Microsoft Defender XDR で欺瞞機能を管理する
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
重要
この記事の一部の情報は、商用リリース前に大幅に変更される可能性があるリリース済みの製品/サービスに関連しています。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
Microsoft Defender XDR は、組み込みの欺瞞機能を通じて、人間が操作する横移動を高い信頼度で検出し、攻撃が組織の重要な資産に到達するのを防ぎます。 ビジネス メール侵害 (BEC)、ランサムウェア、組織の侵害、国家状態攻撃などのさまざまな攻撃では、多くの場合、横移動が使用され、初期段階で高い信頼を得て検出するのが難しい場合があります。 Defender XDR の欺瞞テクノロジは、Microsoft Defender for Endpoint シグナルと相関する詐欺シグナルに基づいて高い信頼度の検出を提供します。
欺瞞機能は、本物の見た目のおとりアカウント、ホスト、および誘惑を自動的に生成します。 生成された偽の資産は、特定のクライアントに自動的にデプロイされます。 攻撃者がデコイや誘惑と対話すると、詐欺機能によって高い信頼度のアラートが発生し、セキュリティ チームの調査に役立ち、攻撃者の方法と戦略を観察できるようになります。 欺瞞機能によって発生したすべてのアラートは、インシデントに自動的に関連付けられ、Microsoft Defender XDR に完全に統合されます。 さらに、欺瞞テクノロジは Defender for Endpoint に統合され、デプロイのニーズを最小限に抑えます。
欺瞞機能の概要については、次のビデオをご覧ください。
前提条件
次の表に、Microsoft Defender XDR で欺瞞機能を有効にする要件を示します。
要件 | 詳細 |
---|---|
サブスクリプションの要件 | 次のいずれかのサブスクリプション: - Microsoft 365 E5 - Microsoft Security E5 - Microsoft Defender for Endpoint Plan 2 |
デプロイの要件 | 要件: - Defender for Endpoint はプライマリ EDR ソリューションです - Defender for Endpoint の自動調査と応答機能が構成されています - デバイスは Microsoft Entra で参加またはハイブリッド参加されます - PowerShell はデバイスで有効になっています - 欺瞞機能は Windows 10 RS5 以降で動作するクライアントを対象としています。 |
アクセス許可 | 詐欺機能を構成するには、 Microsoft Entra 管理センター または Microsoft 365 管理センター で次のいずれかのロールが割り当てられている必要があります: - グローバル管理者 - セキュリティ管理者 - ポータル システム設定の管理 |
注:
セキュリティを強化するために、アクセス許可が少ないロールを使用することをお勧めします。 多くのアクセス許可を持つグローバル管理者ロールは、他のロールが適合しない場合にのみ、緊急時にのみ使用する必要があります。
欺瞞技術とは
欺瞞技術は、潜在的な攻撃のアラートをセキュリティ チームに即時に提供し、リアルタイムで対応できるようにするセキュリティ対策です。 詐欺技術は、ネットワークに属しているように見えるデバイス、ユーザー、ホストなどの偽の資産を作成します。
詐欺機能によって設定された偽のネットワーク資産と対話する攻撃者は、セキュリティ チームが潜在的な攻撃が組織を侵害するのを防ぎ、攻撃者のアクションを監視して、防御者が環境のセキュリティをさらに向上させることができます。
Microsoft Defender XDR の欺瞞機能のしくみ
Microsoft Defender ポータルの組み込みの欺瞞機能では、ルールを使用して、環境に合ったおとりと誘惑を行います。 この機能は、機械学習を適用して、ネットワークに合わせて調整されたデコイと誘惑を提案します。 また、欺瞞機能を使用して、おとりと誘惑を手動で作成することもできます。 これらのデコイと誘惑は、ネットワークに自動的にデプロイされ、PowerShell を使用して指定したデバイスに植え付けられます。
図 1. 欺瞞技術は、人間が操作する横移動の高い信頼度の検出を通じて、攻撃者が偽のホストや誘惑と対話したときにセキュリティ チームに警告します
デコイ は、ネットワークに属しているように見える偽のデバイスやアカウントです。 ルアー は、特定のデバイスやアカウントに植えられた偽のコンテンツであり、攻撃者を引き付けるために使用されます。 コンテンツには、ドキュメント、構成ファイル、キャッシュされた資格情報、または攻撃者が読み取り、盗み取り、または操作できる可能性のあるコンテンツを指定できます。 ルアーは、会社の重要な情報、設定、または資格情報を模倣します。
欺瞞機能では、次の 2 種類のルアーを使用できます。
- 基本的な魅力 - 顧客環境との対話がない、または最小限の操作を持たない、植え付けドキュメント、リンク ファイルなど。
- 高度な誘惑 - キャッシュされた資格情報や、顧客環境に応答したり、顧客環境と対話したりするインターセプトなどのコンテンツが植え付けられます。 たとえば、攻撃者は、Active Directory クエリへの応答を挿入したデコイ資格情報を操作する可能性があります。これはサインインに使用できます。
注:
誘惑は、詐欺ルールのスコープで定義された Windows クライアントにのみ植え付けられます。 ただし、Defender for Endpoint オンボード クライアントでデコイ ホストまたはアカウントを使用しようとすると、詐欺アラートが発生します。 Microsoft Defender for Endpoint へのオンボードでクライアントをオンボードする方法について説明します。 Windows Server 2016 以降での植え付けは、今後の開発に向けて計画されています。
デコイ、誘惑、スコープは、詐欺ルールで指定できます。 詐欺ルールを作成および変更する方法の詳細については、「 欺瞞機能の構成 」を参照してください。
攻撃者が Defender for Endpoint オンボード クライアントでデコイまたは誘惑を使用する場合、詐欺機能は、詐欺がクライアントに展開されたかどうかに関係なく、攻撃者のアクティビティの可能性を示すアラートをトリガーします。
欺瞞によってアクティブ化されたインシデントとアラートを特定する
欺瞞検出に基づくアラートには、タイトルに 欺瞞 が含まれます。 アラート タイトルの例を次に示します。
- 欺瞞的なユーザー アカウントでのサインイン試行
- 欺瞞的なホストへの接続試行
アラートの詳細には、次のものが含まれます。
- Deception タグ
- アラートが発生したデコイ デバイスまたはユーザー アカウント
- サインイン試行や横移動試行などの攻撃の種類
図 2. 欺瞞関連のアラートの詳細
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。