ファイルを調査する

  • 14 分

特定の警告、動作、またはイベントに関連付けられたファイルの詳細を調査すると、そのファイルが悪意のあるアクティビティを示しているかどうかを判断し、攻撃の動機を特定し、潜在的な侵害の範囲を把握できます。

Microsoft Defender for Endpoint のファイル ページ情報のスクリーンショット。

特定のファイルの詳細なプロファイルのページにアクセスするには、さまざまな方法があります。 たとえば、検索機能を使用するか、アラート プロセス ツリー、インシデント グラフ、アーティファクトのタイムラインからリンクを選択するか、デバイスのタイムラインに表示されるリストからイベントを選択することができます。 ファイル ビューでは、次のセクションから情報を取得できます。

ファイルの詳細、マルウェアの検出、ファイルの出現率

  • ファイルの詳細、マルウェアの検出、ファイルの出現率

  • アラート

  • Observed in organization (組織内での観察状況)

  • 詳細分析

  • ファイル名

[プロファイル] ページの上部にあるファイル情報カードの上には、 次のような操作が表示され、ここから実行できます。

  • 停止および検疫

  • インジケーターの追加/編集

  • ファイルのダウンロード

  • 脅威の専門家との相談

  • アクション センター

詳細なプロフィールのページ

ファイルの詳細、マルウェアの検出、ファイルの出現率

ファイルの詳細、インシデント、マルウェア検出、およびファイルの出現率のカードには、ファイルに関するさまざまな属性が表示されます。 ファイルの MD5、ウイルスの合計検出率、Microsoft Defender AV 検出 (使用可能な場合)、ファイルの出現率 (世界中と組織内の両方) などの詳細が表示されます。

アラート

[アラート] タブには、ファイルに関連付けられているアラートの一覧が表示されます。 この一覧には、アラート キューにあるものとほぼ同じ情報が含まれます。ただし、影響を受けるデバイスが属しているデバイス グループは除きます (該当する場合)。 表示される情報の種類は、列ヘッダーの上にあるツールバーの [列のカスタマイズ] で選択できます。

Observed in organization (組織内での観察状況)

[組織] タブの [観察対象] で日付範囲を指定して、ファイルで監視されているデバイスを確認できます。 このタブには、100 個までのデバイスが表示されます。 ファイルですべてのデバイスを表示するには、タブの列ヘッダーの上にある [操作] メニューの [エクスポート] を選択して、タブを CSV ファイルにエクスポートします。

ファイルに関連するイベントを確認する期間をすばやく指定するには、スライダーまたは範囲セレクターを使用します。 指定できる期間は 1 日以上です。 これにより、その時点でその IP アドレスと通信したファイルのみが表示されるため、不要なスクロールや検索が大幅に削減されます。

詳細分析

[詳細分析] タブでは、詳細分析用のファイルを送信して、ファイルの動作と組織内でのその影響に関する詳細を表示することができます。 ファイルを送信した後、その結果が使用可能になると、このタブに詳細分析レポートが表示されます。 詳細分析で何も検出されなかった場合は、空のレポートが表示され、結果領域は空白のままです。

ファイル名

[ファイル名] タブには、ファイルが組織内で使用していることが確認されたすべての名前が一覧表示されます。

詳細なファイル分析

通常、サイバー セキュリティの調査は、警告が引き金となって開始されます。 警告は、観察された 1 つ以上のファイルに関連しています。多くの場合、これらは新規または未知のファイルです。 ファイルをクリックすると、ファイル ビューが表示され、そのファイルのメタデータを確認できます。 ファイルに関してさらに詳しいデータを取得するには、ファイルを詳細分析用に送信します。

詳細分析機能では、完全にインストルメント化された安全なクラウド環境でファイルが実行されます。 詳細分析の結果には、ファイルのアクティビティ、観察された動作、関連付けられたアーティファクト (作成されたファイル、レジストリの変更、IP との通信など) が表示されます。 詳細分析では、現在、PE (ポータブル実行可能) ファイル (.exe ファイルや .dll ファイルなど) の広範な分析をサポートしています。

ファイルの詳細分析には数分かかります。 ファイル分析が完了すると、[詳細分析] タブが更新され、使用可能な最新の結果の日付と時刻、およびレポート自体の概要が表示されます。

詳細分析の概要には、観察された動作の一覧が含まれおり、その一部は、悪意のあるアクティビティである場合があります。また、接続された IP や、ディスク上に作成されたファイルなどの監察結果も含まれます。 何も検出されなかった場合は、これらのセクションに簡単なメッセージが表示されます。

詳細分析の結果は脅威インテリジェンスと照合され、一致するものがあると、適切なアラートが生成されます。

いずれかのファイルの詳細を調査するには、詳細分析機能を使います。通常は警告の調査中に行いますが、他の理由から悪意のある動作が疑われる場合にも役立ちます。 この機能は、ファイルの [プロファイル] ページの [詳細分析] タブ内で使用できます。

[詳細分析に送信] は、Defender for Endpoint のバックエンド サンプル コレクションでファイルが使用可能な場合、または詳細分析への送信をサポートする Windows 10 デバイスでファイルが見つかった場合に有効になります。 Windows 10 デバイスでファイルが見つからない場合は、Microsoft Security Center ポータルを介して手動でサンプルを送信し、[詳細分析に送信] ボタンが使用可能になるまで待機します。

サンプルが収集されると、Defender for Endpoint は、セキュリティで保護された環境でファイルを実行し、観察された動作および関連付けられたアーティファクト (デバイスにドロップされたファイル、IP への通信、レジストリの変更など) の詳細なレポートを作成します。

ファイルを詳細分析用に送信する:

  1. 詳細分析用に送信するファイルを選択します。 次のいずれかのビューからファイルを選択または検索できます。

    • アラート - アーティファクトのタイムラインの [説明] または [詳細] からファイル リンクを選択します

    • デバイス リスト - [組織] のセクションで [デバイス] の [説明] または [詳細] からファイル リンクを選択します

    • 検索ボックス - ドロップダウン メニューから [ファイル] を選択し、ファイル名を入力します

  2. ファイル ビューの [詳細分析] タブで [送信] を選択します。

.exe ファイルと .dll ファイルを含む PE ファイルのみがサポートされています。 進行状況バーが表示され、分析の各ステージに関する情報が示されます。 分析が完了したら、レポートを確認できます。

詳細分析レポートを表示する

Defender for Endpoint で提供される詳細な分析レポートを表示して、送信したファイルに行われた詳細分析の内容を確認します。 この機能は、ファイル ビューのコンテキストで利用できます。

次のセクションに関する詳細を提供する包括的なレポートを確認できます。

  • 動作

  • Observables (監視可能)

提供された詳細は、潜在的な攻撃の兆候がある場合の調査に役立つ可能性があります。

  1. 詳細分析用に送信したファイルを選択します。

  2. [詳細分析] タブを選択します。以前に作成したレポートがある場合は、このタブに、そのレポート概要が表示されます。

詳細分析をトラブルシューティングする

ファイルを送信しようとして問題が発生した場合は、次のトラブルシューティング手順を 1 つずつ試してください。

  1. 送信するファイルが PE ファイルであることを確認します。 通常、PE ファイルには .exe または .dll という拡張子が付いています (実行可能プログラムまたはアプリケーション)。

  2. ファイルにサービスがアクセスできること、それが現在も存在していること、破損したり変更されたりしていないことを確認します。

  3. キューがいっぱいであるか、一時的な接続または通信エラーが発生した場合は、しばらく待ってから、もう一度ファイルを送信します。

  4. サンプル コレクション ポリシーが構成されていない場合は、既定でサンプル コレクションが許可されます。 構成されている場合は、ファイルを再度送信する前に、サンプル コレクションを許可するポリシー設定を確認します。 サンプル コレクションが構成されている場合は、次のレジストリ値を確認します。

    • パス: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

    • 名前: AllowSampleCollection

    • 種類:DWORD

    • 16 進数値:

    • 値 = 0 - サンプルコレクションをブロック

    • 値 = 1 - サンプルコレクションを許可

  5. グループ ポリシーを通じて組織単位を変更します。

ファイル応答アクション

ファイルを停止して検疫するか、ファイルをブロックすることによって、検出した攻撃に迅速に対応します。 ファイルに対する操作を行った後は、アクション センターでアクティビティの詳細を確認できます。 応答アクションは、ファイルの [詳細プロファイル] ページで実行できます。

応答アクションは、[ファイル] ページの上部に表示され、次のものが含まれます。

  • ファイルの停止と検疫

  • インジケーターの追加

  • ファイルのダウンロード

  • アクション センター

ファイルを停止および検疫する

悪意のあるプロセスを停止し、ファイルが見つかった場所で検疫を行うことによって、組織内で攻撃を封じ込めることができます。

以下の場合にのみ、このアクションを実行できます。

  • アクションの対象であるデバイスが Windows 10 バージョン 1703 以降を実行している

  • ファイルが信頼されたサード パーティの発行元のものでないか、Microsoft によって署名されていない

  • Microsoft Defender ウイルス対策が、少なくともパッシブ モードで動作している必要があります。

[ファイルの停止と検疫] アクションには、実行中のプロセスの停止、ファイルの検疫、レジストリ キーなどの永続的データの削除が含まれます。 [ファイルの停止と検疫] アクションは、1,000 個までのデバイスに制限されています。 より多くのデバイスでファイルを停止するには、「インジケーターを追加してファイルをブロックまたは許可する」を参照してください。

ファイルの停止と検疫

  1. 停止と検疫を行うファイルを選択します。 次のいずれかのビューからファイルを選択するか、検索ボックスを使用できます。

    • アラート - アーティファクトのタイムラインの [説明] または [詳細] から、対応するリンクを選択します

    • 検索ボックス - ドロップダウン メニューから [ファイル] を選び、ファイル名を入力します

  2. 上部のバーに移動し、[ファイルの停止と検疫] を選択します。

  3. 理由を指定し、[確認] を選択します。

アクション センターに送信情報が表示されます。

- Submission time - Shows when the action was submitted.

- Success - Shows the number of devices where the file has been stopped and quarantined.

- Failed - Shows the number of devices where the action failed and details about the failure.

- Pending - Shows the number of devices where the file is yet to be stopped and quarantined from. This can take time for cases when the device is offline or not connected to the network.

状態インジケーターのいずれかを選択すると、アクションの詳細を表示します。 たとえば、[Failed] (失敗) を選択すると、アクションが失敗した場所を示します。 ファイルがデバイスから削除されると、ユーザーは通知を受け取ります。

ファイルが停止され、検疫されたデバイスのタイムラインで、デバイスごとに新しいイベントが追加されます。 ファイルが組織全体で広く使用されている場合は、意図された操作であることを確認するために、アクションが実行される前に警告が表示されます。

検疫からファイルを復元する

調査後にファイルがクリーンであることを確認したら、ファイルを検疫から削除してロール バックを行うことができます。 ファイルが検疫された各デバイスで、次のコマンドを実行します。

  1. デバイスで、管理者特権のコマンド ライン プロンプトを開きます。

    • [スタート] に移動し、「cmd」と入力します。

    • [コマンド プロンプト] を右クリックし、[管理者として実行] を選択します。

  2. 次のコマンドを入力して、Enterキーを押します。

    “%ProgramFiles%\Windows Defender\MpCmdRun.exe” –Restore –Name EUS:Win32/CustomEnterpriseBlock –All

インジケーターを追加してファイルをブロックまたは許可する

悪意のある可能性のあるファイルやマルウェアの疑いがあるソフトウェアを禁止して、組織内での攻撃の伝播を防ぐことができます。 悪意のある可能性のある移植可能な実行可能 (PE) ファイルが既知の場合は、ブロックできます。 この操作により、組織内のデバイスでそのファイルの読み取り、書き込み、実行がいずれも行われなくなります。

ファイルのブロック機能の有効化

ファイルのブロックを開始するには、まず、[設定] でブロックまたは許可の機能をオンにする必要があります。

ファイルの許可またはブロック

ファイルのインジケーター ハッシュを追加すると、組織内のデバイスがそのファイルを実行しようとするたびにアラートを生成してファイルをブロックすることを選択できます。 インジケーターによって自動的にブロックされたファイルは、ファイルのアクション センターには表示されなくなりますが、アラートはアラート キューで引き続き表示されます。 ファイルでのアラートのブロックおよび発生の詳細については、「インジケーターの管理」を参照してください。 ファイルのブロックを停止するには、インジケーターを削除します。 これを行うには、ファイルの [プロファイル] ページの [インジケーターの編集] アクションを使用します。 このアクションは、インジケーターを追加する前の[インジケーターの追加] アクションの位置と同じ位置に表示されます。 [設定] ページの [ルール] > [インジケーター] でインジケーターを編集することもできます。 インジケーターは、そのファイルのハッシュによってこの領域に一覧表示されます。

ファイルのダウンロード

応答アクションから [ファイルのダウンロード] を選択すると、ファイルを含む、パスワードで保護されたローカルの .zip アーカイブをダウンロードできます。 このアクションを選択すると、ポップアップが表示されます。 ポップアップから、ファイルをダウンロードする理由を記録できます。 また、ファイルを開くためのパスワードも設定できます。 まだ、Defender for Endpoint によってファイルが保存されていない場合は、ダウンロードできません。 代わりに、同じ場所に [ファイルの収集] ボタンが表示されます。 過去 30 日以内に組織でファイルが表示されていない場合、[ファイルの収集] は無効になります。

アクション センターでアクティビティの詳細を確認する

アクション センターからは、デバイスまたはファイルに実行されたアクションに関する情報が得られます。 次の詳細を表示することができます。

  • 調査パッケージの収集

  • ウィルス対策スキャン

  • アプリの制限

  • デバイスの分離

その他の関連する詳細もすべて表示されます。たとえば、送信日時、送信ユーザー、アクションが成功したか、失敗したかなどです。