動作ブロックを使用する
国外に存在するファイルレス マルウェアに圧倒されているというのが、今日の脅威の状況です。 従来のソリューションでは追いつけない速度で変異する高度にポリモーフィックな脅威を持つマルウェアや、侵害されたデバイスで敵対者が見つけたものに適応するヒューマンオペレーティッド攻撃。 このような攻撃を阻止するには、従来のセキュリティ ソリューションでは十分ではありません。 Defender for Endpoint には、人工知能 (AI) と機械学習 (ML) に基づく機能 (行動のブロックや封じ込めなど) が必要です。
行動のブロックと封じ込め機能は、脅威が既に開始されている場合でも、その動作とプロセス ツリーに基づいて脅威を特定して停止するのに役立ちます。 次世代型の保護機能である EDR と Defender for Endpoint のコンポーネントおよび機能は、動作のブロックと封じ込め機能において連携して動作します。
動作のブロックと封じ込め機能は、Defender for Endpoint の複数のコンポーネントおよび機能と連係して、攻撃を即座に停止し、攻撃の進行を防ぐことができます。
次世代の保護 (Microsoft Defender ウイルス対策を含む) は、動作を分析して脅威を検出し、実行を開始した脅威を停止できます。
エンドポイントの検出と応答 (EDR) は、ネットワーク、デバイス、オペレーティング システム (OS) カーネルの動作全体からセキュリティ信号を受信します。 脅威が検出されると、アラートが作成されます。 同じ種類の複数のアラートはインシデントに集計されるため、セキュリティ運用チームは調査と対応を容易に行うことができます。
Defender for Endpoint には、ID、電子メール、データ、アプリに対して幅広い光学機能があります。 EDR を介して受信したネットワーク、エンドポイント、カーネルの動作シグナル。 Microsoft Defender XDR のコンポーネントである Defender for Endpoint は、これらのシグナルを処理して関連付け、検出アラートを発生させ、インシデント内の関連アラートを接続します。
これらの機能を使用すると、実行が開始された場合でも、より多くの脅威を防止またはブロックすることができます。 疑わしい動作が検出されるたびに、脅威が封じ込めされ、アラートが作成され、脅威は途中で停止されます。
次の図は、動作のブロックと封じ込め機能によってトリガーされたアラートの例を示しています。
クライアント動作ブロック
クライアントの動作ブロックは、Defender for Endpoint の動作ブロックと封じ込め機能のコンポーネントです。 クライアントやエンドポイントと呼ばれるデバイスで疑わしい動作が検出されると、ファイルやアプリケーションなどのアーティファクトが自動的にブロック、チェック、修復されます。
クライアント動作ブロックのしくみ
Microsoft Defender ウイルス対策は、疑わしい動作、悪意のあるコード、ファイルレス攻撃やメモリ内攻撃などをデバイスで検出できます。 疑わしい動作が検出されると、Microsoft Defender ウイルス対策では、これらの疑わしい動作とプロセス ツリーをクラウド保護サービスに監視し、送信します。 機械学習は、悪意のあるアプリケーションと適切な動作をミリ秒以内に区別し、各成果物を分類します。 アーティファクトが悪意のあるものとして検出されるとすぐに、デバイスでブロックされます。
疑わしい動作が検出されるたびに、アラートが生成され、Microsoft Defender ポータルに表示されます
クライアントの動作ブロックは、攻撃の開始を防ぐだけでなく、実行を開始した攻撃を停止するのに役立つ可能性があるため、効果的です。 フィードバック ループ ブロック (動作ブロックと封じ込め機能のもう 1 つの機能) を使用すると、組織内の他のデバイスで攻撃が防止されます。
動作に基づく検出
動作ベースの検出は、MITRE ATT&CK Matrix for Enterprise に従って名前が付けられます。 名前付け規則は、悪意のある動作が観察された攻撃段階を特定するのに役立ちます。
| 戦略 | 検出の脅威名 |
|---|---|
| 初期アクセス | Behavior:Win32/InitialAccess.*!ml |
| 実行 | Behavior:Win32/Execution.*!ml |
| 固執 | Behavior:Win32/Persistence.*!ml |
| 特権エスカレーション | Behavior:Win32/PrivilegeEscalation.*!ml |
| 防御回避 | Behavior:Win32/DefenseEvasion.*!ml |
| 資格情報アクセス | Behavior:Win32/CredentialAccess.*!ml |
| 発見 | Behavior:Win32/Discovery.*!ml |
| 横移動 | Behavior:Win32/LateralMovement.*!ml |
| 徴収 | Behavior:Win32/Collection.*!ml |
| コマンドとコントロール | Behavior:Win32/CommandAndControl.*!ml |
| 流出 | Behavior:Win32/Exfiltration.*!ml |
| インパクト | 動作:Win32/Impact.*!ml |
| 未分類 | Win32/Generic.*!ml |
フィードバックループ ブロック
フィードバック ループ ブロック (高速保護とも呼ばれます) は、Microsoft Defender for Endpoint の動作ブロックと封じ込め機能のコンポーネントです。 フィードバック ループブロックを使用すると、組織全体のデバイスが攻撃からより適切に保護されます。
フィードバック ループ ブロックのしくみ
Microsoft Defender ウイルス対策など、疑わしい動作またはファイルが検出されると、その成果物に関する情報が複数の分類子に送信されます。 高速保護ループ エンジンは、ファイルをブロックするかどうかの決定に到達するために、情報を検査し、他の信号と関連付けます。 アーティファクトのチェックと分類はすぐに行われます。 その結果、確認されたマルウェアが迅速にブロックされ、エコシステム全体の保護が促進されます。
迅速な保護により、攻撃がその足掛かりを広げようとする際に、デバイス、組織内の他のデバイス、及び他の組織のデバイスで攻撃を停止することができます。
ブロック モードのエンドポイントの検出と応答
ブロック モードでエンドポイントの検出と応答 (EDR) が有効になっている場合、Defender for Endpoint は、侵害後の保護によって観察される悪意のある成果物または動作をブロックします。 ブロック モードの EDR は、侵害後に検出された悪意のあるアーティファクトを修復するためにバックグラウンドで動作します。
ブロックモードのEDRもMicrosoft Defender 脆弱性の管理と統合されています。 組織のセキュリティ チームは、EDR がまだ有効になっていない場合は、ブロック モードで EDR を有効にするようにセキュリティに関する推奨事項を受け取ります。
検出時の動作
ブロック モードの EDR が有効になっていて、悪意のある成果物が検出されると、ブロックと修復のアクションが実行されます。 アクション センターでは、完了したアクションとして検出状態が [ブロック済み] または [防止済み] と表示されます。
次の図は、ブロック モードで EDR によって検出およびブロックされた不要なソフトウェアのインスタンスを示しています。
