LoginSignup
5
8

More than 1 year has passed since last update.

@f_0000(f u)

「Microsoft Defender for Endpoint評価ラボ」試してみた

Last updated at Posted at 2023-05-27

概要

一昔前、エンドポイント保護としてはアンチウイルスソフトでマルウェア感染を検知することが一般的でした。しかし、攻撃者の手法が高度化するにつれて、単純なシグネチャ検知だけでは攻撃を防ぐことが難しくなってきました。そのような背景から多くの企業で利用されるようになったのがEDR(Endpoint Detection and Response)です。EDRはアンチウイルスと異なり、感染したとしても素早く対処することで被害を最小限にとどめることが可能です。

そして、今やエンドポイント保護のマーケットリーダーであるMicrosoft社が提供するEDRであるMicrosoft Defender for Endpoint(以下:MDE)は多くの企業で使用されています。
image.png

本記事ではそんなMDEで提供されている機能の一つである「Microsoft Defender for Endpoint評価ラボ」についての検証を行った時の備忘録となります。

「Microsoft Defender for Endpoint評価ラボ」とは

「Microsoft Defender for Endpoint評価ラボ」はクラウド上でMDEの機能の検証を行うための機能です。
通常のセキュリティ製品であれば、

  1. 検証用の端末を用意
  2. ソフトウェアをインストール
  3. 動作確認のためにテストスクリプト等を用意し実行

等の作業を実施する必要がありますが、MDEの場合そのような動作検証を行うためのラボ環境攻撃のシュミレーションを用意してくれています。

また、ADサーバを構築しドメイン参加した環境で動作検証を行うことができるため、単純なマルウェア検知だけでなく、Lateral MovementやPriviled Escalation等のシナリオを検証することも可能です。

構築できるMachine

  • Windows 10
  • Windows 11
  • Windows Server 2019
  • Windows Server 2016
  • Linux (Ubuntu)

攻撃のシナリオ例

(参考:Microsoft Defender for Endpoint評価ラボ)

前提条件

1. 事前準備

攻撃のシュミレーションを使用する前に、ラボ環境を作成し、Machineを追加する必要があります。
(参考:評価ラボをセットアップする

今回は以下のような簡単な構成としました。

  • Windows Server 2019(ドメインコントローラ)
  • Windows 10
  • Linux(Ubuntu)

構成イメージ

image.png

管理画面UI

image.png

作成するマシンの台数により、ラボ環境を利用できる時間が異なります。今回は最小構成である「3台/72時間」を選択しています

  • 3台/72時間
  • 4台/48時間
  • 8台/24時間
  • 16台/12時間

また、ラボ環境の構築が完了すると、通常のMDEと同様、管理コンソールから端末の情報を確認できるようになります。
image.png

インシデントの詳細情報等も確認できるようになります。
image.png

フルスキャンやデバイス隔離を行うこともできます。
image.png

image.png

ラボ環境の端末にRDP接続やSSH接続を行うことも可能です

2. シュミレーションの実行

ラボの管理画面では、以下のように複数の攻撃シナリオが用意されています。今回はAttackIQが提供している常設メソッドというシナリオを使用します。
image.png

本シナリオは以下のように、簡単なGUIで実行することが可能です。
image.png

シナリオの実行が完了すると、当該攻撃が実施されたログを確認することができます。

レジストリを設定
image.png

まとめ

Microsoft Defender for Endpoint評価ラボを検証として使用してみてMDEがインストールされた端末を迅速に用意できることに加え、簡単に実行できる攻撃シナリオが用意されており非常に便利なツールだと感じました。

本機能の個人的ユースケースは以下になるかと思います。

  • MDEの導入前の機能検証、管理画面の確認
    • MDEの導入している段階で、どのような機能があるのかの確認を迅速に行うために利用する
  • 既存で導入している別ソフトウェアとの競合確認
    • AVや別のEDRをラボ環境にインストールし、MDEと競合が発生しないか(正常にインシデントの検知ができるか)確認する
  • SOC/CSIRT要因の研修
    • 実際のインシデントを想定した、分析・対応の演習

ラボ環境は月に1回しか作成することができないため注意が必要です

最後までお読みいただきありがとうございました。

参考文献

5
8
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
8