Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft Defender for Endpoint でインシデント対応する上で知っ...

Avatar for Kunii, Suguru Kunii, Suguru
February 14, 2024
6
5.4k

Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識

2024年2月13日開催 第8回EMS勉強会スライド

Avatar for Kunii, Suguru

Kunii, Suguru

February 14, 2024
Tweet

More Decks by Kunii, Suguru

See All by Kunii, Suguru
Microsoft Defender XDRで疲弊しないためのインシデント対応
Avatar for Kunii, Suguru sophiakunii
3
600
Microsoft Intune アプリのトラブルシューティング
Avatar for Kunii, Suguru sophiakunii
1
1.4k
実録 Intune デバイス登録トラブルシューティング
Avatar for Kunii, Suguru sophiakunii
0
160
Microsoft 365 でデータセキュリティを強化しよう
Avatar for Kunii, Suguru sophiakunii
2
1.1k
なんでもCopilot for Security
Avatar for Kunii, Suguru sophiakunii
4
4.9k
Monthly Microsoft Intune Briefing Call Japan #2
Avatar for Kunii, Suguru sophiakunii
0
150
Copilot for Security を使った MDE / Sentinel のログ調査
Avatar for Kunii, Suguru sophiakunii
3
620
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
Avatar for Kunii, Suguru sophiakunii
0
330
Microsoft Cloud Security Benchmarkから学ぶMicrosoft Defender for Cloud
Avatar for Kunii, Suguru sophiakunii
4
1.2k

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.1k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.5k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.9k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.8k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
10
670
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.9k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
80
6.1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
36
6.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
24
1.6k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k

Transcript

  1. Microsoft Defender for Endpoint でインシデント対応 する上で知っておきたい Windows の知識 株式会社エストディアン 国井

    傑 (くにい すぐる)

  2. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

    • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)

  3. MDE の基本知識

  4. 4 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。

    影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。 https://security.microsoft.com > インシデントとアラート

  5. 5 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因

  6. 6 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー

  7. 7 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により

    204.79.197.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている

  8. 8 デバイスのインベントリ https://security.microsoft.com > アセット > デバイス > 個別のデバイス アクティビティを

    時系列に表示

  9. 知っておきたい Windows の基本知識 その 1 ハッシュ

  10. 10 RegSvcs.exe ってマルウェア? Multi-stage incident involving Defense evasion & Discovery

    on one endpoint より

  11. 11 ハッシュはファイルを確認するための情報 ハッシュ値 Multi-stage incident involving Defense evasion & Discovery

    on one endpoint より

  12. 12 Virustotal でチェック

  13. 知っておきたい Windows の基本知識 その 2 schtasks.exe

  14. 14 schtasks.exe ってマルウェア? Multi-stage incident involving Execution & Defense evasion

    on one endpoint より いいえ。タスクスケジューラのコマンドです。 悪性ファイルの自動実行を補助するために使います。

  15. 15 MITRE ATT&CK の Persistence カテゴリの攻撃に該当

  16. 16 類似のプログラムたち • ASEP • Auto Start Entry Point の略で

    Windows 起動時に同時に起動するプログラムを 指定するレジストリの領域 • Autoruns プログラム (Windows Sysinternals) から確認可能 • sc.exe • サービスの登録・実行などを管理するコマンドベースのプログラム • 実行方法 sc.exe create badservice binpath=c:¥users¥admin¥downloads¥malware.exe • wmic.exe • コマンドベースで WMI の操作を行うプログラムで、任意のプログラムの遠隔実行が可能 • 実行方法 wmic.exe /node:dc01 process call create “cmd.exe /c netsh advfirewall set allprofiles state off”

  17. 知っておきたい Windows の基本知識 その 3 rundll32.exe

  18. 18 rundll32.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。DLL をロードするためのプログラムです。 こんな感じで実行します。 C:¥Windows¥System32¥rundll32.exe C:¥Windows¥System32¥shell32.dll,Contr ol_RunDLL

  19. 19 類似のプログラムたち • dllhost.exe • DLL内の関数を呼び出すためのプログラム • 実行方法 dllhost.exe xxx.dll

    • regsvr32.exe • DLL または ActiveX コントロールをレジストリに登録し、 後に実行可能な状態にするためのプログラム • 実行方法 regsvr32 xxx.dll /s

  20. 知っておきたい Windows の基本知識 その 4 svchost.exe

  21. 21 svchost.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。サービス実行を管理するためのプログラムで、次のような書式で命令します svchost.exe -k サービス(グループ)名 -s サービスグループ内の特定のサービス名

  22. 知っておきたい Windows の基本知識 まとめ

  23. MDE の監視には Windows はどのようなプログラムから 成り立っているのか?を理解する必要があります。 少しずつでも知識を蓄え、今後に備えていきましょう!

  24. https://AzureAD.net のリンクより詳細をご覧いただけます MDE を学びたい方、ご検討ください