$30 off During Our Annual Pro Sale. View Details »

Microsoft Defender for Endpointによるインシデント調査

Kunii, Suguru
February 10, 2023

Microsoft Defender for Endpointによるインシデント調査

2023年2月10日開催のEMS勉強会での資料です

Kunii, Suguru

February 10, 2023
Tweet

More Decks by Kunii, Suguru

Other Decks in Technology

Transcript

  1. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

    • マイクロソフト認定トレーナー (1997~2023) • Microsoft MVP for Enterprise Mobility, Security (2006~2023) • http://AzureAD.net • 主な職務・実績 • ID 関連技術/運用管理を中心としたトレーニング • 評価ガイド執筆多数 (MECM, Microsoft Defender 等) • テクニカル ライター (@IT, ITpro, ZDNet Japan 等)
  2. 3 自動調査 • 侵入の検出から調査、対処までを自動化 • AI ベースでの脅威の重要度の特定 • 対象となるコンピューターとオートメーションレベルを定義するだけで 自動調査を開始

    侵入の検出 対象となる デバイスの特定 脅威の種類の特定 修復の完了 管理者の承認 修復ソースの確認 ファイル, IP 等の分析 AntiVirus 定義ファイル ファイアウォールの規則
  3. 4 Cyber Kill Chain フィッシングメール 悪質な添付ファイル フィッシングリンクをクリック 端末感染 攻撃者サーバーとの 接続

    ブルートフォース 漏洩した資格情報 ユーザアカウントの 乗っ取り 横方向移動 特権アカウントの 乗っ取り ドメイン 乗っ取り 機密情報への アクセス データ 摂取/改ざん 永続化 + フィッシングサイト 閲覧 偵察・武器化 デリバリー エクスプロイト 侵入 潜伏活動 目的の実行 サイバー攻撃のプロセスを構造化して表現 (以下は標的型攻撃の例)
  4. 12 Advanced Hunting • Microsoft Defender for Endpoint で収集した内容に対するクエリ機能 •

    特定のインシデントの検索やインシデントの影響範囲の調査に有効 PowerShell によるダウンロー ド処理を行ったイベントを検索 該当するイベントを発見 該当する時間のイベントを確認すると.. cmd.exe から PowerShell が 実行され、ダウンロード処理が 発生していることがわかる