2018年5月10日 5:11 AM

Windows Defender ATP の新機能でエンドポイントのセキュリティの有効性と堅牢性をさらに強化

※本ブログは、米国時間 4/17 に公開された” New capabilities of Windows Defender ATP further maximizing the effectiveness and robustness of endpoint security” の抄訳です。

マイクロソフトのミッションは、地球上のすべての個人とすべての組織がより多くのことを達成できるように支援することです。これを達成するには、信頼できる安全なコンピューティング環境を実現することが欠かせません。その支えとなる Windows Defender Advanced Threat Protection (ATP) をリリースしたのは 2 年以上前のことですが、そのときから私たちは、クラウドのパワー、Windows 標準のセキュリティ機能、人工知能 (AI) を活用して一歩先を行くサイバー攻撃対策をユーザーが講じられるようにすることを目標としてきました。

Windows 10 April 2018 Updateでは Windows Defender ATP をさらに拡張し、企業がより迅速かつ効率的にセキュリティ インシデントに対処できるよう、セキュリティ体制を改善するための機能を充実させます。この記事では、これらの新機能について詳しくご説明します。

自動で脅威を調査、修復

Windows Defender ATP の新機能により、大規模な環境でも、アラートの発生から修復までをわずか数分で行えるようになります! 調査と修復が自動化され、セキュリティ アナリストが対応しなければならないアラートが大幅に削減されます。この新機能では人工知能がアラートを調査し、アナリストによるベストな判断やフォレンジック プロセスに倣った高度な手法に基づいて数分以内に対応を開始し、脅威の活動状況や攻撃元を判断して適切な手順で自動修復を実施します。Windows Defender ATP でインシデントの影響が複数のマシンに及んでいると判断された場合、セキュリティ侵害を受けた範囲全体にまで自動的に調査が拡大され、必要な措置が並列的に実行されます。脅威の調査と修復に関する意思決定は、マイクロソフトのクラウドに収集、保存、分析された膨大なデータに基づいて自動的に行われます。

この自動化機能が新たに加わることで、Windows Defender ATP ではセキュリティ侵害を予防、検出できるだけでなく、その修復も行えるようになります。一連の動作は、単純でわかりやすいインシデントの場合に自動実行するよう設定したり、実行前に確認が必要なように設定することができます。いずれの設定でもセキュリティ運用担当者の時間と手間を省けるため、その分より複雑で重大な問題に時間を割けるようになります。さらに、セキュリティ チーム全体の対応も迅速になり、よりスムーズに業務をこなせるようになります。

Microsoft 365 の条件付きアクセスにデバイスのリスクを反映

脅威が検出された場合、論理的な手順として、脅威がまだ活動している間はそのデバイスから企業の機密データにアクセスできないようブロックする必要があります。今後は、これが自動で実行できるようになります! Microsoft Intune チームと Azure Active Directory (AAD) チームの協力により、Microsoft 365 の条件付きアクセスの一般的なセキュリティ シナリオの 1 つが強化されました。

April 2018 Update から、条件として動的マシン リスク レベルが利用できるようになります。これを企業のアクセス ポリシーの定義に使用すれば、企業データのリスクを低減 (英語) できます。

たとえば、非常に高度なファイルレス攻撃などによってお客様のエンドポイントに脅威が侵入した場合、Windows Defender ATP がこれを検出し、条件付きアクセスを適用して重要な企業データを自動的に保護すると同時に自動で調査を開始し、脅威による影響を修復してくれます。修復が完了した後は、ユーザー設定 (自動または要確認) に応じてリスク レベルを「リスクなし」に戻し、アクセス許可を再び付与します。

新しい Windows Defender ATP では、デバイス自体のリスク レベルに基づいてアクセスを制御し、常にデバイスの信頼性を確保できます。

Advanced Hunting 機能

より複雑な問題に対しては、セキュリティ アナリストがすぐに追跡、調査できるよう、十分な情報と適切なツールを用意する必要があります。これに対応するために、アナリストが調査能力を存分に発揮できるよう設計されたクエリ ベースの強力な検索機能、Advanced Hunting を新たに開発しました。

この機能を活用すると、企業データ全体に対してプロアクティブに問題を探索、調査することができます。プロセスの新規作成、ファイルの変更、マシンへのログイン、ネットワーク通信、レジストリの更新、修復操作など、多様なイベントがデータとして保存されるため、容易にクエリで検索して相関性や関連性を分析できます。Advanced Hunting はマイクロソフトの調査エクスペリエンスを構成する重要な要素であり、問題のあるマシンやファイルを突き止め、Windows Security Center で提供されている既存のさまざまな機能 (世界中の情報や VT データとの関連付け、ブロックや封じ込め措置のトリガーなど) を適用できます。

すぐに使用していただけるように、ツールにはサンプル クエリを追加しています。また、GitHub のプロジェクト (英語) ではさらに多くのサンプル クエリを公開しています。

以下のコードはサンプルの 1 つです。Windows のアクセシビリティ プロセスにデバッガー プロセスがアタッチされることによって永続化や権限のエスカレーションが実行されていないかどうかを調べています。

 RegistryEvents
| where RegistryKey startswith @"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" 

    and RegistryValueName contains "debugger" 

    and isnotempty(RegistryValueData) 

// Parse the debugged process name from the registry key 

| parse RegistryKey with @"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" DebuggedFile 

| where DebuggedFile in~ ("utilman.exe","osk.exe","magnify.exe","narrator.exe","displayswitch.exe","atbroker.exe","sethc.exe", "helppane.exe")  

| project Technique="AttachedDebugger", DebuggedFile, DebuggerCommandline=RegistryValueData, InitiatingProcessCommandLine, EventTime, ComputerName 

インテリジェント セキュリティ グラフで脅威を共有

マイクロソフトのサービスは、相互に情報をやり取りしています。脅威を検出したという情報は、Microsoft インテリジェント セキュリティ グラフ (ISG) を通じて共有し、自動的に Microsoft 365 の保護および検出メカニズムを更新し、修復を調整します。たとえば、Windows Defender ATP のいずれかのコンポーネントが脅威を検出した場合、Office 365 ATP が保護しているメールでその脅威を発見したら直ちにブロックします。逆のパターンでも同様に対処されます。

脅威を調査するときには、その全体像を把握するうえで別の ATP サービスの情報が重要になることもあります。そのためマイクロソフトでは、Windows と Office、さらに Azure Advanced Threat Protection (ATP) も加えて、相互の連携を拡張しています。Advanced Threat Protection のサポート範囲は、ID (Azure ATP)、アプリとデータ (Office 365 ATP)、デバイス (Windows Defender ATP) にまで拡大しています。これにより、関連情報をすぐに確認したり、コンテキストを失うことなくコンソール間をシームレスに移動したりできるようになります。
ランサムウェア、脆弱性の悪用、高度な攻撃に対する防御をさらに強化しました。

攻撃者は「ファイルレス」攻撃などの新たな手口で侵入し、ランサムウェアなどのマルウェアを仕掛けてきます。この種の脅威に対応するために、従来の保護機能や挙動監視機能を大幅に強化しました。このようなシナリオにおける対策は、既に第三者機関のテストで最高スコアを獲得し続けています。クラウドの保護機能も更新され、Web からのダウンロードであろうと USB スティックからのコピーであろうと、さまざまなコンテンツ (java スクリプト、マクロ、ドキュメントなど) を調査、ブロックできるようになっています。
また、不正操作の横断的拡大を防ぐ新機能や、ブート セクターの改ざんによってデバイスを起動できないようにする攻撃的ランサムウェア (NotPetya など) への新たな対策も導入しています。

感染の急速な拡大に対しては、パフォーマンスの向上や反応時間の短縮で対抗します。新しい脅威の流行が検出されると、インテリジェント セキュリティ グラフを通じて、即座に最新の動的インテリジェンスでデバイスが更新されます。新たな脅威への対策としては、Intel Threat Detection Technology (TDT、英語) を活用した新しい高速メモリ スキャン機能を統合します。この機能は Intel の統合グラフィック プロセッサを使用してメモリのライブ スキャンを実行するもので、パフォーマンス、ユーザー エクスペリエンス、バッテリー駆動時間が改善されます。

Microsoft セキュリティ スコア

だれもが知っているとおり、安全を保つ最善の方法は、問題が発生する前に対処することです。Windows セキュリティ スコアはこれを実現するために、デバイスのセキュリティ体制に関するレポートを生成し、すぐに実行できる対策を提示して、次の攻撃から企業全体を確実に保護します。ただし、デバイスのセキュリティ状態を把握するだけでは十分ではありません。このため、Windows と Office のセキュリティ スコアを Microsoft セキュリティ スコアとして一元的に把握できるようにしました。

最新の脅威が心配だという方のために、企業がどの程度脅威にさらされているかがわかるダッシュボードを新たに提供します。現在のところ、Meltdown と Spectre の脆弱性に対応しており、どのマシンがリスクにさらされているかを容易に把握できます。このダッシュボードには、脅威に対するネットワークの状態、オペレーティング システムの更新状況、マイクロコード レベルの情報などが表示されます。

Windows Defender ATP の最新情報

Windows Defender ATP の最新のイノベーションは、インテリジェンス、クラウド、分析を重視し、さらに高度なレベルでお客様を脅威から保護します。Windows Defender ATP がサポートするプラットフォームは Windows 10 以外にも拡大し、最近では Windows Server 2019 にも組み込まれました。Windows 7 および 8.1 では現在プライベート プレビューとして提供されていますが、近いうちに一般提供が開始されます。さらに macOS、Linux、iOS、Android の各デバイスにも、Microsoft インテリジェント セキュリティ アソシエーション (英語) を通じて提供が開始されます。

この記事でご紹介した新機能は、すべて本日よりパブリック プレビューとして提供されます。Windows Defender ATP の 90 日間無料試用版にサインアップ (英語) するか、既存のテナントでプレビュー機能を有効化して、今すぐお試しください。