Microsoft Defender for Endpointのインジケーターの概要
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
ヒント
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
侵害のインジケーター (IoC) の概要
侵害のインジケーター (IoC) は、ネットワークまたはホストで観察されるフォレンジックアーティファクトです。 IoC は、コンピューターまたはネットワークへの侵入が高い信頼性で発生したことを示します。 IoC は監視可能であり、測定可能なイベントに直接リンクします。 IoC の例には、次のようなものがあります。
- 既知のマルウェアのハッシュ
- 悪意のあるネットワーク トラフィックの署名
- 既知のマルウェア ディストリビューターである URL またはドメイン
他の侵害を阻止したり、既知の IoC の侵害を防いだりするには、成功した IoC ツールで、ツールのルール セットによって列挙されたすべての悪意のあるデータを検出できる必要があります。 IoC 照合は、すべてのエンドポイント保護ソリューションで不可欠な機能です。 この機能により、SecOps は検出およびブロック (防止と応答) のインジケーターの一覧を設定できます。
組織は、IoC エンティティの検出、防止、除外を定義するインジケーターを作成できます。 実行するアクションと、アクションを適用する期間、および適用するデバイス グループのスコープを定義できます。
このビデオでは、インジケーターの作成と追加のチュートリアルを示します。
Microsoft インジケーターについて
一般的なルールとして、既知の不適切な IoC、またはorganizationで明示的に許可する必要があるファイル/Web サイトのインジケーターのみを作成する必要があります。 Defender for Endpoint が既定でブロックできるサイトの種類の詳細については、「smartScreen の概要Microsoft Defender参照してください。
False Positive (FP) は SmartScreen の誤検知を指します。これは、マルウェアやフィッシングと見なされますが、実際には脅威ではないので、許可ポリシーを作成する必要があります。
また、誤検知を送信し、分析のために疑わしい IoC または既知の悪い IoC を送信することで、Microsoft のセキュリティ インテリジェンスの改善を促進することもできます。 ファイルまたはアプリケーションに対して警告またはブロックが正しく表示されない場合、または検出されないファイルがマルウェアであると思われる場合は、レビューのためにファイルを Microsoft に送信できます。 詳細については、「分析のためにファイルを送信する」を参照してください。
IP/URL インジケーター
IP/URL インジケーターを使用すると、SmartScreen 誤検知 (FP) からユーザーのブロックを解除したり、Web コンテンツ フィルタリング (WFC) ブロックをオーバーライドしたりできます。
URL と IP インジケーターを使用して、サイト アクセスを管理できます。 中間 IP と URL インジケーターを作成して、SmartScreen ブロックからユーザーの一時的なブロックを解除できます。 また、Web コンテンツ フィルター ブロックを選択的にバイパスするために長期間保持するインジケーターがある場合もあります。
正しい特定のサイトの Web コンテンツ フィルター分類がある場合を考えてみましょう。 この例では、すべてのソーシャル メディアをブロックするように Web コンテンツ フィルタリングを設定しています。これは、組織全体の目標に適しています。 ただし、マーケティング チームは、広告やアナウンスに特定のソーシャル メディア サイトを使用する必要があります。 その場合は、使用する特定のグループ (またはグループ) の IP または URL インジケーターを使用して、特定のソーシャル メディア サイトのブロックを解除できます。
Web 保護と Web コンテンツのフィルター処理に関するページを参照してください
IP/URL インジケーター: ネットワーク保護と TCP の 3 方向ハンドシェイク
ネットワーク保護では、 TCP/IP 経由の 3 方向ハンドシェイクが完了した後に、サイトへのアクセスを許可するかブロックするかを決定します。 そのため、サイトがネットワーク保護によってブロックされている場合、サイトがブロックされていても、Microsoft Defender ポータルのNetworkConnectionEvents
の下にアクションの種類のConnectionSuccess
が表示されることがあります。
NetworkConnectionEvents
は TCP 層から報告され、ネットワーク保護からは報告されません。 3 方向ハンドシェイクが完了すると、ネットワーク保護によってサイトへのアクセスが許可またはブロックされます。
その動作の例を次に示します。
ユーザーがデバイス上の Web サイトにアクセスしようとするとします。 サイトは危険なドメインでホストされ、ネットワーク保護によってブロックする必要があります。
TCP/IP 経由の 3 方向ハンドシェイクが開始されます。 完了する前に、
NetworkConnectionEvents
アクションがログに記録され、そのActionType
がConnectionSuccess
として一覧表示されます。 ただし、3 方向ハンドシェイク プロセスが完了するとすぐに、ネットワーク保護によってサイトへのアクセスがブロックされます。 このすべてがすぐに発生します。 同様のプロセスは、SmartScreen Microsoft Defenderで発生します。これは、3 方向ハンドシェイクが完了して決定が完了し、サイトへのアクセスがブロックまたは許可されたときです。Microsoft Defender ポータルでは、アラートがアラート キューに一覧表示されます。 そのアラートの詳細には、
NetworkConnectionEvents
とAlertEvents
の両方が含まれます。 ActionType がConnectionSuccess
のNetworkConnectionEvents
項目がある場合でも、サイトがブロックされていることがわかります。
ファイル ハッシュ インジケーター
場合によっては、新しく識別されたファイル IoC の新しいインジケーター (即時のストップ ギャップメジャーとして) を作成することが、ファイルやアプリケーションをブロックするのに適している場合があります。 ただし、インジケーターを使用してアプリケーションをブロックしようとすると、通常、アプリケーションはさまざまなファイルで構成されるため、予期される結果が得られない可能性があります。 アプリケーションをブロックする推奨される方法は、 Windows Defender アプリケーション制御 (WDAC) または AppLocker を使用することです。
アプリケーションの各バージョンには異なるファイル ハッシュがあるため、インジケーターを使用してハッシュをブロックすることはお勧めしません。
Windows Defender アプリケーション制御 (WDAC)
証明書インジケーター
場合によっては、organizationが許可またはブロックするように設定されているファイルまたはアプリケーションの署名に使用される特定の証明書。 証明書インジケーターは、 を使用する場合、Defender for Endpoint でサポートされます。CER または 。PEM ファイル形式。 詳細については、「 証明書に基づいてインジケーターを作成 する」を参照してください。
IoC 検出エンジン
現在、IoC でサポートされている Microsoft ソースは次のとおりです。
- Defender for Endpoint のクラウド検出エンジン
- Microsoft Defender for Endpointでの自動調査と修復 (AIR) エンジン
- エンドポイント防止エンジン (Microsoft Defender ウイルス対策)
クラウド検出エンジン
Defender for Endpoint のクラウド検出エンジンは、収集されたデータを定期的にスキャンし、設定したインジケーターと一致するものを探します。 一致する場合は、IoC に対して指定した設定に従ってアクションが実行されます。
エンドポイント防止エンジン
インジケーターの同じリストは、防止エージェントによって適用されます。 つまり、Microsoft Defenderウイルス対策が構成されている主要なウイルス対策である場合、一致するインジケーターは設定に従って処理されます。 たとえば、アクションが "アラートとブロック" の場合、Microsoft Defenderウイルス対策によってファイルの実行 (ブロックと修復) が防止され、対応するアラートが表示されます。 一方、アクションが "許可" に設定されている場合、Microsoft Defenderウイルス対策はファイルを検出またはブロックしません。
自動調査と修復エンジン
自動調査と修復は、エンドポイント防止エンジンと同様に動作します。 インジケーターが "許可" に設定されている場合、自動調査と修復によって "不適切な" 判定が無視されます。 [ブロック] に設定されている場合、自動調査と修復によって "無効" として扱われます。
EnableFileHashComputation
設定では、ファイル スキャン中に証明書とファイル IoC のファイル ハッシュが計算されます。 このポリシーは、信頼できるアプリケーションに属するハッシュと cert の IoC 適用をサポートしています。 許可またはブロック ファイル設定で同時に有効になります。
EnableFileHashComputation
は、グループ ポリシーを介して手動で有効になっており、既定では無効になっています。
インジケーターの適用の種類
セキュリティ チームが新しいインジケーター (IoC) を作成すると、次のアクションを使用できます。
- 許可: IoC はデバイスで実行できます。
- 監査: IoC の実行時にアラートがトリガーされます。
- 警告: IoC は、ユーザーがバイパスできることを示す警告を表示します
- ブロック実行: IoC の実行は許可されません。
- ブロックと修復: IoC の実行は許可されません。修復アクションが IoC に適用されます。
注:
警告モードを使用すると、危険なアプリや Web サイトを開いた場合に警告が表示されます。 このプロンプトは、アプリケーションまたは Web サイトの実行を許可することをブロックしませんが、アプリの適切な使用方法を説明するカスタム メッセージと会社ページへのリンクを指定できます。 ユーザーは引き続き警告をバイパスし、必要に応じてアプリを引き続き使用できます。 詳細については、「Microsoft Defender for Endpointによって検出されたアプリを管理する」を参照してください。
次のインジケーターを作成できます。
次の表は、インジケーター (IoC) の種類ごとに使用できるアクションを正確に示しています。
IoC 型 | 使用可能なアクション |
---|---|
ファイル | 許可 監査 警告する 実行をブロックする ブロックと修復 |
IP アドレス | 許可 監査 警告する 実行をブロックする |
URL とドメイン | 許可 監査 警告する 実行をブロックする |
証明書 | 許可 ブロックと修復 |
既存の IoC の機能は変更されません。 ただし、インジケーターの名前は、現在サポートされている応答アクションと一致するように変更されました。
- 生成されたアラート設定が有効になっている状態で、"アラートのみ" 応答アクションの名前が "監査" に変更されました。
- "アラートとブロック" 応答の名前が "ブロックと修復" に変更され、オプションのアラートの生成設定が追加されました。
IoC API スキーマと事前ハンティングの脅威 ID は、IoC 応答アクションの名前変更に合わせて更新されます。 API スキームの変更は、すべての IoC 型に適用されます。
注:
1 テナントあたり 15,000 件のインジケーターの制限があります。 この制限の引き上げはサポートされていません。
ファイルおよび証明書インジケーターは、Microsoft Defender ウイルス対策ソフトウェア用に定義された例外をブロックしません。 Microsoft Defender ウイルス対策はパッシブ モードの場合にインジケーターをサポートしません。
新しいインジケーター (IoC) をインポートするための形式は、新しく更新されたアクションとアラートの設定に従って変更されました。 インポート パネルの下部にある新しい CSV 形式をダウンロードすることをお勧めします。
既知の問題と制限事項
お客様は、侵害のインジケーターに関するアラートに関する問題が発生する可能性があります。 次のシナリオは、アラートが作成されないか、不正確な情報で作成される状況です。 各問題は、エンジニアリング チームによって調査されます。
- ブロック インジケーター: 情報重大度のみの汎用アラートが発生します。 このような場合、カスタム アラート (つまり、カスタム タイトルと重大度) は発生しません。
- 警告インジケーター: このシナリオでは、一般的なアラートとカスタム アラートを使用できますが、アラート検出ロジックに問題があるため、結果は決定的ではありません。 場合によっては、一般的なアラートが表示される場合もあれば、カスタム アラートが表示される場合もあります。
- 許可: (設計上) アラートは生成されません。
- 監査: アラートは、顧客が提供する重大度に基づいて生成されます。
- 場合によっては、EDR 検出からのアラートが、ウイルス対策ブロックに由来するアラートよりも優先される場合があります。この場合、情報アラートが生成されます。
Microsoft Store アプリは、Microsoft によって署名されているため、Defender によってブロックできません。
関連記事
- Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
- コンテキスト IoC の作成
- エンドポイント インジケーター API に Microsoft Defender を使用する
- パートナー統合ソリューションの使用
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。