Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Microsoft Defender for Endpointによるインシデント調査
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Kunii, Suguru
February 10, 2023
Technology
3
5.1k
Microsoft Defender for Endpointによるインシデント調査
2023年2月10日開催のEMS勉強会での資料です
Kunii, Suguru
February 10, 2023
Tweet
Share
More Decks by Kunii, Suguru
See All by Kunii, Suguru
国井さんにPurview の話を聞く会
sophiakunii
1
510
Microsoft Defender XDRで疲弊しないためのインシデント対応
sophiakunii
3
780
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
1.6k
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
200
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
1.2k
なんでもCopilot for Security
sophiakunii
4
5k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
170
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
670
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
0
380
Other Decks in Technology
See All in Technology
楽しく学ぼう!コミュニティ入門 AWSと人が つむいできたストーリー
hiroramos4
PRO
1
200
実践 Datadog MCP Server
nulabinc
PRO
2
190
NewSQL_ ストレージ分離と分散合意を用いたスケーラブルアーキテクチャ
hacomono
PRO
4
340
[JAWS DAYS 2026]私の AWS DevOps Agent 推しポイント
furuton
0
150
今のWordPress の制作手法ってなにがあんねん?(改) / What’s the Deal with WordPress Development These Days?
tbshiki
0
450
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
wkm2
4
530
AWS DevOps Agent vs SRE俺 / AWS DevOps Agent vs me, the SRE
sms_tech
3
760
Evolution of Claude Code & How to use features
oikon48
1
610
SRE NEXT 2026 CfP レビュアーが語る聞きたくなるプロポーザルとは?
yutakawasaki0911
1
310
OCHaCafe S11 #2 コンテナ時代の次の一手:Wasm 最前線
oracle4engineer
PRO
2
130
内製AIチャットボットで学んだDatadog LLM Observability活用術
mkdev10
0
100
猫でもわかるKiro CLI(AI 駆動開発への道編)
kentapapa
0
200
Featured
See All Featured
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
320
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
84
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
200
The Curious Case for Waylosing
cassininazir
0
270
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.8k
Speed Design
sergeychernyshev
33
1.6k
Code Review Best Practice
trishagee
74
20k
Optimizing for Happiness
mojombo
378
71k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
Abbi's Birthday
coloredviolet
2
5.3k
sira's awesome portfolio website redesign presentation
elsirapls
0
190
Transcript
Microsoft Defender for Endpoint による インシデント調査 (Live!) 株式会社エストディアン 国井 傑
(くにい すぐる)
2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属
• マイクロソフト認定トレーナー (1997~2023) • Microsoft MVP for Enterprise Mobility, Security (2006~2023) • http://AzureAD.net • 主な職務・実績 • ID 関連技術/運用管理を中心としたトレーニング • 評価ガイド執筆多数 (MECM, Microsoft Defender 等) • テクニカル ライター (@IT, ITpro, ZDNet Japan 等)
3 自動調査 • 侵入の検出から調査、対処までを自動化 • AI ベースでの脅威の重要度の特定 • 対象となるコンピューターとオートメーションレベルを定義するだけで 自動調査を開始
侵入の検出 対象となる デバイスの特定 脅威の種類の特定 修復の完了 管理者の承認 修復ソースの確認 ファイル, IP 等の分析 AntiVirus 定義ファイル ファイアウォールの規則
4 Cyber Kill Chain フィッシングメール 悪質な添付ファイル フィッシングリンクをクリック 端末感染 攻撃者サーバーとの 接続
ブルートフォース 漏洩した資格情報 ユーザアカウントの 乗っ取り 横方向移動 特権アカウントの 乗っ取り ドメイン 乗っ取り 機密情報への アクセス データ 摂取/改ざん 永続化 + フィッシングサイト 閲覧 偵察・武器化 デリバリー エクスプロイト 侵入 潜伏活動 目的の実行 サイバー攻撃のプロセスを構造化して表現 (以下は標的型攻撃の例)
5 アラートとインシデント インシデント アラート アラート 推奨されないような特定の事象が発生した時に出力する内容 個々のアラートの詳細を確認していくことが次のステップになる インシデント 一連の攻撃や関連するアラートをひとまとめにしたもの。 まずはここから調査を開始する。
影響を受けるエンドポイントの数、影響を受けるユーザー、 検出ソース、カテゴリなどの通知属性に基づいて自動的に生成。
6 デバイスのインベントリ デバイスのアクティビティをデバイス単位で参照 デバイスの 基本情報 アクティビティを 時系列に表示
7 インシデントとアラートの検出 インシデント インシデント内のアラート インシデントと判定した要因
8 アラートでの検出 特定のアラートの詳細 アラートを発生させた事象 に関わるプロセスツリー
9 アラートのストーリーから分析 Powershell.exe から notepad.exe を呼び出している notepad.exe にプロセスが注入 され、悪意のコードが実行された プロセスが注入により
204.79.797.203 へ の通信が行われた Powershell.exe は explorer.exe から呼び出されている
10 ファイルの分析 組織内で同じ不正アクセスに 遭ったデバイス数を把握 ファイルに対する操作 ファイルの詳細分析
11 タイムラインから分析 アラート記載のログ日時 powershell_ise.exe から実行 powershell_ise.exe から実行 した最初のログではレジストリ アクセスを行っている
12 Advanced Hunting • Microsoft Defender for Endpoint で収集した内容に対するクエリ機能 •
特定のインシデントの検索やインシデントの影響範囲の調査に有効 PowerShell によるダウンロー ド処理を行ったイベントを検索 該当するイベントを発見 該当する時間のイベントを確認すると.. cmd.exe から PowerShell が 実行され、ダウンロード処理が 発生していることがわかる
SiteGround - Reliable hosting with speed, security, and support you can count on.
sophiakunii
hiroramos4
nulabinc
hacomono
furuton
tbshiki
wkm2
sms_tech
oikon48
yutakawasaki0911
oracle4engineer
mkdev10
kentapapa
mfonobong
livdayseo
frankvandijk
cassininazir
honnibal
sergeychernyshev
trishagee
mojombo
ipullrank
kevinliebholz
coloredviolet
elsirapls
