動作ブロックと封じ込め

動作ブロックと封じ込めとは

今日の脅威の状況は、陸上に存在する ファイルレスマルウェア 、従来のソリューションよりも速く変化する非常にポリモーフィックな脅威、および侵害されたデバイスで敵対者が見つけるものに適応する人間が操作する攻撃によってオーバーランしています。 従来のセキュリティ ソリューションでは、このような攻撃を阻止するには十分ではありません。 Defender for Endpoint に含まれる、行動ブロックや封じ込めなどの人工知能 (AI) と機械学習 (ML) に基づく機能が必要です。

行動ブロックと封じ込め機能は、脅威が既に開始されている場合でも、その動作とプロセス ツリーに基づいて脅威を特定して停止するのに役立ちます。 次世代の保護、EDR、Defender for Endpoint のコンポーネントと機能は、動作ブロックと封じ込め機能で連携します。

動作ブロックと封じ込め機能は、Defender for Endpoint の複数のコンポーネントと機能と連携して、攻撃を直ちに停止し、攻撃の進行を防ぎます。

• 次世代保護 (Microsoft Defender ウイルス対策を含む) は、動作を分析して脅威を検出し、脅威の実行を停止できます。

• エンドポイントの検出と応答 (EDR) は、ネットワーク、デバイス、およびカーネルの動作全体でセキュリティ信号を受信します。 脅威が検出されると、アラートが作成されます。 同じ種類の複数のアラートがインシデントに集約されるため、セキュリティ運用チームが調査して対応しやすくなります。

• Defender for Endpoint には、EDR を介して受信したネットワーク、エンドポイント、およびカーネルの動作信号に加えて、ID、電子メール、データ、アプリにわたるさまざまな光学機能があります。 Microsoft Defender XDRのコンポーネントである Defender for Endpoint は、これらのシグナルを処理して関連付け、検出アラートを発生させ、インシデント内の関連アラートを接続します。

これらの機能を使用すると、実行を開始した場合でも、より多くの脅威を防止またはブロックできます。 疑わしい動作が検出されると、脅威が含まれており、アラートが作成され、脅威が追跡で停止されます。

次の図は、アラートをトリガーする動作ブロックと封じ込め機能の例を示しています。

前提条件

サポートされるオペレーティング システム

• Windows

行動ブロックと封じ込めのコンポーネント

• クライアント上のポリシー駆動 型攻撃面の縮小 (ASR) ルール アプリからの定義済みの一般的な攻撃動作を防ぎます。 ASR ルール検出を監視するには、「 攻撃面の縮小 (ASR) ルール アクティビティを監視する」を参照してください。

• クライアント動作ブロック エンドポイント上の脅威は機械学習によって検出され、自動的にブロックされて修復されます。 (クライアント動作ブロックは既定で有効になっています)。

• フィードバック ループ ブロック (迅速な保護とも呼ばれます) 脅威検出は、行動インテリジェンスによって観察されます。 脅威は停止され、他のエンドポイントで実行できなくなります。 (フィードバック ループ ブロックは既定で有効になっています)。

• ブロック モードでのエンドポイントの検出と応答 (EDR) 侵害後の保護によって観察される悪意のあるアーティファクトまたは動作はブロックされ、含まれます。 ブロック モードの EDR は、Microsoft Defenderウイルス対策が主要なウイルス対策ソリューションではない場合でも機能します。 (ブロック モードの EDR は既定では有効になっていません。Microsoft Defender XDRでオンにします)。

Microsoft は引き続き脅威の保護機能を改善するため、行動のブロックと封じ込めの分野でさらに多くのことを期待してください。 今何が計画され、ロールアウトされているのかを確認するには、 Microsoft 365 ロードマップにアクセスしてください。

動作ブロックとコンテインメントの動作の例

動作ブロックと封じ込め機能によって、次の攻撃者の手法がブロックされています。

• LSASS からの資格情報のダンプ
• プロセス間インジェクション
• プロセスの中空化
• ユーザー アカウント制御のバイパス
• ウイルス対策の改ざん (無効にしたり、マルウェアを除外として追加したりするなど)
• コマンドと制御 (C&C) に接続してペイロードをダウンロードする
• コインマイニング
• ブート レコードの変更
• Pass-the-hash 攻撃
• ルート証明書のインストール
• さまざまな脆弱性に対する悪用の試み

動作ブロックとコンテインメントの実際の 2 つの例を次に示します。

例 1: 100 の組織に対する資格情報の盗難攻撃

「とらえどころのない脅威の熱い追求: AI 主導の動作ベースのブロックは、そのトラックでの攻撃を停止します。行動ブロックと封じ込め機能は、世界中の 100 の組織に対する資格情報の盗難攻撃を停止しました。 誘惑ドキュメントを含むスピア フィッシングメール メッセージは、対象の組織に送信されました。 受信者が添付ファイルを開いた場合、関連するリモート ドキュメントがユーザーのデバイスでコードを実行し、資格情報を盗み、盗まれたデータを流出させ、コマンドアンドコントロール サーバーからのさらなる指示を待つ Lokibot マルウェアを読み込むことができました。

Defender for Endpoint の動作ベースの機械学習モデルは、攻撃チェーン内の 2 つのポイントで攻撃者の手法をキャッチして停止しました。

• 最初の保護レイヤーで、悪用の動作が検出されました。 クラウド内の機械学習分類子は、脅威を正しく特定し、攻撃をブロックするようにクライアント デバイスに直ちに指示しました。
• 2 つ目の保護レイヤーは、攻撃が最初のレイヤーを越えたケースを停止し、プロセスの空洞化を検出し、そのプロセスを停止し、対応するファイル (Lokibot など) を削除するのに役立ちました。

攻撃が検出および停止されている間、"初期アクセス アラート" などのアラートがトリガーされ、Microsoft Defender ポータルに表示されました。

この例は、クラウド内の動作ベースの機械学習モデルが、既に実行されている後でも、攻撃に対する新しい保護レイヤーを追加する方法を示しています。

例 2: NTLM リレー - ジューシーポテト マルウェアバリアント

最近のブログ投稿「動作ブロックと封じ込め: 光学を保護に変換する」で説明したように、2020 年 1 月、Defender for Endpoint は、organization内のデバイスで特権エスカレーション アクティビティを検出しました。 "NTLM リレーを使用した特権エスカレーションの可能性" というアラートがトリガーされました。

脅威はマルウェアであることが判明しました。これは、デバイス上の特権エスカレーションを取得するために攻撃者によって使用される、ジューシーポテトと呼ばれる悪名高いハッキングツールの新しい、目に見えない変種でした。

アラートがトリガーされてから数分後に、ファイルが分析され、悪意が確認されました。 次の図に示すように、プロセスは停止され、ブロックされました。

成果物がブロックされてから数分後に、同じファイルの複数のインスタンスが同じデバイスでブロックされ、より多くの攻撃者やその他のマルウェアがデバイスに展開されるのを防ぎます。

この例では、行動ブロックと封じ込め機能を使用すると、脅威が自動的に検出、包含、ブロックされることを示しています。

関連コンテンツ

• エンドポイントでの検出と対応の概要
• 攻撃面の減少 (ASR) ルール
• ブロック モードで EDR を有効にする
• 最近のグローバル脅威アクティビティ
• Microsoft Defender XDRの概要