Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft Defender for Endpoint でインシデント対応する上で知っ...

Kunii, Suguru
February 14, 2024
Technology
0
250

Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識

2024年2月13日開催 第8回EMS勉強会スライド

Kunii, Suguru

February 14, 2024
Tweet

More Decks by Kunii, Suguru

See All by Kunii, Suguru
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
680
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
68
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
700
なんでもCopilot for Security
sophiakunii
4
4.4k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
130
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
470
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
6
4.8k
Microsoft Cloud Security Benchmarkから学ぶMicrosoft Defender for Cloud
sophiakunii
4
900
Microsoft Defender for Endpointによるインシデント調査
sophiakunii
3
4.3k

Other Decks in Technology

See All in Technology
機械学習を「社会実装」するということ 2025年版 / Social Implementation of Machine Learning 2025 Version
moepy_stats
5
1k
Kotlin Multiplatformのポテンシャル
recruitengineers
PRO
2
150
20250116_自部署内でAmazon Nova体験会をやってみた話
riz3f7
1
100
0→1事業こそPMは営業すべし / pmconf #落選お披露目 / PM should do sales in zero to one
roki_n_
PRO
1
1.3k
「隙間家具OSS」に至る道/Fujiwara Tech Conference 2025
fujiwara3
7
6.4k
30分でわかる「リスクから学ぶKubernetesコンテナセキュリティ」/30min-k8s-container-sec
mochizuki875
3
440
dbtを中心にして組織のアジリティとガバナンスのトレードオンを考えてみた
gappy50
0
230
深層学習と3Dキャプチャ・3Dモデル生成(土木学会応用力学委員会 応用数理・AIセミナー)
pfn
PRO
0
460
[IBM TechXchange Dojo]Watson Discoveryとwatsonx.aiでRAGを実現!事例のご紹介+座学②
siyuanzh09
0
110
2024年活動報告会(人材育成推進WG・ビジネスサブWG) / 20250114-OIDF-J-EduWG-BizSWG
oidfj
0
220
JuliaTokaiとJuliaLangJaの紹介 for NGK2025S
antimon2
1
110
【JAWS-UG大阪 reInvent reCap LT大会 サンバが始まったら強制終了】“1分”で初めてのソロ参戦reInventを数字で振り返りながら反省する
ttelltte
0
140

Featured

See All Featured
Git: the NoSQL Database
bkeepers
PRO
427
64k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
VelocityConf: Rendering Performance Case Studies
addyosmani
327
24k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
98
18k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.5k
RailsConf 2023
tenderlove
29
970
Designing for Performance
lara
604
68k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.2k
4 Signs Your Business is Dying
shpigford
182
22k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
Building Applications with DynamoDB
mza
93
6.2k
GraphQLとの向き合い方2022年版
quramy
44
13k

Transcript

  1. Microsoft Defender for Endpoint でインシデント対応 する上で知っておきたい Windows の知識 株式会社エストディアン 国井

    傑 (くにい すぐる)

  2. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

    • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)

  3. MDE の基本知識

  4. 4 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。

    影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。 https://security.microsoft.com > インシデントとアラート

  5. 5 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因

  6. 6 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー

  7. 7 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により

    204.79.197.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている

  8. 8 デバイスのインベントリ https://security.microsoft.com > アセット > デバイス > 個別のデバイス アクティビティを

    時系列に表示

  9. 知っておきたい Windows の基本知識 その 1 ハッシュ

  10. 10 RegSvcs.exe ってマルウェア? Multi-stage incident involving Defense evasion & Discovery

    on one endpoint より

  11. 11 ハッシュはファイルを確認するための情報 ハッシュ値 Multi-stage incident involving Defense evasion & Discovery

    on one endpoint より

  12. 12 Virustotal でチェック

  13. 知っておきたい Windows の基本知識 その 2 schtasks.exe

  14. 14 schtasks.exe ってマルウェア? Multi-stage incident involving Execution & Defense evasion

    on one endpoint より いいえ。タスクスケジューラのコマンドです。 悪性ファイルの自動実行を補助するために使います。

  15. 15 MITRE ATT&CK の Persistence カテゴリの攻撃に該当

  16. 16 類似のプログラムたち • ASEP • Auto Start Entry Point の略で

    Windows 起動時に同時に起動するプログラムを 指定するレジストリの領域 • Autoruns プログラム (Windows Sysinternals) から確認可能 • sc.exe • サービスの登録・実行などを管理するコマンドベースのプログラム • 実行方法 sc.exe create badservice binpath=c:¥users¥admin¥downloads¥malware.exe • wmic.exe • コマンドベースで WMI の操作を行うプログラムで、任意のプログラムの遠隔実行が可能 • 実行方法 wmic.exe /node:dc01 process call create “cmd.exe /c netsh advfirewall set allprofiles state off”

  17. 知っておきたい Windows の基本知識 その 3 rundll32.exe

  18. 18 rundll32.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。DLL をロードするためのプログラムです。 こんな感じで実行します。 C:¥Windows¥System32¥rundll32.exe C:¥Windows¥System32¥shell32.dll,Contr ol_RunDLL

  19. 19 類似のプログラムたち • dllhost.exe • DLL内の関数を呼び出すためのプログラム • 実行方法 dllhost.exe xxx.dll

    • regsvr32.exe • DLL または ActiveX コントロールをレジストリに登録し、 後に実行可能な状態にするためのプログラム • 実行方法 regsvr32 xxx.dll /s

  20. 知っておきたい Windows の基本知識 その 4 svchost.exe

  21. 21 svchost.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。サービス実行を管理するためのプログラムで、次のような書式で命令します svchost.exe -k サービス(グループ)名 -s サービスグループ内の特定のサービス名

  22. 知っておきたい Windows の基本知識 まとめ

  23. MDE の監視には Windows はどのようなプログラムから 成り立っているのか?を理解する必要があります。 少しずつでも知識を蓄え、今後に備えていきましょう!

  24. https://AzureAD.net のリンクより詳細をご覧いただけます MDE を学びたい方、ご検討ください