O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

[Japan Tech summit 2017] DEP 003

269 visualizações

Publicada em

[Japan Tech summit 2017] DEP 003 セッション資料

Publicada em: Tecnologia
  • Seja o primeiro a comentar

[Japan Tech summit 2017] DEP 003

  1. 1. Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
  2. 2. 33 攻撃者にとってユーザーは協力 者  パスワードを共有  マルウェアをダウンロード~感染  攻撃ツールを実行
  3. 3. POST-BREACHPRE-BREACH 攻撃検知と対応デバイス保護 ID 保護 情報保護攻撃防御
  4. 4. 攻撃防御 攻撃防御 Windows Defender 脅威からの防御機能を統合
  5. 5. Windows Defender
  6. 6. Version 1511 (November Update)11/12 Version 1607 (Anniversary Update)8/2 2016 Version 1703 (Creators Update) 4/11 2017 Version 15077/29 2015 Version 1709 (Fall Creators Update) 10/17  Windows Defender AV 強化  Windows Defender セキュリティ センター  Windows Defender ATP 新機能  Windows Defender AV 強化  Windows Defender Application Guard  Windows Defender Exploit Guard  Windows Defender Device Guard 強化  Windows Defender ATP 新機能
  7. 7. Windows Defender Security Center 機能群の UI を 単一の コンソールに統合 各機能のステータスおよび PC の保護状況を可視化 標準 端末の攻撃防御の機能群を一元的なユーザーインターフェースで管理
  8. 8. Windows Defender ウイルス対策 (旧 Windows Defender) 新しい脅威をほぼ即時に検出して ブロックするクラウド型保護 機械学習、手動および自動による ビッグデータの分析、脅威に対抗す るための詳細な調査に基づく専用の 保護の更新 ファイルとプロセスの動作の高度な 監視やその他のヒューリスティック を使用するリアルタイム スキャン 標準 次世代型の検出ソリューションにより脅威から保護
  9. 9. 1313 Windows Defender Smart Screen 標準 Windows 7 アプリケーション評価 マルウェアの実行を阻止 URL 評価の機能 フィッシング詐欺など悪意のあるウェブサイトを検知 Windows 10 既知の フィッシング / マルウェアを含む Web サイトへのアクセスや、 悪意のある可能性があるファイルのダウンロードや実行から保護
  10. 10. Windows Defender Credential Guard (Credential Guard) Enterprise LSASS と資格情報を保護 E3 資格情報を保護する仮想化ベースのセキュリティ Pass the Hash 攻撃から防御 カーネル マルウェアからの保護 Kernel Windows Platform Services Apps Kernel SystemContainer Credential Guard Trustlet #2 Trustlet #3 Hypervisor Device Hardware Windows Operating System Hyper-VHyper-V
  11. 11. Windows Defender Device Guard (Windows Defender System Guard / Windows Defender Application Control) Enterprise デバイスの起動時から不明なアプリの 起動やドライバーのロードを抑止 E3 コードの整合性を検証する仮想化ベースのセキュリティ Kernel Windows Platform Services Apps Kernel SystemContainer DEVICE GUARD Trustlet #2 Trustlet #3 Hypervisor Device Hardware Windows Operating System Hyper-VHyper-V 信頼されないアプリケーションを ブロック VBS に対応 検証の仕組み自体の健全性を保持
  12. 12. Windows Defender Application Guard Hypervisor Device Hardware Kernel Windows Platform Services Windows Operating System Hyper-V Hyper-V 信頼されているサイト Microsoft Edge Kernel Windows Platform Services Microsoft Edge Windows Defender Application Guard Container 信頼されてないサイト 最も攻撃者から狙われるブラウザを コンテナ型仮想技術により安全に分離 Enterprise E3 1709 NEW
  13. 13. Windows Defender Advanced Threat Protection (Windows Defender ATP) Enterprise 世界中のインシデント データによる自動分析 専門家・パートナーのナレッジによる警告 カーネルレベルで脅威をリアルタイムに検知 ログを改ざんされることなく最大 180 日保持 エージェントのインストール不要 OS のアップデートと共に機能拡張 インシデント発生時に素早い対応が可能 侵入/感染経路などの詳細調査が可能 Windows Defender ATP の管理画面 E5 OS 組み込み型 クラウドベース EDR セキュリティ 組織のセキュリティの把握・調査・対応にかかる時間を短縮
  14. 14. Windows Defender Exploit Guard 標準 Windows システムとアプリケーションの脆弱性緩和ツール 1709 NEW ランサムウェアをはじめとする サイバー攻撃からの対策機能を実装 脆弱性緩和ツール EMET との統合 Windows Defender セキュリティ センター に UI を統一
  15. 15. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  16. 16.  攻撃の脅威を抑制。安全性と生産性を両立 (Attack Surface Reduction : ASR) (Exploit Protection) 情報漏えいの脅威の抑制 (Network Protection)(Controlled Folder Access)
  17. 17. Attack Surface Reduction
  18. 18. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  19. 19. 悪意のあるコンテンツが使用する 基本的な動作をブロック 脅威や悪用とは関係なく 悪意のある行動を阻止 ユーザーの生産性を損なわない
  20. 20. 安全なファイル 不審なファイル 例:Office ファイルの潜在的な脅威の判定と制限の判断 Office ファイル (例. docx, docm, pptx, pptm, etc) マクロを含む Office ファイル コンテンツを実行する マクロを含むOffice ファイル データのダウンロードや コンテンツを実行する マクロを含むOffice ファイル ASR のスマートコントロール
  21. 21. • Office アプリケーションが実行可能なコンテンツの作成を制限 • Office アプリケーションの子プロセスの起動をブロック • Office アプリケーションのプロセスへの投入をブロック • Office のマクロコードから Win32 のインポートをブロック • 難読化されたマクロコードをブロック • 難読化された悪質な JavaScript, VBScript, および PowerShell コードをブロック • インターネットからダウンロードしたペイロードの実行制限 JavaScript と VBScript をブロック • 電子メール(webmail / mail-client)を介して侵入する実行可能なコンテンツの実行をブロック
  22. 22. Exploit Protection
  23. 23. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  24. 24. Exploit Protection  メモリの脆弱性を軽減  重要なAPIおよび関数へのアクセスを制限  レガシーアプリケーションを保護
  25. 25. Exploit Protection 対応する緩和策
  26. 26.  • https://blogs.technet.microsoft.com/srd/2016/11/03/beyond-emet/
  27. 27. 従来の Windows OS: OS の進化のスピードがサイバー攻撃の 進化のスピードに追い付かない P R O D U C T R E L E A S E T H R E A T S O P H I S T I C A T I O N T I M E CAPABILITY Protection Gap EMET を OS から独立してリリースする ことで対応 Windows 10: WaaS により、迅速なセキュリティ対策が 実装可能に
  28. 28. Controlled Folder Access
  29. 29. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  30. 30. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  31. 31.  シンプルな管理の実装  既知のフォルダ  ランサムウェアの動作を阻害
  32. 32. 情報漏えいの脅威の抑制 (Network Protection)
  33. 33. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  34. 34. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  35. 35. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  36. 36.  アウトバウンド トラフィック監視  URL の検証  低評価のサイトへの アクセスはブロック
  37. 37. ネットワーク保護機能は、 Windows Defender SmartScreenによる保護を採用 すべてのブラウザとプロセスで使用可能
  38. 38.  簡単設定  シンプルな実装  モバイル対応  強力な保護
  39. 39. Network Protection
  40. 40. 機能 Security Center AD GPO MDM Powershell SCCM Attack Surface Reduction Rule 〇 〇 〇 〇 Exploit Protection 〇 〇 〇 〇 Controlled Folder Access 〇 〇 〇 〇 〇 Network Protection 〇 〇 〇 〇
  41. 41. ASR ルール カテゴリ ルールの説明 GUID Office Officeアプリケーションによる子プロセスの作成をブロックする D4F940AB-401B-4EFC-AADC-AD5F3C50688A Officeアプリケーションによる実行可能なコンテンツの作成をブロックする 3B576869-A4EC-4529-8536-B80A7769E899 Officeアプリケーションが他のプロセスに注入されないようにする 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 OfficeのマクロコードからWin32のインポートをブロックする 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Script 実行ファイルを起動するJavaScriptとVBScriptを無効にする D3E037E1-3EB8-44C8-A917-57927947596D 潜在的に難読化されたスクリプトの実行をブロックする 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Mail 電子メールクライアントとウェブメールから実行可能なコンテンツをブロックする BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 • 無効= 0 • ブロックモード= 1 • 監査モード= 2
  42. 42. Exploit Protection の設定方法  UI からの設定  管理インフラからの設定
  43. 43. Controlled Folder Access   • •
  44. 44. Network Protection  管理インフラからの設定
  45. 45. Exploit Guard でのブロック状況が イベントとして WDATP に通知 インシデントグラフによる 攻撃時のプロセスの流れを 確認可能 WDEG の各種機能によるブロック はすべてイベントログに出力可
  46. 46. プロバイダー/ソース ID 説明 Security-Mitigations 1 ACG の監査 Security-Mitigations 2 ACG の実施 Security-Mitigations 3 Do not allow child processes 監査 Security-Mitigations 4 Do not allow child processes ブロック Security-Mitigations 5 Block low integrity images 監査 Security-Mitigations 6 Block low integrity images ブロック Security-Mitigations 7 Block remote images 監査 Security-Mitigations 8 Block remote images ブロック Security-Mitigations 9 Disable win32k system calls 監査 Security-Mitigations 10 Disable win32k system calls ブロック Security-Mitigations 11 Code integrity guard 監査 Security-Mitigations 12 Code integrity guard ブロック プロバイダー/ソース ID 説明 Security-Mitigations 13 EAF の監査 Security-Mitigations 14 EAF の実施 Security-Mitigations 15 EAF+ の監査 Security-Mitigations 16 EAF+ の実施 Security-Mitigations 17 IAF の監査 Security-Mitigations 18 IAF の実施 Security-Mitigations 19 ROP StackPivot の監査 Security-Mitigations 20 ROP StackPivot の実施 Security-Mitigations 21 ROP CallerCheck の監査 Security-Mitigations 22 ROP CallerCheck の実施 Security-Mitigations 23 ROP SimExec の監査 Security-Mitigations 24 ROP SimExec の実施 WER-Diagnostics 5 CFG のブロック Win32K 260 非信頼フォント
  47. 47. O F F M A C H I N E O N M A C H I N E P R E - B R E A C H Windows Defender Antivirus Behavioral Engine (ふるまい検知) ▪ プロセスツリーの視 覚化 ▪ アーティファクト検 索機能 ▪ マシンの隔離と検疫 Windows Defender ATP (EDR) ▪ 強化されたふるまい および機械学習によ る検出 ▪ メモリスキャン機能 O365 (Email) ▪ メールを媒介した 攻撃脅威の縮小 ▪ 高度なサンドボックス 解析 Edge (ブラウザ) ▪ ブラウザの堅牢化 ▪ スクリプトを介した 攻撃手法の制限 ▪ アプリケーション コンテナの堅牢化 ▪ レピュテーション ベースのダウンロー ド制限 ▪ SmartScreen P O S T - B R E A C H O F F M A C H I N E Windows Defender Antivirus (ファイルスキャン) ▪ 改善されたML およびヒューリス ティック保護 ▪ クラウドベースの アクティブアップ デート ▪ 拡張されたエクス プロイトキットの 検出 One Drive (クラウドストレージ) ▪ クラウド内の信頼で きるバージョン管理 されたファイルスト レージ ▪ 特定時点のファイル 回復 App Guard (仮想化) ▪ アプリケーションの 仮想化による隔離 デバイス ロックダウン ▪ Windows 10S ▪ Device Guard ▪ Credential Guard ▪ VSM Windows Defender Exploit Guard (HIPS) 攻撃領域の最小化 • 攻撃面をカスタマイズす るためのルールセット 不正なアプリケーション 実行からの保護 ・メモリベースの エクスプロイトを対策 フォルダーアクセスの 制御 • 信頼されていない アプリの保護された フォルダへのアクセスを 禁止 ネットワーク保護 • 不審な外部送信を ブロック アプリ制御 (ホワイトリスト) ▪ ホワイトリストを用いた アプリケーション制御
  48. 48. Combined Microsoft Stack: Maximize detection coverage throughout the attack stages ウェブサイトへの アクセス プログラムの 実行 Office 365 ATP ATAWindows Defender ATP 不正なメールの検知 不正な資格情報 利用の検知 端末上での 不正な振る舞いの検知 メールの 受信 添付ファイル を開く URL をクリック 攻略行為 マルウェアの インストール 攻撃者の サーバーへ接続 持続性 権限の昇格 偵察 横方向の移動 リソースへの アクセス C: WDEG Network Protection WDEG Attack Surface Reduction Windows Defender SmartScreen Windows Defender Anti-Virus WDEG Exploit Protection WDEG Controlled Folder Access Windows Defender Credential Guard WDEG Network Protection WDEG Attack Surface Reduction Windows Defender SmartScreen Windows Defender PC 上での脅威を 能動的に防御 Windows Defender Device Guard
  49. 49. ⑤不正なデータ送信や リモート操作 ⑤不正な参照や データの破壊
  50. 50. 業務生産性向上とセキュリティ強化のため ぜひ早期の移行をご検討ください。
  51. 51. Session ID Title DEP001 ここまでできる! Windows 10 クラウド展開・管理 (Day1 11:30 – 12:20) DEP002 新登場! Windows Defender Application Guard 解説 (Day2 9:00 – 9:50) DEP004 最新のサイバー攻撃対策、Windows Defender ATP 徹底解説します! (Day2 15:10 – 16:00) DEP010 みんなどうしてる? 企業における Windows 10 Future Update 適用 (Day2 13:55 – 14:45) SEC010 Secure Modern WorkStyle を実現するための EMS 活用の基礎 (Day 1 13:55 – 14:45) SEC011 多層検知ソリューションとネットワークで実現するクラウドセキュリティ (Day 2 15:10 – 16:00)
  52. 52. ■  https://docs.microsoft.com/en-us/windows/threat- protection/windows-defender-exploit-guard/windows-defender- exploit-guard ■  https://docs.microsoft.com/en-us/windows/threat- protection/windows-defender-exploit-guard/evaluate-windows- defender-exploit-guard ■  https://aka.ms/mp7z2w ■  https://blogs.technet.microsoft.com/jpsecurity/2017/11/01/windows- defender-exploit-guard-reduce-the-attack-surface-against-next- generation-malware/

×