こんにちは、霜月です。
国井傑さん&阿部直樹さんの書かれた「ひと目でわかるMicrosoft Defender for Endpoint」を読んだので、感想をまとめてみたいと思います!MDEを利用している方や、導入検討している方は是非どうぞ〜m(o・ω・o)m
※過度なネタバレは避けて、あくまで個人の感想と印象に残った箇所をまとめていきます
どんな本?
こちらの本は、MDEの機能の全体感が把握できる本です。EDRとしての機能はもちろん、脆弱性管理やWindowsの他のセキュリティ機能の管理などがスクリーンショット付きで分かりやすく紹介されています。
私は普段からMDEを利用しており、基本的なことは把握しているつもりですが、「あ、こんなことも出来るんだ」と思うことが結構ありました。ライセンスの割り当てやコンソールの見方、様々なタブとその遷移もスクリーンショット付きで紹介されているため、手順書のような感覚で使えると思います。私は本書を片手に実際の画面を操作して読み進めました。
以下、あらすじです。
本書はマイクロソフトが提供するEDR製品「Microsoft Defender for Endpoint(MDE)」の、はじめての日本語解説書です。EDR(Endpoint Detection and Response)とは、デバイスへの侵入を検知・可視化・対処する製品を指します。従来の防御を目的とするセキュリティ対策製品(ファイアウォールやウイルス対策ソフトなど)と組み合わせて利用することで、たとえばデバイスへの不正アクセスを検知して侵入経路を明らかにしたり、不正アクセスされたデバイスをネットワークから隔離したりといった、より一層のセキュリティ対策が可能になります。ウイルス対策ソフトでは十分な対策ができなくなっていると言われている昨今、EDRは大変注目を集めています。本書1冊で、MDEを利用したデバイス監視とインシデント対応手順をひととおり理解することができます。
Amazonで購入できます〜!
因みに、目次はこんな感じです。
第1章 Microsoft Defender for Endpointの概要
第2章 セキュアスコアに基づく脆弱性管理
第3章 ポリシー管理(Web保護)
第4章 攻撃面の減少(ASR)の活用
第5章 インシデント対応の開始
第6章 自動調査と修復
第7章 高度な追及(Advanced hunting)
第8章 エンドポイントに対する手動での対応
印象に残ったパート
全体を通して非常に読みやすく、MDEの理解が深まりました。実際に今MDEを利用している方は勿論、これから導入を検討している人にとっても参考になると感じました。情報量も多いため、読みたいパートを辞書的な感覚で探して読む、という使い方ができると思います。
では、特に印象に残ったパートをまとめていきます。
KQL(Kusto Query Language)
MDEではKQLというクエリ言語を用いることで、Advanced Huntingの機能を活用することができます。基本的な書き方の紹介がされており、更に「悪性ファイルの行方調査」「ファイルのハッシュ値をもとに特定通信の追跡」などのユースケースも紹介されており、すぐに活用することができると思います。KQLを使い倒すと、ちょっとした調査含めてかなり役に立つと思います。
ただし、ハイレベルな活用方法の紹介はなかったので、是非とも続編に期待!?
公式サイトだとこの辺が参考になりそうです。
自動調査と修復
MDEは自動修復ができますが、何でも勝手に修復したいわけではないケースもあります。修復にはレベルがあり、[完全-自動的な脅威の修正]、[コアフォルダーへの半承認]、[一時フォルダー以外への半承認]、[すべてのフォルダーを半承認]、[自動応答なし]と分かれています。
コアフォルダーとは、C:¥Windows配下のことで、これに対する自動修復は行われず、承認が必要になります。
一時フォルダーとは、¥windows¥temp¥*、¥program files、などで、これ以外のフォルダーに対しては自動修復は行われず、承認が必要となります。
修復のレベル分けがこのようにされているというのは、勉強になりました。
※Microsoft Defender for Businessの場合は、[完全-自動的な脅威の修正]で固定で変更不可とのこと。
公式サイトだとこの辺が参考になりそうです。
攻撃面の減少(ASR)
Attack Surface Reductionの略です。これはWindowsデバイスに対するセキュリティ機能の集まりで、元々はWindows 10 Version 1790でMicrosoft Defenderウイルス対策(MDAV)で搭載されていました。ASRではWebの保護やリムーバブルストレージの保護、アプリケーション制御やネットワーク制御が可能です。Microsoft Defender Application Control(MDAC)やAppLockerを利用して信頼できないアプリケーションの実行を防止したり、Windows Defender FireWallを利用してネットワーク制御をしたり。
お気づきの方もいると思いますが、文字通り、Windowsのセキュリティ機能詰め合わせセットです。Windowsの全勢力を総動員させたような感じでしょうか?(笑)これらの機能/ルールが、1箇所で管理できるのはとても便利だと感じました。(でも結構大変そう...)
公式サイトだとこの辺が参考になりそうです。
最後に
本書は、MDEの機能の全貌がスクリーンショット付きで理解できる、手順書のような本でした。Microsoft製品あるある(!?)な気もしますが、アレコレ導入していると、徐々に何がどこにあるのか、どんなことができるのか把握することが困難になってきます。ディスっているわけではなく、多機能な製品であるからこそ、ユーザーもしっかりと使いこなしていかないと勿体無い!と思っています。
一方で、KQLでも触れた通り、特定の機能のハイレベルな使い方の様な内容は無いでしたので、その辺りは続編を待ちましょう(笑)
是非、気になった方は読んでみてくださいませm(o・ω・o)m