sentinel ブレード Microsoft Defender XDR を構成する際に、Azureサービス である、Microsoft Sentinel と Defender Portal を統合し 運用していくための機能

Slide 25

Slide 25 text

#JapanM365CC2024 カテゴリ:ID Japan Microsoft 365 コミュニティ カンファレンス 2024 25 ID ブレード Microsoft Defender for Identity と呼ばれるオンプレミスの Active Directory を監視・管理・運用するための機能

Slide 26

Slide 26 text

#JapanM365CC2024 カテゴリ:エンドポイント Japan Microsoft 365 コミュニティ カンファレンス 2024 26 エンドポイント ブレード Microsoft Defender for Endpoint を監視・管理・運用する ための機能

Slide 27

Slide 27 text

#JapanM365CC2024 エンドポイント ブレード:脆弱性の管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 27 組織のデバイス上の 脆弱性情報をレポート 組織のデバイス上の スコアを可視化

Slide 28

Slide 28 text

#JapanM365CC2024 エンドポイント ブレード:構成管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 28 オンボードデバイスに対する ポリシーの展開

Slide 29

Slide 29 text

#JapanM365CC2024 Intuneによる管理の移譲 Japan Microsoft 365 コミュニティ カンファレンス 2024 29 管理をIntuneで行う場合は、Intune管理センターの セキュリティブレードで行います。

Slide 30

Slide 30 text

#JapanM365CC2024 カテゴリ:メールとコラボレーション Japan Microsoft 365 コミュニティ カンファレンス 2024 30 メールとコラボレーション ブレード Microsoft Defender for Office 365 または Exchange Online Protection を監視・管理・運用するための機能

Slide 31

Slide 31 text

#JapanM365CC2024 カテゴリ:クラウド アプリ Japan Microsoft 365 コミュニティ カンファレンス 2024 31 クラウド アプリ ブレード Microsoft Defender for Cloud Apps を監視・管理・運用す るための機能 Microsoft Purview とも連携したりもするサービス

Slide 32

Slide 32 text

#JapanM365CC2024 カテゴリ:その他 Japan Microsoft 365 コミュニティ カンファレンス 2024 32 その他カテゴリ SOC最適化 レポート

Slide 33

Slide 33 text

#JapanM365CC2024 ひと目じゃわからないポイント解説② セクションの補足

Slide 34

Slide 34 text

#JapanM365CC2024 EDR導入って何をすればいいの? Japan Microsoft 365 コミュニティ カンファレンス 2024 34 ライセンス購入 ライセンス割り当て デバイスオンボード 買わなきゃ使えない、試用ライセンスもある 買っても割り当てないと使えない(ユーザーライセンス) どの端末で有効化するかを指定しないと使えない オンボード方法 プラットフォームごとの展開方法

Slide 35

Slide 35 text

#JapanM365CC2024 ライセンスの切り替えは? Japan Microsoft 365 コミュニティ カンファレンス 2024 35 Defender for Endpoint P1 Defender for Endpoint P2 EDR機能なし EDR機能を利用するためのオンボードが必要 ライセンスの購入後、ライセンスを割り当てを行います。

Slide 36

Slide 36 text

#JapanM365CC2024 ライセンスの切り替えは? Japan Microsoft 365 コミュニティ カンファレンス 2024 36 MDEとIntuneを相互連携するための設定を行います。 Defender ポータルのIntune接続機能を有効化することでIntune経由での管理を行えます。 Intune管理 ポータルのMDE接続を有効化します。 Intuneから、オンボードポリシーを展開することで、オンボード処理が実行されます。

Slide 37

Slide 37 text

#JapanM365CC2024 ひと目じゃわからないポイント解説③ セクションの補足

Slide 38

Slide 38 text

#JapanM365CC2024 MDEの運用ってどこ見たらいいの? 組織のデバイスがどのような状態化をチェックします。 そして、改善すべきポイントがないかを評価します。

Slide 39

Slide 39 text

#JapanM365CC2024 MDEの運用ってどこ見たらいいの? 組織のデバイスがどのような状態化をチェックします。 そして、改善すべきポイントがないかを評価します。

Slide 40

Slide 40 text

#JapanM365CC2024 MDEの運用ってどこ見たらいいの? 推奨事項には、既知の脅威への対応が表示されます。

Slide 41

Slide 41 text

#JapanM365CC2024 推奨事項の詳細 Japan Microsoft 365 コミュニティ カンファレンス 2024 41 説明 攻撃表面積削減(ASR)ルールは、サイバー攻撃や悪意のあるソフト ウェアで使用される最も一般的な攻撃手法を阻止する最も効果的 な方法です。このASRルールは、実行可能ファイル(.exe、.dll、.scrな ど)が、普及率や年齢の基準を満たすか、信頼されたリストまたは除 外リストに含まれている場合を除き、起動をブロックします。 このセキュリティ制御は、Windows 10 バージョン 1709 以降、および Windows Server 2019 がインストールされたマシンでのみ適用され ます。 潜在的なリスク 信頼性と検証が十分に確立されていない実行可能ファイルの実行 を許可すると、悪意のある可能性があるアプリケーションへの露出 が高まります。

Slide 42

Slide 42 text

#JapanM365CC2024 インシデント対応ってどこ見たらいいの? Japan Microsoft 365 コミュニティ カンファレンス 2024 42

Slide 43

Slide 43 text

#JapanM365CC2024 インシデント対応ってどこ見たらいいの? Japan Microsoft 365 コミュニティ カンファレンス 2024 43 信頼性の低いアプリケーションが実行されたことを通知

Slide 44

Slide 44 text

#JapanM365CC2024 インシデント対応ってどこ見たらいいの? Japan Microsoft 365 コミュニティ カンファレンス 2024 44 潜在的に望ましくないソフトウェアとは、 ユーザーの十分な同意を得ることなく インストールされ、望ましくない動作を 行うアプリケーションのカテゴリーです。 これらのアプリケーションは必ずしも悪 意のあるものではありませんが、その 動作はコンピューティング体験に悪影 響を及ぼすことが多く、ユーザーのプ ライバシーを侵害しているように見える こともあります。 これらのアプリケーションの多くは広告 を表示し、ブラウザの設定を変更し、バ ンドルされたソフトウェアをインストール します。

Slide 45

Slide 45 text

#JapanM365CC2024 インシデント対応って最終的にどうしたらいいの? Japan Microsoft 365 コミュニティ カンファレンス 2024 45 緊急対処 継続調査 継続監視 非対応 組織が、インシデントのすべてに対処することは現実的ではない。 MDEが通知するリスクレベルを確認し、アラートの内容に問題が少 ないと考えられる場合は、「何もしない」というのも対応の1つ。

Slide 46

Slide 46 text

#JapanM365CC2024 自動調査および修復機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 46 完全 - 自動的な脅威の修正 半自動化 - すべてのフォルダーの承認が必要 半自動化- コア フォルダーの修復に承認が必要 半自動化- 一時フォルダー以外の修復に承認が必要 自動応答なし 悪意があると判断されたアラートに対し、 修復アクションが自動的に実行される設定 一部の修復アクションは自動的に実行されるが、 実行される前に承認が必要な修復アクションを持つ設定 悪意があると判断されたアラートに対し、 通知のみを行う設定

Slide 47

Slide 47 text

#JapanM365CC2024 ひと目でわかるには Japan Microsoft 365 コミュニティ カンファレンス 2024 47 おっと、ここに 「お勧めの書籍」 があるんです。 【目次】 第1章 Microsoft Defender for Endpointの概要 第2章 セキュアスコアに基づく脆弱性管理 第3章 ポリシー管理(Web保護) 第4章 攻撃面の減少(ASR)の活用 第5章 インシデント対応の開始 第6章 自動調査と修復 第7章 高度な追及(Advanced hunting) 第8章 エンドポイントに対する手動での対応 内容紹介 本書は“知りたい機能がすばやく探せるビジュアルリファレンス”というコンセプトのもとに、 Microsoft Defender for Endpointの優れた機能を体系的にまとめあげ、設定および操作の方法を豊 富な画面でわかりやすく解説します。Microsoft Defender for Business(MDB)とMicrosoft Defender for Endpoint P1/P2に対応しています。 本書はマイクロソフトが提供するEDR製品「Microsoft Defender for Endpoint(MDE)」の、はじめて の日本語解説書です。

Slide 48

Slide 48 text

#JapanM365CC2024 ひと目でわかるシリーズ(抜粋) Japan Microsoft 365 コミュニティ カンファレンス 2024 48

Slide 49

Slide 49 text

#JapanM365CC2024 49 フィードバックにご協力ください ご視聴をありがとうございました! 運営チームメンバー、登壇者、サポートメンバーに対する 暖かいフィードバックをお待ちしております。 次回の開催は未定ですが、フィードバックの内容によっては次回の開催も検討いたします。 イベント全体に対するアンケート 本セッションついて参考になった点や 感銘を受けた点、もっと知りたかったことなどをお寄せください。 本セッションに対するアンケート