動作ブロックを使用する
国外に存在するファイルレス マルウェアに圧倒されているというのが、今日の脅威の状況です。 従来のソリューションが対応できないほどの速さで変異する非常に多様な形態の脅威を秘めたマルウェア、侵害されたデバイス上で敵対者が見つけた対象に合わせて人間が操作する攻撃。 従来のセキュリティ ソリューションでは、このような攻撃を防ぎきれません。 Defender for Endpoint に含まれる動作のブロックと封じ込め機能のような、人工知能 (AI) と機械学習 (ML) でサポートされている機能が必要です。
動作のブロックと封じ込め機能は、脅威が既に始まっている場合でも、その動作とプロセス ツリーに基づいて脅威を特定し、停止するのに役立ちます。 次世代型の保護機能である EDR と Defender for Endpoint のコンポーネントおよび機能は、動作のブロックと封じ込め機能において連携して動作します。
動作のブロックと封じ込め機能は、Defender for Endpoint の複数のコンポーネントおよび機能と連係して、攻撃を即座に停止し、攻撃の進行を防ぐことができます。
次世代型の保護 (Microsoft Defender ウイルス対策を含む) では、動作を分析することによって脅威を検出し、実行を開始した脅威を阻止することができます。
エンドポイントの検出と応答 (EDR) では、ネットワーク、デバイス、およびオペレーティング システム (OS) カーネルの動作全体からセキュリティ信号を受信します。 脅威が検出されると、アラートが作成されます。 同じ種類の複数のアラートはインシデントに集計されるため、セキュリティ運用チームは調査と対応を容易に行うことができます。
Defender for Endpoint では、ID、電子メール、データ、アプリを広範囲にわたって監視します。 また、EDR を介して受信したネットワーク、エンドポイント、カーネルの動作信号も監視します。 Microsoft Defender XDR のコンポーネントである Defender for Endpoint は、これらの信号を処理して関連付け、検出アラートを生成し、インシデント内の関連するアラートを結びつけます。
これらの機能を使用すると、実行が開始された場合でも、より多くの脅威を防止またはブロックすることができます。 疑わしい動作が検出されるたびに、脅威が封じ込めされ、アラートが作成され、脅威は途中で停止されます。
次の図は、動作のブロックと封じ込め機能によってトリガーされたアラートの例を示しています。
クライアント動作ブロック
クライアント動作ブロックは、Defender for Endpoint における動作のブロックと封じ込め機能のコンポーネントです。 デバイス (クライアントまたはエンドポイントと呼ばれます) で疑わしい動作が検出されると、ファイルやアプリケーションなどの成果物はブロック、チェック、および修復されます。
クライアント動作ブロックのしくみ
Microsoft Defender ウイルス対策では、疑わしい動作、悪意のあるコード、ファイルレスおよびインメモリ攻撃などをデバイスから検出できます。 疑わしい動作が検出されると、Microsoft Defender ウイルス対策では、これらの疑わしい動作とプロセス ツリーをクラウド保護サービスに監視し、送信します。 機械学習では、悪意のあるアプリケーションと適切な動作がミリ秒以内で区別され、各成果物が分類されます。 成果物が悪意のあるものであることが判明すると、すぐにデバイスでブロックされます。
疑わしい動作が検出されると常に、アラートが生成されて、Microsoft Defender ポータルに表示されます
クライアント動作ブロックは、攻撃が開始されるのを防ぐだけではなく、実行を開始した攻撃を停止するのに役立つため効果的です。 フィードバックループ ブロック (動作のブロックと封じ込めの別の機能) を使用すると、組織内の他のデバイスで攻撃を防ぐことができます。
動作に基づく検出
動作に基づく検出は、エンタープライズ向けの MITRE ATT&CK マトリックスに従って名前が付けられます。 この名前付け規則は、悪意のある動作が見られた攻撃段階を特定するのに役立ちます。
| 方針 | 検出の脅威名 |
|---|---|
| 初期アクセス | Behavior:Win32/InitialAccess.*!ml |
| 実行 | Behavior:Win32/Execution.*!ml |
| 永続化 | Behavior:Win32/Persistence.*!ml |
| Privilege Escalation (特権昇格) | Behavior:Win32/PrivilegeEscalation.*!ml |
| 防御回避 | Behavior:Win32/DefenseEvasion.*!ml |
| 資格情報アクセス | Behavior:Win32/CredentialAccess.*!ml |
| 検出 | Behavior:Win32/Discovery.*!ml |
| 侵入の拡大 | Behavior:Win32/LateralMovement.*!ml |
| コレクション | Behavior:Win32/Collection.*!ml |
| コマンドと制御 | Behavior:Win32/CommandAndControl.*!ml |
| 流出 | Behavior:Win32/Exfiltration.*!ml |
| 影響 | Behavior:Win32/Impact.*!ml |
| 未分類 | Win32/Generic.*!ml |
フィードバックループ ブロック
フィードバックループ ブロックは、迅速な保護とも呼ばれ、Microsoft Defender for Endpoint における動作のブロックと封じ込め機能のコンポーネントです。 フィードバックループ ブロックを使用すると、組織内のデバイスを攻撃からいっそう保護することができます。
フィードバックループ ブロックのしくみ
Microsoft Defender ウイルス対策などによって疑わしい動作やファイルが検出されると、その成果物に関する情報が複数の分類器に送信されます。 迅速な保護ループ エンジンによって情報が検査され、他の信号と関連付けて、ファイルをブロックするかどうかを判断をします。 成果物の検査と分類は迅速に行われます。 これにより、確認されたマルウェアが迅速にブロックされ、エコシステム全体を保護することができます。
迅速な保護を導入することで、攻撃が足掛かりを広げようとしたときに、あるデバイスや組織内の他のデバイス、および他の組織のデバイスで、攻撃を阻止することができます。
ブロック モードのエンドポイントの検出と応答
ブロック モードのエンドポイントの検出と応答 (EDR) が有効になっている場合、Defender for Endpoint では、侵害後の保護を通じて観察される悪意のある成果物または動作がブロックされます。 ブロック モードの EDR はバックグラウンドで動作し、侵害後に検出された悪意のある成果物を修復します。
ブロック モードの EDR は、脅威と脆弱性の管理とも統合されています。 まだ有効になっていない場合、組織のセキュリティ チームはブロック モードの EDR を有効にすることを推奨するセキュリティ通知を受け取ります。
検出時の動作
ブロック モードの EDR がオンになっていて、悪意のある成果物が検出されると、ブロックと修復のアクションが実行されます。 アクション センターでは完了アクションとして、[ブロック] または [Prevented](防止済み) の検出状態が表示されます。
次の画像は、ブロック モードの EDR によって検出およびブロックされた望ましくないソフトウェアの事例を示しています。
