Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Microsoft Defender for Endpointによるインシデント調査
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kunii, Suguru
February 10, 2023
Technology
3
5.1k
Microsoft Defender for Endpointによるインシデント調査
2023年2月10日開催のEMS勉強会での資料です
Kunii, Suguru
February 10, 2023
Tweet
Share
More Decks by Kunii, Suguru
See All by Kunii, Suguru
国井さんにPurview の話を聞く会
sophiakunii
1
510
Microsoft Defender XDRで疲弊しないためのインシデント対応
sophiakunii
3
770
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
1.6k
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
200
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
1.2k
なんでもCopilot for Security
sophiakunii
4
5k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
160
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
670
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
0
380
Other Decks in Technology
See All in Technology
管理者向けGitHub Enterpriseの運用Tips紹介: 人にもAIにも優しいプラットフォームづくり
yuriemori
0
190
聲の形にみるアクセシビリティ
tomokusaba
0
160
製造業ドメインにおける LLMプロダクト構築: 複雑な文脈へのアプローチ
caddi_eng
1
550
AIファーストを前提とした開発スタイルの変化
sbtechnight
0
270
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
feststelltaste
1
230
OCI Security サービス 概要
oracle4engineer
PRO
2
13k
越境する組織づくり ─ 多様性を前提にしたチームビルディングとリードの実践知
kido_engineer
2
170
A Gentle Introduction to Transformers
keio_smilab
PRO
2
1k
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
miu_crescent
PRO
13
4.1k
プロジェクトマネジメントをチームに宿す -ゼロからはじめるチームプロジェクトマネジメントは活動1年未満のチームの教科書です- / 20260304 Shigeki Morizane
shift_evolve
PRO
1
160
最強のAIエージェントを諦めたら品質が上がった話 / how quality improved after giving up on the strongest AI agent
kt2mikan
0
130
Claude Codeの進化と各機能の活かし方
oikon48
21
11k
Featured
See All Featured
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.5k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.2k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
0
150
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.2k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
310
Automating Front-end Workflow
addyosmani
1370
200k
Into the Great Unknown - MozCon
thekraken
40
2.3k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
The browser strikes back
jonoalderson
0
770
Transcript
Microsoft Defender for Endpoint による インシデント調査 (Live!) 株式会社エストディアン 国井 傑
(くにい すぐる)
2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属
• マイクロソフト認定トレーナー (1997~2023) • Microsoft MVP for Enterprise Mobility, Security (2006~2023) • http://AzureAD.net • 主な職務・実績 • ID 関連技術/運用管理を中心としたトレーニング • 評価ガイド執筆多数 (MECM, Microsoft Defender 等) • テクニカル ライター (@IT, ITpro, ZDNet Japan 等)
3 自動調査 • 侵入の検出から調査、対処までを自動化 • AI ベースでの脅威の重要度の特定 • 対象となるコンピューターとオートメーションレベルを定義するだけで 自動調査を開始
侵入の検出 対象となる デバイスの特定 脅威の種類の特定 修復の完了 管理者の承認 修復ソースの確認 ファイル, IP 等の分析 AntiVirus 定義ファイル ファイアウォールの規則
4 Cyber Kill Chain フィッシングメール 悪質な添付ファイル フィッシングリンクをクリック 端末感染 攻撃者サーバーとの 接続
ブルートフォース 漏洩した資格情報 ユーザアカウントの 乗っ取り 横方向移動 特権アカウントの 乗っ取り ドメイン 乗っ取り 機密情報への アクセス データ 摂取/改ざん 永続化 + フィッシングサイト 閲覧 偵察・武器化 デリバリー エクスプロイト 侵入 潜伏活動 目的の実行 サイバー攻撃のプロセスを構造化して表現 (以下は標的型攻撃の例)
5 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。
影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。
6 デバイスのインベントリ デバイスのアクティビティをデバイス単位で参照 デバイスの 基本情報 アクティビティを 時系列に表示
7 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因
8 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー
9 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により
204.79.797.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている
10 ファイルの分析 組織内で同じ不正アクセスに 遭ったデバイス数を把握 ファイルに対する操作 ファイルの詳細分析
11 タイムラインから分析 アラート記載のログ日時 powershell_ise.exe から実行 powershell_ise.exe から実行 した最初のログではレジストリ アクセスを行っている
12 Advanced Hunting • Microsoft Defender for Endpoint で収集した内容に対するクエリ機能 •
特定のインシデントの検索やインシデントの影響範囲の調査に有効 PowerShell によるダウンロー ド処理を行ったイベントを検索 該当するイベントを発見 該当する時間のイベントを確認すると.. cmd.exe から PowerShell が 実行され、ダウンロード処理が 発生していることがわかる
sophiakunii
yuriemori
tomokusaba
caddi_eng
sbtechnight
feststelltaste
oracle4engineer
kido_engineer
keio_smilab
miu_crescent
shift_evolve
kt2mikan
oikon48
tammyeverts
inesmontani
sugarenia
kastner
baasie
geoffreycrofte
sarafernandez
mfonobong
addyosmani
thekraken
rmw
jonoalderson
