Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Microsoft Defender for Endpoint でインシデント対応する上で知っ...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kunii, Suguru
February 14, 2024
Technology
410
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
2024年2月13日開催 第8回EMS勉強会スライド
Kunii, Suguru
February 14, 2024
More Decks by Kunii, Suguru
See All by Kunii, Suguru
国井さんにPurview の話を聞く会
sophiakunii
1
560
Microsoft Defender XDRで疲弊しないためのインシデント対応
sophiakunii
3
880
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
1.8k
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
250
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
1.3k
なんでもCopilot for Security
sophiakunii
4
5.2k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
190
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
710
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
6
5.7k
Other Decks in Technology
See All in Technology
RAG を使わないという選択肢
tatsutaka
1
150
Kubernetesにおける学習基盤とLLMOpsの概要
ry
1
230
小さくはじめるSLI/SLO ~育てながら組織に定着させる実践知~ / Starting Small with SLI/SLOs: Building Adoption Through Continuous Growth
nari_ex
2
1.4k
データサイエンスを価値につなげるプロジェクト設計 〜 DS一年目が現場で得た気づき 〜
ysd113
1
140
FDE という解 ― 暗黙知と明示知をつなぐ、伴走型エンジニアリング ―
otanet
0
130
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
line_developers_tw
PRO
0
690
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
chanyou0311
3
2.1k
AI Engineering Summit Tokyo 2026 AIの前に、やることがある 〜医療データ企業の4フェーズ〜
dtaniwaki
0
2.5k
Dario Amodi『Policy on the AI Exponential』を理解する
nagatsu
0
210
中期計画、2回作ってみた ~業務委託と正社員、両方の視点から~
demaecan
1
650
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development with AI-DLC
yoshidashingo
0
170
新しいVibe Codingと”自走”について
watany
5
290
Featured
See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Faster Mobile Websites
deanohume
310
31k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.3k
Abbi's Birthday
coloredviolet
2
8k
Color Theory Basics | Prateek | Gurzu
gurzu
0
360
The Invisible Side of Design
smashingmag
302
52k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
エンジニアに許された特別な時間の終わり
watany
107
250k
Art, The Web, and Tiny UX
lynnandtonic
304
22k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
270
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
320
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
Transcript
Microsoft Defender for Endpoint でインシデント対応 する上で知っておきたい Windows の知識 株式会社エストディアン 国井
傑 (くにい すぐる)
2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属
• 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)
MDE の基本知識
4 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。
影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。 https://security.microsoft.com > インシデントとアラート
5 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因
6 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー
7 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により
204.79.197.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている
8 デバイスのインベントリ https://security.microsoft.com > アセット > デバイス > 個別のデバイス アクティビティを
時系列に表示
知っておきたい Windows の基本知識 その 1 ハッシュ
10 RegSvcs.exe ってマルウェア? Multi-stage incident involving Defense evasion & Discovery
on one endpoint より
11 ハッシュはファイルを確認するための情報 ハッシュ値 Multi-stage incident involving Defense evasion & Discovery
on one endpoint より
12 Virustotal でチェック
知っておきたい Windows の基本知識 その 2 schtasks.exe
14 schtasks.exe ってマルウェア? Multi-stage incident involving Execution & Defense evasion
on one endpoint より いいえ。タスクスケジューラのコマンドです。 悪性ファイルの自動実行を補助するために使います。
15 MITRE ATT&CK の Persistence カテゴリの攻撃に該当
16 類似のプログラムたち • ASEP • Auto Start Entry Point の略で
Windows 起動時に同時に起動するプログラムを 指定するレジストリの領域 • Autoruns プログラム (Windows Sysinternals) から確認可能 • sc.exe • サービスの登録・実行などを管理するコマンドベースのプログラム • 実行方法 sc.exe create badservice binpath=c:¥users¥admin¥downloads¥malware.exe • wmic.exe • コマンドベースで WMI の操作を行うプログラムで、任意のプログラムの遠隔実行が可能 • 実行方法 wmic.exe /node:dc01 process call create “cmd.exe /c netsh advfirewall set allprofiles state off”
知っておきたい Windows の基本知識 その 3 rundll32.exe
18 rundll32.exe ってマルウェア? Suspicious files incident including Ransomware on one
endpoint より いいえ。DLL をロードするためのプログラムです。 こんな感じで実行します。 C:¥Windows¥System32¥rundll32.exe C:¥Windows¥System32¥shell32.dll,Contr ol_RunDLL
19 類似のプログラムたち • dllhost.exe • DLL内の関数を呼び出すためのプログラム • 実行方法 dllhost.exe xxx.dll
• regsvr32.exe • DLL または ActiveX コントロールをレジストリに登録し、 後に実行可能な状態にするためのプログラム • 実行方法 regsvr32 xxx.dll /s
知っておきたい Windows の基本知識 その 4 svchost.exe
21 svchost.exe ってマルウェア? Suspicious files incident including Ransomware on one
endpoint より いいえ。サービス実行を管理するためのプログラムで、次のような書式で命令します svchost.exe -k サービス(グループ)名 -s サービスグループ内の特定のサービス名
知っておきたい Windows の基本知識 まとめ
MDE の監視には Windows はどのようなプログラムから 成り立っているのか?を理解する必要があります。 少しずつでも知識を蓄え、今後に備えていきましょう!
https://AzureAD.net のリンクより詳細をご覧いただけます MDE を学びたい方、ご検討ください
sophiakunii
tatsutaka
ry
nari_ex
ysd113
otanet
line_developers_tw
chanyou0311
dtaniwaki
nagatsu
demaecan
yoshidashingo
watany
chriscoyier
deanohume
aleyda
coloredviolet
gurzu
smashingmag
sstephenson
lynnandtonic
techseoconnect
ks91
tammyeverts
