Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft Defender for Endpoint でインシデント対応する上で知っ...

Kunii, Suguru
February 14, 2024
Technology
0
260

Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識

2024年2月13日開催 第8回EMS勉強会スライド

Kunii, Suguru

February 14, 2024
Tweet

More Decks by Kunii, Suguru

See All by Kunii, Suguru
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
750
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
84
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
740
なんでもCopilot for Security
sophiakunii
4
4.5k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
140
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
490
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
6
4.9k
Microsoft Cloud Security Benchmarkから学ぶMicrosoft Defender for Cloud
sophiakunii
4
940
Microsoft Defender for Endpointによるインシデント調査
sophiakunii
3
4.4k

Other Decks in Technology

See All in Technology
スタートアップ1人目QAエンジニアが QAチームを立ち上げ、“個”からチーム、 そして“組織”に成長するまで / How to set up QA team at reiwatravel
mii3king
2
1.5k
あれは良かった、あれは苦労したB2B2C型SaaSの新規開発におけるCloud Spanner
hirohito1108
2
590
利用終了したドメイン名の最強終活〜観測環境を育てて、分析・供養している件〜 / The Ultimate End-of-Life Preparation for Discontinued Domain Names
nttcom
2
190
組織貢献をするフリーランスエンジニアという生き方
n_takehata
1
1.3k
速くて安いWebサイトを作る
nishiharatsubasa
10
13k
リーダブルテストコード 〜メンテナンスしやすい テストコードを作成する方法を考える〜 #DevSumi #DevSumiB / Readable test code
nihonbuson
11
7.2k
Oracle Cloud Infrastructure:2025年2月度サービス・アップデート
oracle4engineer
PRO
1
210
一度 Expo の採用を断念したけど、 再度 Expo の導入を検討している話
ichiki1023
1
170
Cloud Spanner 導入で実現した快適な開発と運用について
colopl
1
650
OpenID BizDay#17 KYC WG活動報告(法人) / 20250219-BizDay17-KYC-legalidentity
oidfj
0
240
【Developers Summit 2025】プロダクトエンジニアから学ぶ、 ユーザーにより高い価値を届ける技術
niwatakeru
2
1.4k
関東Kaggler会LT: 人狼コンペとLLM量子化について
nejumi
3
580

Featured

See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
Documentation Writing (for coders)
carmenintech
67
4.6k
Navigating Team Friction
lara
183
15k
Being A Developer After 40
akosma
89
590k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Docker and Python
trallard
44
3.3k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k
Rails Girls Zürich Keynote
gr2m
94
13k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.4k
Git: the NoSQL Database
bkeepers
PRO
427
64k

Transcript

  1. Microsoft Defender for Endpoint でインシデント対応 する上で知っておきたい Windows の知識 株式会社エストディアン 国井

    傑 (くにい すぐる)

  2. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

    • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)

  3. MDE の基本知識

  4. 4 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。

    影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。 https://security.microsoft.com > インシデントとアラート

  5. 5 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因

  6. 6 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー

  7. 7 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により

    204.79.197.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている

  8. 8 デバイスのインベントリ https://security.microsoft.com > アセット > デバイス > 個別のデバイス アクティビティを

    時系列に表示

  9. 知っておきたい Windows の基本知識 その 1 ハッシュ

  10. 10 RegSvcs.exe ってマルウェア? Multi-stage incident involving Defense evasion & Discovery

    on one endpoint より

  11. 11 ハッシュはファイルを確認するための情報 ハッシュ値 Multi-stage incident involving Defense evasion & Discovery

    on one endpoint より

  12. 12 Virustotal でチェック

  13. 知っておきたい Windows の基本知識 その 2 schtasks.exe

  14. 14 schtasks.exe ってマルウェア? Multi-stage incident involving Execution & Defense evasion

    on one endpoint より いいえ。タスクスケジューラのコマンドです。 悪性ファイルの自動実行を補助するために使います。

  15. 15 MITRE ATT&CK の Persistence カテゴリの攻撃に該当

  16. 16 類似のプログラムたち • ASEP • Auto Start Entry Point の略で

    Windows 起動時に同時に起動するプログラムを 指定するレジストリの領域 • Autoruns プログラム (Windows Sysinternals) から確認可能 • sc.exe • サービスの登録・実行などを管理するコマンドベースのプログラム • 実行方法 sc.exe create badservice binpath=c:¥users¥admin¥downloads¥malware.exe • wmic.exe • コマンドベースで WMI の操作を行うプログラムで、任意のプログラムの遠隔実行が可能 • 実行方法 wmic.exe /node:dc01 process call create “cmd.exe /c netsh advfirewall set allprofiles state off”

  17. 知っておきたい Windows の基本知識 その 3 rundll32.exe

  18. 18 rundll32.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。DLL をロードするためのプログラムです。 こんな感じで実行します。 C:¥Windows¥System32¥rundll32.exe C:¥Windows¥System32¥shell32.dll,Contr ol_RunDLL

  19. 19 類似のプログラムたち • dllhost.exe • DLL内の関数を呼び出すためのプログラム • 実行方法 dllhost.exe xxx.dll

    • regsvr32.exe • DLL または ActiveX コントロールをレジストリに登録し、 後に実行可能な状態にするためのプログラム • 実行方法 regsvr32 xxx.dll /s

  20. 知っておきたい Windows の基本知識 その 4 svchost.exe

  21. 21 svchost.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。サービス実行を管理するためのプログラムで、次のような書式で命令します svchost.exe -k サービス(グループ)名 -s サービスグループ内の特定のサービス名

  22. 知っておきたい Windows の基本知識 まとめ

  23. MDE の監視には Windows はどのようなプログラムから 成り立っているのか?を理解する必要があります。 少しずつでも知識を蓄え、今後に備えていきましょう!

  24. https://AzureAD.net のリンクより詳細をご覧いただけます MDE を学びたい方、ご検討ください