B08-ひと目じゃわからない Defender for Endpoint の使い方

Transcript

1. #JapanM365CC2024 Nov, 28. -30. 2024 ひと目じゃわからない Defender for Endpoint の使い方

   髙橋 憲太郎@seafay NSW株式会社 B08

2. #JapanM365CC2024 自己紹介 ▪ 所属 NSW株式会社 ▪ 業務 Azure / Microsoft

   365 などの コンサルティング ▪ 近況 Microsoft Top Partner Engineer Award 2年連続受賞 「ひと目でわかるIntune 第3版」 の執筆参加 ▪ その他 情報処理安全確保支援士（登録番号 026912） NWスペシャリスト Japan Microsoft 365 コミュニティ カンファレンス 2024 2

3. #JapanM365CC2024 アジェンダ Japan Microsoft 365 コミュニティ カンファレンス 2024 3 •

   Microsoft Defender for Endpoint の概要 • Microsoft Defender ポータルとは • Microsoft Defender for Endpoint のひと目でわからないポイント解説

4. #JapanM365CC2024 このセッション限定ルール Japan Microsoft 365 コミュニティ カンファレンス 2024 4 •

   「あなた」の疑問は「みんな」の疑問 • わからないことは、すぐにQを投げこもう • 少しでも疑問に思ったら即投げよう • わからないことを持ち帰らない • ここではちょっと聞けないの人はどうしたらいいの？ • 明日、品川に来て、直接疑問をぶつけること推奨

5. #JapanM365CC2024 そもそも Defender for Endpointって何なの？ Japan Microsoft 365 コミュニティ カンファレンス

   2024 5 Defender ウィルス対策 NGP 次世代の保護 EDR エンドポイントの 検出と対応 自動調査と修復 （AIR） 高度な追跡 脆弱性の管理 （Core） 脆弱性の管理 （Add-on） 追跡 挙動ベースおよび ヒューリスティックのリ アルタイム ウイルス対 策保護 ローカルおよびクラウ ドベースの機械学習 モデル、動作分析、 ヒューリスティック Defender for Endpoint

6. #JapanM365CC2024 Defender いっぱいない？ Japan Microsoft 365 コミュニティ カンファレンス 2024 6

   • 答え「いっぱい、ある」 • Microsoft Defender ウィルス対策 • Microsoft Defender for Endpoint（旧名：Windows Defender ATP） • Microsoft Defender SmartScreen • Microsoft Defenderファイアウォール • Microsoft Defender Application Guard • Microsoft Defender Application Guard for Edge • Windows Defender アプリケーションコントロール • Windows Defender Exploit Guard • Windows Defender Credential Guard 主にWindows 向けのセキュリティ機能シリーズ セキュリティソリューション名で利用

7. #JapanM365CC2024 Defender for Endpoint の概要① Japan Microsoft 365 コミュニティ カンファレンス

   2024 7 1. ライセンス要件 Defender for Endpoint プラン 1 とプラン 2 のいずれかのライセンスが必要。 Microsoft 365 E3／E5などプランを含むライセンスでも利用が可能 ３００名以下の組織向けに「Microsoft Defender for Business」（MDB）と呼ばれ るライセンスもある。

8. #JapanM365CC2024 Defender for Endpoint の概要② Japan Microsoft 365 コミュニティ カンファレンス

   2024 8 2. ライセンス上の違い（一部のみ） Defender for Business Defender for Endpoint P1 Defender for Endpoint P 2 次世代の保護 〇 〇 〇 攻撃面の減少（ASR） 〇 〇 〇 エンドポイントの検出と対応 〇 ― 〇 自動調査と修復（AIR） 〇 ― 〇 デバイスの自動分離 手動分離 手動分離 〇 高度な追跡 ― ― 〇 脆弱性の管理（Core） ― ― 〇 脆弱性の管理（Add-On） ― ― ＋ 露出管理 ― 〇 〇

9. #JapanM365CC2024 Defender for Endpoint の概要③ Japan Microsoft 365 コミュニティ カンファレンス

   2024 9 3. サポートプラットフォーム • Windows 10/11 • Windows Server • MacOS • Linux • Windows Server • iPad/iOS • Android

10. #JapanM365CC2024 Defender for Endpoint の概要④ Japan Microsoft 365 コミュニティ カンファレンス

    2024 10 4. 導入方法 • Windows 10/11 • Intune / GPO / スクリプト • Windows Server • 構成管理ツール / スクリプト • MacOS • Intune / Jamf • Linux • 構成管理ツール / スクリプト • iPad/iOS • Intune • Android • Intune

11. #JapanM365CC2024 ひと目じゃわからないポイント解説① セクションの補足

12. #JapanM365CC2024 ひと目じゃわからない ポイントはどこか Japan Microsoft 365 コミュニティ カンファレンス 2024 12

    まずは、ココ！ 「Defender ポータル」

13. #JapanM365CC2024 カテゴリ：露出管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 13 露出管理

    ブレード Microsoft セキュリティ露出管理 (MSEM)として提供される 2024 年 11 月に一般提供（GA）したサービスです。 組織が管理すべきセキュリティリスクに対応するための 支援ツールです。

14. #JapanM365CC2024 露出管理の概要画面 Japan Microsoft 365 コミュニティ カンファレンス 2024 14 リスクの高い設定の展開

    適切なセキュリティポリシーが展 開されていない状態の可視化 攻撃ターゲット デバイス／ID／SaaS利用の攻撃 ターゲットを可視化 組織の重要資産 組織の管理デバイスにおいて、重要度の 高いデバイスのステータス

15. #JapanM365CC2024 何をするもの？ Japan Microsoft 365 コミュニティ カンファレンス 2024 15 組織が管理するデバイス、ID、SaaSなどに対し、攻撃者が狙いやすいターゲットを可視

    化することで、管理者が事前に対策を行うための情報を提供する機能です。 具体的に 「特定の設定が展開されているので、攻撃が成功しやすい」 という情報が提供されます。 攻撃パスには、ダッシュボードが追加された（２０２４年１０月）ことで、 より具体的な攻撃ルートを確認できるようになっています。

16. #JapanM365CC2024 どう見える？ Japan Microsoft 365 コミュニティ カンファレンス 2024 16 攻撃ターゲット：

    Windows PC 攻撃により漏洩する情報： クレデンシャル情報（IDなど） 改善に向けた対策情報

17. #JapanM365CC2024 カテゴリ：インシデントとアラート Japan Microsoft 365 コミュニティ カンファレンス 2024 17 調査と対応

    ブレード 組織のテナント上で発行されたアラートを確認するための 管理画面です。 インシデントは、個別のアラートのうち、関連性を持つもの をまとめたものです。 P2で利用できる、「高度な追跡」もこのブレードから利用 できます。

18. #JapanM365CC2024 インシデント Japan Microsoft 365 コミュニティ カンファレンス 2024 18

19. #JapanM365CC2024 高度な追及 Japan Microsoft 365 コミュニティ カンファレンス 2024 19

20. #JapanM365CC2024 カテゴリ：脅威インテリジェンス Japan Microsoft 365 コミュニティ カンファレンス 2024 20 脅威インテリジェンス

    ブレード Microsoft の専門家であるセキュリティ研究者による、 Microsoft 製品内の脅威インテリジェンス を提供するサー ビスです。 • アクティブな脅威アクターとその攻撃活動 • 人気のある新しい攻撃手法 • 重大な脆弱性 • 一般的な攻撃対象領域 • 流行しているマルウェア

21. #JapanM365CC2024 脅威の分析 Japan Microsoft 365 コミュニティ カンファレンス 2024 21

22. #JapanM365CC2024 カテゴリ：アセット Japan Microsoft 365 コミュニティ カンファレンス 2024 22 アセット

    ブレード Microsoft Defender ポータル上で管理/監視する アセット（エンティティ）を管理運用するための機能

23. #JapanM365CC2024 アセット：デバイス情報 Japan Microsoft 365 コミュニティ カンファレンス 2024 23

24. #JapanM365CC2024 カテゴリ：Microsoft Sentinel Japan Microsoft 365 コミュニティ カンファレンス 2024 24

    Microsoft Sentinel ブレード Microsoft Defender XDR を構成する際に、Azureサービス である、Microsoft Sentinel と Defender Portal を統合し 運用していくための機能

25. #JapanM365CC2024 カテゴリ：ID Japan Microsoft 365 コミュニティ カンファレンス 2024 25 ID

    ブレード Microsoft Defender for Identity と呼ばれるオンプレミスの Active Directory を監視・管理・運用するための機能

26. #JapanM365CC2024 カテゴリ：エンドポイント Japan Microsoft 365 コミュニティ カンファレンス 2024 26 エンドポイント

    ブレード Microsoft Defender for Endpoint を監視・管理・運用する ための機能

27. #JapanM365CC2024 エンドポイント ブレード：脆弱性の管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 27

    組織のデバイス上の 脆弱性情報をレポート 組織のデバイス上の スコアを可視化

28. #JapanM365CC2024 エンドポイント ブレード：構成管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 28

    オンボードデバイスに対する ポリシーの展開

29. #JapanM365CC2024 Intuneによる管理の移譲 Japan Microsoft 365 コミュニティ カンファレンス 2024 29 管理をIntuneで行う場合は、Intune管理センターの

    セキュリティブレードで行います。

30. #JapanM365CC2024 カテゴリ：メールとコラボレーション Japan Microsoft 365 コミュニティ カンファレンス 2024 30 メールとコラボレーション

    ブレード Microsoft Defender for Office 365 または Exchange Online Protection を監視・管理・運用するための機能

31. #JapanM365CC2024 カテゴリ：クラウド アプリ Japan Microsoft 365 コミュニティ カンファレンス 2024 31

    クラウド アプリ ブレード Microsoft Defender for Cloud Apps を監視・管理・運用す るための機能 Microsoft Purview とも連携したりもするサービス

32. #JapanM365CC2024 カテゴリ：その他 Japan Microsoft 365 コミュニティ カンファレンス 2024 32 その他カテゴリ

    SOC最適化 レポート

33. #JapanM365CC2024 ひと目じゃわからないポイント解説② セクションの補足

34. #JapanM365CC2024 EDR導入って何をすればいいの？ Japan Microsoft 365 コミュニティ カンファレンス 2024 34 ライセンス購入

    ライセンス割り当て デバイスオンボード 買わなきゃ使えない、試用ライセンスもある 買っても割り当てないと使えない（ユーザーライセンス） どの端末で有効化するかを指定しないと使えない オンボード方法 プラットフォームごとの展開方法

35. #JapanM365CC2024 ライセンスの切り替えは？ Japan Microsoft 365 コミュニティ カンファレンス 2024 35 Defender

    for Endpoint P1 Defender for Endpoint P2 EDR機能なし EDR機能を利用するためのオンボードが必要 ライセンスの購入後、ライセンスを割り当てを行います。

36. #JapanM365CC2024 ライセンスの切り替えは？ Japan Microsoft 365 コミュニティ カンファレンス 2024 36 MDEとIntuneを相互連携するための設定を行います。

    Defender ポータルのIntune接続機能を有効化することでIntune経由での管理を行えます。 Intune管理 ポータルのMDE接続を有効化します。 Intuneから、オンボードポリシーを展開することで、オンボード処理が実行されます。

37. #JapanM365CC2024 ひと目じゃわからないポイント解説③ セクションの補足

38. #JapanM365CC2024 MDEの運用ってどこ見たらいいの？ 組織のデバイスがどのような状態化をチェックします。 そして、改善すべきポイントがないかを評価します。

39. #JapanM365CC2024 MDEの運用ってどこ見たらいいの？ 組織のデバイスがどのような状態化をチェックします。 そして、改善すべきポイントがないかを評価します。

40. #JapanM365CC2024 MDEの運用ってどこ見たらいいの？ 推奨事項には、既知の脅威への対応が表示されます。

41. #JapanM365CC2024 推奨事項の詳細 Japan Microsoft 365 コミュニティ カンファレンス 2024 41 説明

    攻撃表面積削減（ASR）ルールは、サイバー攻撃や悪意のあるソフト ウェアで使用される最も一般的な攻撃手法を阻止する最も効果的 な方法です。このASRルールは、実行可能ファイル（.exe、.dll、.scrな ど）が、普及率や年齢の基準を満たすか、信頼されたリストまたは除 外リストに含まれている場合を除き、起動をブロックします。 このセキュリティ制御は、Windows 10 バージョン 1709 以降、および Windows Server 2019 がインストールされたマシンでのみ適用され ます。 潜在的なリスク 信頼性と検証が十分に確立されていない実行可能ファイルの実行 を許可すると、悪意のある可能性があるアプリケーションへの露出 が高まります。

42. #JapanM365CC2024 インシデント対応ってどこ見たらいいの？ Japan Microsoft 365 コミュニティ カンファレンス 2024 42

43. #JapanM365CC2024 インシデント対応ってどこ見たらいいの？ Japan Microsoft 365 コミュニティ カンファレンス 2024 43 信頼性の低いアプリケーションが実行されたことを通知

44. #JapanM365CC2024 インシデント対応ってどこ見たらいいの？ Japan Microsoft 365 コミュニティ カンファレンス 2024 44 潜在的に望ましくないソフトウェアとは、

    ユーザーの十分な同意を得ることなく インストールされ、望ましくない動作を 行うアプリケーションのカテゴリーです。 これらのアプリケーションは必ずしも悪 意のあるものではありませんが、その 動作はコンピューティング体験に悪影 響を及ぼすことが多く、ユーザーのプ ライバシーを侵害しているように見える こともあります。 これらのアプリケーションの多くは広告 を表示し、ブラウザの設定を変更し、バ ンドルされたソフトウェアをインストール します。

45. #JapanM365CC2024 インシデント対応って最終的にどうしたらいいの？ Japan Microsoft 365 コミュニティ カンファレンス 2024 45 緊急対処

    継続調査 継続監視 非対応 組織が、インシデントのすべてに対処することは現実的ではない。 MDEが通知するリスクレベルを確認し、アラートの内容に問題が少 ないと考えられる場合は、「何もしない」というのも対応の1つ。

46. #JapanM365CC2024 自動調査および修復機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 46 完全

    - 自動的な脅威の修正 半自動化 - すべてのフォルダーの承認が必要 半自動化- コア フォルダーの修復に承認が必要 半自動化- 一時フォルダー以外の修復に承認が必要 自動応答なし 悪意があると判断されたアラートに対し、 修復アクションが自動的に実行される設定 一部の修復アクションは自動的に実行されるが、 実行される前に承認が必要な修復アクションを持つ設定 悪意があると判断されたアラートに対し、 通知のみを行う設定

47. #JapanM365CC2024 ひと目でわかるには Japan Microsoft 365 コミュニティ カンファレンス 2024 47 おっと、ここに

    「お勧めの書籍」 があるんです。 【目次】 第1章 Microsoft Defender for Endpointの概要 第2章 セキュアスコアに基づく脆弱性管理 第3章 ポリシー管理（Web保護） 第4章 攻撃面の減少（ASR）の活用 第5章 インシデント対応の開始 第6章 自動調査と修復 第7章 高度な追及（Advanced hunting） 第8章 エンドポイントに対する手動での対応 内容紹介 本書は“知りたい機能がすばやく探せるビジュアルリファレンス”というコンセプトのもとに、 Microsoft Defender for Endpointの優れた機能を体系的にまとめあげ、設定および操作の方法を豊 富な画面でわかりやすく解説します。Microsoft Defender for Business（MDB）とMicrosoft Defender for Endpoint P1/P2に対応しています。 本書はマイクロソフトが提供するEDR製品「Microsoft Defender for Endpoint（MDE）」の、はじめて の日本語解説書です。

48. #JapanM365CC2024 ひと目でわかるシリーズ（抜粋） Japan Microsoft 365 コミュニティ カンファレンス 2024 48

49. #JapanM365CC2024 49 フィードバックにご協力ください ご視聴をありがとうございました! 運営チームメンバー、登壇者、サポートメンバーに対する 暖かいフィードバックをお待ちしております。 次回の開催は未定ですが、フィードバックの内容によっては次回の開催も検討いたします。 イベント全体に対するアンケート 本セッションついて参考になった点や 感銘を受けた点、もっと知りたかったことなどをお寄せください。

    本セッションに対するアンケート