Microsoft Defender for Endpoint を使用して高度な脅威からエンタープライズ ネットワークを保護する
- 8 分
EndPoint 向け Microsoft Defender は、エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンタープライズエンドポイントセキュリティプラットフォームです。 Defender for Endpoint では、Windows 10 と 11 と Microsoft の堅牢なクラウド サービスに組み込まれている次のテクノロジの組み合わせを使用します。
- エンドポイント行動センサー。 Windows 10および 11 に埋め込まれたセンサーは、オペレーティング システムから動作信号を収集して処理します。 このデータは、Microsoft Defender for Endpoint の組織のプライベートで分離されたクラウド インスタンスに送信されます。
- クラウド セキュリティ分析。 Windows エコシステム、エンタープライズ クラウド製品 (Microsoft 365 など)、オンライン資産全体でビッグ データ、デバイスラーニング、および独自の Microsoft 光学を使用します。 クラウド セキュリティ分析は、行動シグナルを分析情報、検出、および高度な脅威に対する推奨応答に変換します。
- 脅威インテリジェンス。 脅威インテリジェンスを使用すると、Microsoft Defender for Endpoint で攻撃者のツール、手法、手順を特定できます。 また、収集されたセンサー データに表示されるアラートも生成されます。 Microsoft の内部ハンターとセキュリティ チームは、脅威インテリジェンス データを生成します。 その後、Microsoft パートナーは脅威インテリジェンスを使用してデータを拡張します。
Microsoft Defender for Endpoint は、完全なエンドポイント セキュリティ ソリューションを提供します。 次の機能を統合して、予防的な保護、侵害後の検出、自動調査、対応を実現します。
脅威と脆弱性の管理
エンドポイントの弱点を効果的に特定、評価、修復することは、正常なセキュリティ プログラムを実行し、組織のリスクを軽減するうえで極めて重要です。 脅威と脆弱性の管理は、組織の暴露を削減し、エンドポイントの役割を強化し、組織の回復性を向上させるためのインフラストラクチャとして機能します。
エージェントや定期的なスキャンを必要とせずに、センサーを使用してリアルタイムで脆弱性と構成の誤りを検出します。 脆弱性は次の項目に基づいてランク付けされます:
- 脅威の状況
- 組織内の検出
- 脆弱なデバイスに関する機密情報
- ビジネス コンテキスト
攻撃面の縮小
組織は、サイバー脅威や攻撃に対して脆弱な場所を最小限に抑えることで、攻撃対象領域を減らすことができます。 攻撃面を減らす機能は、スタック内の防御の最前線を提供します。 組織が構成設定を適切に設定し、悪用の軽減策に関連する手法を適用すると、この機能は攻撃と悪用に積極的に抵抗します。 次の表では、この一連の機能を定義します。
| Capabilities | Description |
|---|---|
| 攻撃面の減少 | マルウェアを阻止するのに役立つインテリジェントなルールを使用して、アプリケーションの脆弱性 (攻撃対象領域) を削減します。 (Microsoft Defender ウイルス対策が必要)。 |
| ハードウェア ベースの分離 | システムの開始時と実行中に、システムの整合性を保護および維持します。 ローカル構成証明とリモート構成証明を使用してシステムの整合性を検証します。 Microsoft Edge のコンテナー分離を使用して、悪意のある Web サイトから保護します。 |
| アプリケーション制御 | アプリケーション制御を使用して、アプリケーションが実行するために信頼を獲得する必要があります。 |
| エクスプロイト保護 | organizationが使用するオペレーティング システムとアプリを悪用から保護するのに役立ちます。 エクスプロイト保護 は、サード パーティ製のウイルス対策ソリューションでも機能します。 |
| ネットワーク保護 | organizationのデバイス上のネットワーク トラフィックと接続に対する保護を拡張します。 (Microsoft Defender ウイルス対策が必要) |
| Web 保護 | デバイスを Web の脅威から保護し、不要なコンテンツを規制するのに役立ちます。 |
| 制御されたフォルダー アクセス | 悪意のあるアプリや疑わしいアプリ (ファイル暗号化ランサムウェアマルウェアを含む) がキー システム フォルダー内のファイルに変更を加えるのを防ぐのに役立ちます (Microsoft Defenderウイルス対策が必要です) |
| ネットワーク ファイアウォール | 承認されていないトラフィックがorganizationのデバイスとの間で送受信されるのを防ぎます。 organizationは、双方向ネットワーク トラフィック フィルタリングを使用してこの目標を達成できます。 |
Microsoft Defender ウイルス対策
Microsoft Defender for Endpoint の次世代保護コンポーネントは、次の機能を組み合わせることで、組織内のデバイスを保護します。
- 機械学習
- ビッグ データ分析
- 詳細な脅威耐性研究
- Microsoft クラウド インフラストラクチャ
Microsoft Defender for Endpointには、次の保護サービスが含まれています。
- 動作ベース、ヒューリスティック、リアルタイムのウイルス対策保護。 ファイルとプロセスの動作の監視やその他のヒューリスティック ( リアルタイム保護とも呼ばれます) を使用した常時オン スキャンが含まれます。 また、安全でないと見なされるが、マルウェアとして検出されない可能性があるアプリの検出とブロックも含まれます。
- クラウドによる保護。 新規および新しい脅威のほぼ瞬時の検出とブロックが含まれます。
- 専用の保護と製品の更新プログラム。 Microsoft Defender ウイルス対策を最新の状態に保つ更新プログラムが含まれます。
エンドポイントの検出および応答
Microsoft Defender for Endpointには、最初の 2 つのセキュリティの柱を超えた高度な脅威を検出、調査、対応するエンドポイント検出と対応機能が含まれています。 高度な捜索 ではクエリベースの脅威捜索ツールが提供され、これにより侵入を予防的に発見し、カスタム検出を作成することができます。
エンドポイントの検出と対応機能は、ほぼリアルタイムで実用的な高度な攻撃検出を提供します。 セキュリティ アナリストは、効率的にアラートの優先順位を設定し、違反の全容を可視化して、脅威に対処する対応策を講じることができます。
Microsoft Defender for Endpointが脅威を検出すると、アナリストが調査するためのアラートがシステムに作成されます。 同じ攻撃技法のアラートや同じ攻撃者によるアラートは、incident と呼ばれるエンティティに集約されます。 この方法でアラートを集約すると、アナリストは脅威への総合的な調査や対応が簡単にできるようになります。
調査と修復の自動化
Microsoft Defender for Endpoint は、高度な攻撃に迅速に対応します。 自動調査と修復 (AIR) 機能が提供され、アラートの量を数分で大規模に減らすことができます。
自動調査のテクノロジは、さまざまな検査アルゴリズムを使用し、セキュリティ アナリストが使用するプロセスに基づいています。 AIR 機能は、アラートを調査し、侵害を解決するために直ちにアクションを実行するように設計されています。 AIR 機能により、アラートの量が大幅に削減されるため、セキュリティ運用はより高度な脅威やその他の価値の高いイニシアチブに集中できます。 アクション センターは、保留中か完了かに関係なく、すべての修復アクションを追跡します。 アクション センターでは、管理者は保留中のアクションを承認 (または拒否) でき、必要に応じて完了したアクションを元に戻すことができます。
デバイス用の Microsoft セキュア スコア
Microsoft Defender for Endpoint には、デバイスの Microsoft セキュア スコアが含まれています。 この機能は、組織が次のことをするのに役立ちます:
- エンタープライズ ネットワークのセキュリティ状態を動的に評価します。
- 保護されていないシステムを識別します。
- 全体的なセキュリティを向上させるために推奨されるアクションを実行します。
デバイスのスコアは、Microsoft Defender セキュリティ センターの 脅威と脆弱性管理ダッシュボード に表示されます。 デバイスの Microsoft セキュア スコアが高いということは、エンドポイントがサイバー セキュリティの脅威攻撃に対してより回復力があることを意味します。 これは、次のカテゴリにわたるデバイスの集合的なセキュリティ構成状態を反映しています:
- アプリケーション
- オペレーティング システム
- ネットワーク
- アカウント
- セキュリティ コントロール
Microsoft 脅威エキスパート
Microsoft Threat Experts は、マネージド脅威ハンティング サービスです。 専門家レベルの監視と分析を備えた組織のセキュリティ オペレーション センター (SOC) を提供します。 これらの機能は、SOC が環境内の重要な脅威を見逃さないようにするのに役立ちます。
この管理された脅威の追求サービスは、標的型攻撃通知とオンデマンドの専門家へのアクセスという 2 つの機能を通じて、エキスパート主導のインサイトとデータを提供します。 標的型攻撃の通知は、新しいアラートとして表示されます。
Microsoft 脅威エキスパートハンティング サービスは、ネットワークに対する最も重要な脅威に対する予防的な捜索を提供します。 これらの脅威には次のものが含まれます:
- 人間の敵対者の侵入
- ハンズオンキーボード攻撃
- サイバー偽装などの高度な攻撃
Microsoft Threat Experts ハンティング サービスには、次のものが含まれます:
- 脅威の監視と分析。 ビジネスに対する滞留時間とリスクを軽減します。
- ハンター訓練を受けた人工知能。 既知の攻撃と不明な攻撃の両方を検出してランク付けします。
- リスクの識別。 最も重要なリスクを特定し、SOC が時間とエネルギーを最大化するのに役立ちます。
- セキュリティ侵害の範囲。 迅速な SOC 応答を有効にするために、侵害の範囲はできるだけ多くのコンテキストを迅速に提供します。
組織は、迅速かつ正確な対応のために、Microsoft Defender セキュリティ センター内から Microsoft のセキュリティ専門家に直接関与することができます。 Microsoft の専門家は、組織に影響を与える複雑な脅威をより深く理解するために次のものを含む必要な分析情報を提供します:
- アラートの照会
- セキュリティ侵害を受けた可能性があるデバイス
- 疑わしいネットワーク接続の根本原因
- 進行中の高度で継続的な脅威キャンペーンに関する追加の脅威インテリジェンス
これらの分析情報により、組織は次のことができます:
- 根本原因やインシデントの範囲を含むアラートについて、さらに詳しく説明します。
- 高度な攻撃者に直面した場合に、疑わしいデバイスの動作と次の手順を明確にします。
- 脅威アクター、キャンペーン、または新しい攻撃者の手法に関するリスクと保護を決定します。
理解度チェック
次の各質問に最適な回答を選択します。
自分の知識をチェックする
フィードバック
このページはお役に立ちましたか?
いいえ
このトピックについてサポートが必要ですか?
このトピックの意図を把握したり、理解を深めたりするために Ask Learn を使ってみませんか?