セキュリティ管理を実践

  • 30 分

脅威と脆弱性の管理

脅威と脆弱性の管理ダッシュボード。

エンドポイントの弱点の効率的な特定、評価、および修正は、正常なセキュリティ プログラムの実行と組織のリスクの削減に不可欠なことです。 脅威と脆弱性の管理は、組織の暴露を削減し、エンドポイントの役割を強化し、組織の回復性を向上させるためのインフラストラクチャとして機能します。

このインフラストラクチャは、エージェントや周期的なスキャンを必要とせず、センサーに基づいて、組織における脆弱性や構成ミスを検出することに役立ちます。 多くの要因に基づいて問題に優先順位を付けます。 これらの要因には、脅威の状況、組織内の検出、脆弱なデバイスにある機密情報、およびビジネス コンテキストが含まれます。

脅威と脆弱性の管理は、Microsoft エンドポイント セキュリティ スタック、Microsoft Intelligent Security Graph、およびアプリケーション分析サポート情報と完全に統合された、クラウドを利用したリアルタイムの組み込み管理です。 Microsoft Intune と Microsoft エンドポイント マネージャーとの統合により、セキュリティ タスクやチケットを作成できます。

セキュリティ運用、セキュリティ管理、さらには IT 管理の垣根を越えたギャップに対して、以下のようなソリューションを提供します。

  • エンドポイントの脆弱性に関連したリアルタイムのエンドポイント検出と応答(EDR)の分析
  • 暴露が検出されたコンテキストにおける、リンクされたコンピューターの脆弱性とセキュリティ構成評価データ
  • Microsoft Intune および Microsoft エンドポイント マネージャー による組み込みの修復プロセス

たとえば、ポータルに存在するセキュリティ推奨事項を使用している場合、管理者はアプリケーションの更新を要求し、その要求を修復するよう Intune チームに通知することができます。

セキュリティ上の推奨事項。

攻撃面の縮小

攻撃面を縮小する機能のセットは、構成設定が適切に設定され、エクスプロイト軽減手法が適用されていることを確認することで、防御の第一線をスタック内で提供するものです。

  • ハードウェアベースの分離 を使用すると、起動時および実行時のシステムの整合性を保護して維持し、ローカルとリモートの構成証明を通してシステムの整合性を検証します。 Microsoft Edge のコンテナー分離は、悪意のある web サイトからホストのオペレーティング システムを保護するのに役立ちます。
  • アプリケーション制御は、すべてのアプリケーションが既定で信頼できると仮定した従来のアプリケーション信頼モデルから、アプリケーションを実行するために信頼を獲得しなければならないモデルへと移行します。
  • エクスプロイト保護 は、組織が使用するアプリに対して、個人および組織全体の両方に軽減手法を適用します。
  • ネットワーク保護 は、Microsoft Edge の Microsoft Defender SmartScreen によって提供されているマルウェアおよびソーシャル エンジニアリング保護機能を拡張し、組織のデバイスのネットワーク トラフィックおよび接続性をカバーします。
  • 制御されたフォルダー アクセス を使用すると、重要なシステム フォルダー内のファイルが、ファイル暗号化ランサムウェアのマルウェアなど、悪意のある不審なアプリによって変更されないように保護できます。
  • 攻撃面の減少は、Office、スクリプトやメールベースのマルウェアが使用するベクトルを阻止するインテリジェント ルールを使用して、アプリケーションの攻撃面を縮小します。
  • ネットワーク ファイアウォール は、ホストベースの双方向ネットワーク トラフィック フィルタリングを使用して、ローカル デバイスに流入したり流出したりする不正なネットワーク トラフィックをブロックします。

次のスクリーンショットは、Office アプリケーションを保護する攻撃面の縮小ルールに対する検出のグラフを示しています。

攻撃面の減少ルール。

次世代の保護

Windows Defender ウイルス対策は、デスクトップ、ポータブル コンピューター、サーバーを対象に次世代の保護機能を提供する、組み込みのマルウェア対策ソリューションです。 Microsoft Defender ウイルス対策には、次のものが含まれます。

  • 新たに出現する脅威をほぼ瞬時に検出し、ブロックするためのクラウドによる保護。 機械学習やインテリジェント セキュリティ グラフに加えて、クラウドによる保護は Microsoft Defender ウイルス対策を強化する次世代テクノロジの一部です。
  • 常時スキャン、高度なファイルおよびプロセスの動作監視と、その他のヒューリスティック (「リアルタイム保護」とも呼ばれる) を使用します。
  • 機械学習、手動および自動のビッグデータ分析、徹底した脅威耐性調査に基づいた専用の保護の更新。

次のプロキシおよびネットワーク設定を考慮する必要があります。

  • Microsoft Defender ATP センサーでは、センサー データをレポートし、Microsoft Defender for Endpoint service サービスと通信するために、Microsoft Windows HTTP (WinHTTP) が必要になります。
  • 埋め込まれた Microsoft Defender for Endpoint service センサーは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。 センサーは Microsoft Windows HTTP サービス (WinHTTP) を使用して、Microsoft Defender for Endpoint クラウド サービスとの通信を有効にします。
  • WinHTTP の構成設定は、Windows Internet (WinINet) のインターネット閲覧用プロキシの設定とは独立しており、以下の自動検出手法でのみプロキシ サーバーを検出することができます。
    • 透過プロキシ
    • Web プロキシ自動発見プロトコル (WPAD)

エンドポイントの検出および応答

Microsoft Defender for Endpointエンドポイントの検出と対応機能により、ほぼリアルタイムで実用的な高度な攻撃検出が提供されます。 セキュリティ アナリストは、効率的にアラートの優先順位を設定し、違反の全容を可視化して、脅威に対処する対応策を講じることができます。

脅威が検出されると、システムでアラートが生成され、アナリストが調査します。 同じ攻撃技法のアラートや同じ攻撃者によるアラートは、incident と呼ばれるエンティティに集約されます。 この方法でアラートを集約すると、アナリストは脅威への総合的な調査や対応が簡単にできるようになります。

「侵害を前提とする」という考え方に触発された Microsoft Defender for Endpoint は、継続的にサイバー テレメトリを収集します。 これには、プロセス情報、ネットワーク アクティビティ、カーネルとメモリ マネージャーへのディープ オプティクス、ユーザー サインイン アクティビティ、レジストリとファイル システムの変更などが含まれます。 この情報は 6 か月間保存されるため、アナリストは攻撃の開始時点まで時間を遡ることができます。 そのアナリストは各種ビューを使ってピボットし、複数のベクトルから調査に取り組むことができます。

セキュリティ操作ダッシュボード (スクリーンショットに表示) は、エンドポイントの検出と応答の機能が表示される場所です。 検出された場所の概要を高レベルに提供し、対応策が必要な場所を強調します。

セキュリティ操作ダッシュボードのスクリーンショット。

調査と修復の自動化

Microsoft Defender for Endpoint には、複数のコンピューターにわたる幅広い可視性が提供されています。 この種の光学系では、サービスは多数のアラートを生成します。 生成されるアラートの量は、通常のセキュリティ運用チームが個別に対応することが困難な場合もあります。 この困難に対処するために、Microsoft Defender for Endpoint は自動調査と修復機能を使用して、個別調査が必要になるアラートの量を大幅に削減します。

自動化された調査。

自動調査機能では、さまざまな検査アルゴリズムを使用します。アナリストが使用するプロセス (プレイブックなど) では、アラートを検査し、違反を解決するため即座に修復処理を実行します。 これにより、アラート量が大幅に削減され、セキュリティ運用の専門家は、より高度な脅威やその他の価値の高い業務に集中できるようになります。 次の調査のスクリーンショットでは、マルウェアが検出されただけでなく、自動修復されたことがわかります。

マルウェアの検出と修復。

脅威と脆弱性の管理で組織のリスクを軽減する方法を探る

対話型のガイドのビデオ バージョンを表示します (キャプションは他の言語でも利用可能です)。

脅威と脆弱性の管理で組織のリスクを軽減する。

ビデオ プレーヤーで必ず全画面表示オプションを選択してください。 完了したら、ブラウザーの [戻る] 矢印を使用して、このページに戻ります。