Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Microsoft Defender for Endpoint でインシデント対応する上で知っ...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kunii, Suguru
February 14, 2024
Technology
0
380
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
2024年2月13日開催 第8回EMS勉強会スライド
Kunii, Suguru
February 14, 2024
Tweet
Share
More Decks by Kunii, Suguru
See All by Kunii, Suguru
国井さんにPurview の話を聞く会
sophiakunii
1
500
Microsoft Defender XDRで疲弊しないためのインシデント対応
sophiakunii
3
750
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
1.6k
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
200
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
1.2k
なんでもCopilot for Security
sophiakunii
4
5k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
160
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
670
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
6
5.6k
Other Decks in Technology
See All in Technology
Oracle Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
3
820
器用貧乏が強みになるまで ~「なんでもやる」が導いたエンジニアとしての現在地~
kakehashi
PRO
5
520
意志を実装するアーキテクチャモダナイゼーション
nwiizo
3
1.7k
primeNumber DATA MANAGEMENT CAMP #2:
masatoshi0205
0
330
Java ランタイムからカスタムランタイムに行き着くまで
ririru0325
0
110
【Claude Code】Plugins作成から始まったファインディの開発フロー改革
starfish719
0
440
既存のログ監視システムをクラウドっぽく実装してみた
tjmtrhs
0
190
論文検索を日本語でできるアプリを作ってみた
sailen2
0
110
ブログの作成に音声AIツールを使って音声入力しようとした話
smt7174
1
160
サンタコンペ2025完全攻略 ~お前らの焼きなましは遅すぎる~
terryu16
1
290
Agent Ready になるためにデータ基盤チームが今年やること / How We're Making Our Data Platform Agent-Ready
zaimy
0
160
【Developers Summit 2026】Memory Is All You Need:コンテキストの「最適化」から「継続性」へ ~RAGを進化させるメモリエンジニアリングの最前線~
shisyu_gaku
5
700
Featured
See All Featured
エンジニアに許された特別な時間の終わり
watany
106
230k
Deep Space Network (abreviated)
tonyrice
0
76
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
59
50k
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
79
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.8k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.1k
Color Theory Basics | Prateek | Gurzu
gurzu
0
210
Mind Mapping
helmedeiros
PRO
1
100
Building the Perfect Custom Keyboard
takai
2
700
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
1
450
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
450
Transcript
Microsoft Defender for Endpoint でインシデント対応 する上で知っておきたい Windows の知識 株式会社エストディアン 国井
傑 (くにい すぐる)
2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属
• 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)
MDE の基本知識
4 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。
影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。 https://security.microsoft.com > インシデントとアラート
5 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因
6 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー
7 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により
204.79.197.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている
8 デバイスのインベントリ https://security.microsoft.com > アセット > デバイス > 個別のデバイス アクティビティを
時系列に表示
知っておきたい Windows の基本知識 その 1 ハッシュ
10 RegSvcs.exe ってマルウェア? Multi-stage incident involving Defense evasion & Discovery
on one endpoint より
11 ハッシュはファイルを確認するための情報 ハッシュ値 Multi-stage incident involving Defense evasion & Discovery
on one endpoint より
12 Virustotal でチェック
知っておきたい Windows の基本知識 その 2 schtasks.exe
14 schtasks.exe ってマルウェア? Multi-stage incident involving Execution & Defense evasion
on one endpoint より いいえ。タスクスケジューラのコマンドです。 悪性ファイルの自動実行を補助するために使います。
15 MITRE ATT&CK の Persistence カテゴリの攻撃に該当
16 類似のプログラムたち • ASEP • Auto Start Entry Point の略で
Windows 起動時に同時に起動するプログラムを 指定するレジストリの領域 • Autoruns プログラム (Windows Sysinternals) から確認可能 • sc.exe • サービスの登録・実行などを管理するコマンドベースのプログラム • 実行方法 sc.exe create badservice binpath=c:¥users¥admin¥downloads¥malware.exe • wmic.exe • コマンドベースで WMI の操作を行うプログラムで、任意のプログラムの遠隔実行が可能 • 実行方法 wmic.exe /node:dc01 process call create “cmd.exe /c netsh advfirewall set allprofiles state off”
知っておきたい Windows の基本知識 その 3 rundll32.exe
18 rundll32.exe ってマルウェア? Suspicious files incident including Ransomware on one
endpoint より いいえ。DLL をロードするためのプログラムです。 こんな感じで実行します。 C:¥Windows¥System32¥rundll32.exe C:¥Windows¥System32¥shell32.dll,Contr ol_RunDLL
19 類似のプログラムたち • dllhost.exe • DLL内の関数を呼び出すためのプログラム • 実行方法 dllhost.exe xxx.dll
• regsvr32.exe • DLL または ActiveX コントロールをレジストリに登録し、 後に実行可能な状態にするためのプログラム • 実行方法 regsvr32 xxx.dll /s
知っておきたい Windows の基本知識 その 4 svchost.exe
21 svchost.exe ってマルウェア? Suspicious files incident including Ransomware on one
endpoint より いいえ。サービス実行を管理するためのプログラムで、次のような書式で命令します svchost.exe -k サービス(グループ)名 -s サービスグループ内の特定のサービス名
知っておきたい Windows の基本知識 まとめ
MDE の監視には Windows はどのようなプログラムから 成り立っているのか?を理解する必要があります。 少しずつでも知識を蓄え、今後に備えていきましょう!
https://AzureAD.net のリンクより詳細をご覧いただけます MDE を学びたい方、ご検討ください
sophiakunii
oracle4engineer
kakehashi
nwiizo
masatoshi0205
ririru0325
starfish719
tjmtrhs
sailen2
smt7174
terryu16
zaimy
shisyu_gaku
watany
tonyrice
madoxten
techseoconnect
bluesmoon
chriscoyier
danielanewman
gurzu
helmedeiros
takai
inesmontani
reverentgeek
