Microsoft Defenderです。
Microsoft Defender for Cloudではありません。Microsoft 365 Defenderでもありません。
最初に
SC-200の勉強です。
SC-900から見たい人はこちら。
Defender for Cloudは以下。
ちなみにMicrosoft DefenderとMicrosoft Defender for Cloudの違い。
Microsoft 365やSecurity周りはMicrosoftが最近力を入れている分野で、Microsoft LearnのドキュメントやGithubのHandsOnの資料が実際の管理画面が違うことがままあった。そのため、Microsoft Learnの画面をそのままHandsOnができなかった個所もある。
また、ライセンス形態がわかりづらく苦戦した。今回は結局Microsoft 365 E5の試用版を利用した一応HandsOn学習したかったものはできたが、昔はMicrosoft 365 E5の試用版があったらしい。それが普通にはアクセスできなくなってしまっているらしい。
事前準備 - 環境構築
基本は以下のリンクのHands Onに沿って進める。
以下のリンクからMicrosoft 365 E5の試用版を申し込む。ここでは、アカウントから一緒に作成する。実際にクレジットカードとかを入れる必要がある。
※後で気づいたけど、Visual Studio Enterprise持ってる人とかは以下リンクのM365開発者プログラムというのから申し込めるらしい。
購入完了のメールが届いた。(でよくよく見ると、Microsfot 365 E5を購入したはずなのに、実はOffice 365 E5になっている巧妙な罠。)
これにより各種管理ポータルにログインできるようになる。
Microsoft 365管理センター
今回利用したいDefender for Endpoint P2はOffice 365 E5には含まれていない。なのでマーケットプレースからMicrosoft 365 E5の試用版を買いなおす必要がある。
※調べた限り、Webから直接M365 E5のTrialを購入することができなくて、一度Microsoft 365 管理センターに入ってからであれば試用版を購入することができるのがミソ。不要なOffice 365 E5君はキャンセルしてしまっても構わない。
最初に、Microsoft Defender XDRって何
とりあえずいろんなところで目にするDefender XDR。これ自体の説明がわかり辛い。
Perplexityによると、
Microsoft Defender XDR(エックスディーアール)は、多層防御・統合対応ができる“拡張検知と対応(XDR=Extended Detection and Response)”、企業全体の脅威監視・自動検知・自動対応ができる統合型セキュリティプラットフォームです。
Microsoft 365 E5を導入した場合、標準でこのMicrosoft Defender XDRのコア機能(=旧称 Microsoft 365 Defender)が利用できます
XDRにはこんなものが含まれる。これらの製品の連携を可能にするセキュリティプラットフォーム。
- Microsoft Defender for Endpoint(端末のマルウェア・脅威防御)
- Defender for Office 365(メール・TeamsやSharePointの脅威防御)
- Defender for Identity(IDの不正利用・横展開検知)
- Defender for Cloud Apps(SaaSやクラウド利用のガバナンス・脅威検知)
あくまでもプラットフォームであり、何かしらの製品を指すものではない。昔はそれぞれのPortalがあったのだが、現在はMicrosoft Defender XDRという形でまとめられている。
もしもポータルログインなどでトラブった場合
ちなみに、自分はメールアドレスを変更してたりして、アカウント作成でトラブってしまい、Microsoft 365 ポータルにログインできなくなってしまった。そんな時は以下のForumのに従うとオペレータと話すことができた。
(余談だが、サポートの音声AIの品質がひどい。人員削減が必要なのはわかるが、AIに「人間のオペレータと話したい」と言ったら「お電話ありがとうございました」とガチャ切りされたときは携帯を怒りで放り投げた。)
Microsoft Defender
これでMicrosoft Defender利用できるようになった。
Microsoft 365導入直後の設定
セキュリティプリセットの設定
Microsoft Defenderでは、デフォルトでMicrosoft推奨のプリセットがあるので、まずはそれを有効にする。ポリシーとルール > 既定のセキュリティポリシーから。
標準的な保護は一般ユーザー、厳重な保護はエグゼティブ向けとか使い分ける。
Exchange向け設定。
Office 365向け設定。
Cloud App Securityを有効にする
アセット > アプリケーションから。
Microsoft Entra Admin Center
Microsoft 365の購入 = 裏でEntraが新しくたつ。これは一旦確認するだけ。
Azure Portal
一番左からFree TrialでSubscription設定しておく。これは後続のSecurity Copilotで必要。
Defender for Cloud
Defender for Cloudは以下の記事を参考に有効化しておく。
Microsoft Defender for Endpoint
整理された内容は以下のようなブログを参照。
以下にはHandsOnで実施した範囲などを記載。
Intuneとの違いは?
Microsoft Defender とIntuneの違いについてはこちら参考。
要はエンドポイントの保護をするのがDefender for Endpoint、構成管理(昔はGroup Policyなど)をするのがIntune。Perplexityに質問してみるとこうなった。
なので両方はどちらかではなく連携して使うことももちろん可能。
今回SC-200ではIntuneは対象外のため、あくまでもさわりだけにとどめる。
Defender for Serversとの違いは?
Perplexity先生によるとこうなった。
Defender for ServersはEndpointも含んでいるのか。
要は、社内PC等のクライアントやモバイル端末のセキュリティ対策にはDefender for Endpoint。サーバーやクラウド基盤の保護・管理にはDefender for Servers(=Defender for Endpointを内包)ということらしい。
Microsoft DefenderでDeviceのOnboarding
準備で手間取る...
対象OSは以下の通り。
- Windows
- macOS
- Linux
- Android
- iOS
まずはEntra 管理センターから自分にSecurity AdministratorのRoleを付与しておく。
で、いろいろな参考サイトではOnboardingは左袖メニューのEndpointだったり、Settings > Dervice Managementについて説明があるが、それがない。。ライセンス的にはあるはずなのだが、ムムム。
色々調べてたらMicrosoft 365管理センターに展開ガイドというものがありそこからDefender for Endpointが有効化できそう。(なぜかURLを知らないとアクセスできないページ。デフォルトで管理画面に表示されないのまじでXXX)
それでも左メニューにEndpointの項目が出てこない。時間がかかるとかいう情報もあったが半日待っても表示されない。なんか裏技的に紹介されていたのが、以下のURLに直でアクセスすると開けるらしい、ということで以下にアクセスすると開けた。XXXが。いいのかこれ。
実際のOnboarding処理
Onboardするように、Azure上にVMをたてて、そこから実行してみる。やり方的には以下のOnboardingの指示に従う。まずは一番シンプルなLocal Scriptでやってみる。
ポータルからbatファイルをダウンロードし、VM上で実行する。成功のメッセージが出る。
必要かどうかわからないけど一応VMを再起動した。2-30分待つとDevice一覧に表示されるようになった。
デバイス単体の詳細も参照可能。
Security Recommendationがある。
例えばChromeのバージョンをアップデートするべきとか。
インストールされているソフトウェアの一覧、ブラウザ拡張機能、証明書なども見れる。
CVEの脆弱性。
その他Huntingでイベントログ各種なども見れるようだ。
ちなみに、1台登録したところさっきはあれだけ苦労しても表示されなかった、EndpointsやDevice Discoveryが表示されるようになった。時間が経って、1台登録すると表示されるようになるのか?
Microsoft Defender Secure ScoreとExposure Score
Deviceと登録して、上記のように全て見えるようになったところで、注目すべき箇所が2点。
似ているのでわかりにくいが。Security Scoreは業界の標準にどれくらい則っているか、Exposure ScoreはCVEとかどれだけ脆弱性があるかと評価軸が異なる。
具体例を挙げるなら、パッチ適用が自動化されていなければSecure scoreが下がるし、特定のパッチが適用されていなくて脆弱性がある場合はExposure Scoreが上がるということか。
Secure Score
Exposure Management > Secure Scoreでどの程度組織のセキュリティ設定が正しく実施されているかを確認する。本番運用時は80くらいは目指したいところ。
Exposure Score
Endpoints > Vulnerability Management > Dashboardでどの程度セキュリティ的に露出しているかを示す。
アラートの検知
VM上でネットからファイルをダウンロードし実行するような不審なPSテストコマンドを打ってみる。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-WDATP-test\invoice.exe');Start-Process 'C:\test-WDATP-test\invoice.exe'
するとMicrosoft Defender側でアラートとして検知される。
アラートには2件挙がっている。
それをインシデントが1件としてまとめている形になる。複数のアラートが起きても事件としては1件ということがよくあるので。
アラートの中身を見るとどんなコマンドがどんな時系列順で実行されたのかよくわかる。
Incidentの中身を見るとグラフィカルに影響範囲などを表示してくれる。
View Threat Analytics Reportを見ると、Incidentの説明や対策の推奨などを提示してくれる。
Manage Incidentから、Incidentの重大度を設定したり、人に割り当てたり、クローズすることができる。
ちなみに疑わしいファイルがある場合は以下のようにDeep Analysisに回して、Microsoftにより何をするマルウェアなのか解析してもらうことが可能。
Device Group
Settings > Endpoints > Permissions > Device GroupからDevice Groupを作成する。
まずはAutomated Incident Response(AIR)の度合いを選択する。基本的に自動修復がMicrosoftの推奨らしい。
AIRレベルについてPerplexityの説明。
例えばWindows Serverのものだけ選ぶ。
テストしてみると想定通り1台だけ対象となる。
Entra IDでGroupを作っておく。
(ちなみに昔はDevice GroupにアサインできるユーザーグループはMicrosoft Defenderから設定するRolesというのを利用していたようだが、今はEntra IDのGroupを利用するようになったらしい。)
DeviceGroupにアクセスできるユーザーのグループを設定できる。
これは例えば北米の端末は北米のTier1サポートのグループにしか触らせないというようなことを想定しているらしい。
Device Groupが作られた。
アラートのメール送信
Settings > Endpointsから宛先、通知するアラートのレベル、Device Groupなどを設定できる。
AlertはRuleによって抑制することもできる。
Settings > XDR > Tune Alertから。
Device Discovery
社内NWにつながっている(MDEが導入されていない)アンマネージドなワークステーションを発見する(スイッチなどのネットワーク機器、プリンタなどを含む)。これがデフォルトになっている。機器からアクティブにSNMP通信を行い、通信先を発見する。
個人のHome Networkの機器は除外してくれるらしい。
発見されたunmanagedな機器はDevice Inventory一覧にCan be onboardedというステータスで表示されるようになる。
逆にNetwork機器などにはDefenderを導入できないが、脆弱性の発見などはしてくれるらしい。
Attack surface reduction
以下のような要素が含まれる。
疑わしいスクリプトが実行されたらBlockすることとかができる。
- Attack surface reduction rules
- Hardware-based isolation
- Application control
- Exploit protection
- Network protection
- Web protection
- Controlled folder access
- Device control
利用可能なのはWindows系OSのみらしい。
Ruleがトリガーされたら通知させることもできる。
適用にはIntuneやMECM(Microsoft Endpoint Configuration Manager)、Group Policy等が利用できる。
詳しくはまた外部サイトに頼る。
ふるまい検知
Settings > Endpoint > Enable EDR in block modeを有効にする。
Microsoftの機械学習でふるまい検知を元に実行される。
Realtimeでアラートを発砲して、Microsoft 365 Defenderにもアラートとしてあがる。
Detection sourceがEDRになる。
リモート実行
Device Inventoryからはその他リモートでウイルススキャン実行したり、デバイスをネットから隔離したり(Defender for Endpointとの接続は維持される)、調査用スクリプトを実行したり等管理者側からのアクションが可能。
Collect Investigation Package
例えばInvestigation PackageをCollectするを設定すると。
このように通常ログインしないと見れないような各種情報が見れるようになる。
Live Response
Settings > Endpoints > Live Responseでリモートシェルの実行が可能になる。(実行できるコマンドの種類は限られているが。)
やろうと思えばUpload fileからPowershellをアップロードして、実行、結果をダウンロードすることなどもできる。
Intune連携
Microsoft DefenderのSettings > Endpoints > Advanced featuresから,
Microsoft Intune ConnectionをOnにする。
Intune Admin CenterからEndpoint Securityが有効になっていることを確認。
Microsoft Security Copilot
なんか一部では色々最近話を聞くSecurity Copilot。
Stand Alone
以下のリンクにアクセスし、ワークスペースから作成する。
セットアップするためには、Azure側にSubscriptionが設定されている必要がある。地域を選択する。日本は選択できないらしい。
金額はProvisionedで固定のみらしい。1時間で4ドル、1日96$のサービスとなると1か月で3000ドル。中々高い。1日でTrial分のAzureクレジットが吹き飛んでしまう。高くないですか??検証し終わったらすぐ消すのがお勧め。
CopilotがMicrosoft 365のデータにアクセス可能にする。
監査データをPurviewに連携することも可能だが、SC-200の範囲ではないためスキップ。
誰がSecurity Copilotにアクセスできるか選択。デフォルトではGlobal AdministratorとSecurity Administrator
これによりSecurity Copilotが使えるようになった。
裏のAzureでは見慣れないSecurity Compute Capacityというリソースが作成されている。
色んなデフォルトプロンプトがある。
Sourcesから、プラグインという形でCopilotがどの範囲までデータを収集していいのか設定できる。基本的にはWAFなどがログをためているLog Analyticsに対してCopilotがアクセスしに行くという形。
例えばWAFであればこのような質問が可能。まあ正直基本的にWAFログをKQLで自分を調べられるのであれば、それほど必要とは思わない。
・過去 1 日間にグローバル WAF で SQL インジェクション攻撃が発生しましたか?
・過去 24 時間にトリガーされた上位のグローバル WAF ルールは何でしたか?
・過去 6 時間の Azure Front Door WAF の悪意のある IP アドレスの一覧をまとめてもらえますか?
しかしDefender for XDRなどポータルで色々ポチポチやらなくちゃいけない場合も対応可能なのはいいかもしれない。
・インシデントをすばやく要約する
・ガイド付き応答を使用してインシデントに対するアクションを実行します。
・インシデント レポートを作成する
・インシデント ガイド付き応答を取得する
・Defender デバイスの概要を取得する
・ファイルの分析
・その他...
Web情報の参照や独自のプラグインも設定できる。
実際に使ってみるとそこそこわかりやすい感じで回答を出してくれる。(以下はSecurity CopilotとEntra IDのConnectionを設定していなかったからエラーになっているが、、、)
Embedded Copilot
こちらはMicrosoft DefenderのAdvanced Huntingなどで、画面に埋め込まれた形のCopilotが複雑なKQLなどを自然言語から作ってくれたりする機能がある。
