Windows Defender Advanced Threat Protectionサービス

2月上旬、Windows DefenderのATPサービスを使用した犯罪者の検出について説明しました。 サービスの運用に関するコメントにはさまざまな質問が出てきたため、機能の詳細な説明を共有することにしました。







要するに、Windows Defender ATPは、ネットワーク上のセキュリティの脅威を検出し、調査し、行動を起こすために使用できるセキュリティサービスです。 このサービスは、Windows 10に組み込まれたテクノロジーとMicrosoftクラウドサービスの組み合わせに基づいています。 そのような技術には以下が含まれます。

• ホスト動作センサー 。 これらのセンサーはWindows 10に組み込まれています。動作（プロセス、レジストリ、ファイル、ネットワークの相互作用など）に関するオペレーティングシステムの信号を収集および処理し、ATPサービスのプライベートな分離クラウドインスタンスにデータを送信します。
• クラウドセキュリティ分析 。 本質的には、行動信号を分析データに変換して脅威を特定することを可能にし、脅威を排除するための推奨事項にも役立ちます。
• 脅威分析 。 マイクロソフトには、専門家とデータセキュリティ部門が別々にあり、これに加えて、パートナーからの脅威に関する分析データが使用されます。 これにより、ATPサービスは攻撃の手段、技術、および方法を識別できます。 収集されているデータで関連する兆候を検出したときにユーザーに警告します。

概略的に、これらのサービスコンポーネントを以下に示します。







ホスト探索機能により、詳細なアラートを受信し、侵入の性質と範囲を把握できます。



Windows Defender ATPサービスは、さまざまなWindowsセキュリティテクノロジーと連携します。

• Windows Defender
• ロッカー
• デバイスガード

また、サードパーティのセキュリティソリューションと並行して動作することもできます。

Windows Defender Advanced Threat Protection Portalの概要

ATPポータルを使用して、脅威を監視して対応できます。 次のタスクを解決します。

• ホストからのアラートを表示、ソート、および分類します。
• 検出されたインジケータに関連する追加情報を検索します。 これらは、特定のファイルまたはIPアドレスにすることができます。
• さまざまなサービス設定を変更します：タイムゾーンとアラートルール。

ポータルインターフェイスには、次の4つのメインワークスペースが含まれます。

• （1）設定エリア
• （2）ナビゲーションエリア
• （3）メインポータル
• （4）検索

設定では、すべてが非常に明白です。



ナビゲーションパネルで、次のようなビュー

• 情報パネル （基本情報を表示するダッシュボード自体）;
• アラートキュー （新規、進行中、許可など）。

「コンピューター」セクションには、ATPサービスが保護するコンピューターのリストとそれらに関する情報が表示されます。



優先度設定を使用すると、電子メール通知またはデータストレージポリシー（つまり、テナントに保存されるデータの量）を構成できます。





ホスト管理セクションで、 ATPを使用するマシンを準備するためのパッケージをダウンロードできます。



ATPサービス。次の規則を使用します。

アラート-高度な攻撃と相関するアクティビティに関するメッセージ。



検出-検出されたマルウェアの脅威の兆候。



アクティブな脅威-検出時にアクティブに実行された脅威。



解決済み-脅威はコンピューターから削除されました。



未解決-脅威はコンピューターから削除されていません。

一般に、ATPを使用してセキュリティホールを調査する方法は、次の手順に分けることができます。

1. ダッシュボードまたはアラートキューにアラートを表示します。
2. 侵害（IOC）または攻撃（IOA）の指標の分析。
3. アラート、動作、およびコンピューターイベントのタイムラインの分析。
4. アラートの管理、脅威または潜在的なハッキングの理解、情報を収集して必要なものを判断し、アラートを処理します。

Windows Defender Advanced Threat Protectionダッシュボードを表示する

情報パネルのデータを分析することでATPの使用を開始するため、より詳細に検討します。 アラートとコンピューターに関するデータを使用すると、ネットワーク上の疑わしいアクティビティの事実、場所、および時間をすばやく確立できます。これにより、状況を理解するために必要なコンテキストが提供されます。 イベントの概要もここに表示され、コンピューター上の重要なイベントまたは動作を特定するのに役立ちます。 また、イベントおよびインジケータに関する詳細情報を下位レベルで開くこともできます。 アクティブタイルは、セキュリティシステムの全体的な状態を評価するための視覚的な手がかりを提供します。 そのようなタイルをクリックすると、対応するコンポーネントの詳細ビューが開きます。

ATPサービスアラート

[ ATPアラート ]タイルをクリックすると、過去30日間のネットワーク上のアクティブなATPサービスアラートの総数が表示されます。 アラートは、新規と実行中の2つのグループに分けられます。







各グループには、重大度レベルごとにサブカテゴリがあります。 それぞれの内側の数字をクリックすると、対応するカテゴリのキュービューを表示できます。

危険にさらされているコンピューター

このタイルには、最もアクティブなアラートを持つコンピューターのリストが表示されます。 各コンピューターのアラートの総数は、コンピューター名の横にある円で示されています。 タイルの反対側には、重大度レベル別にグループ化されたアラートの数があります。 暗い色のほうが危険であり、明るい色のほうが少ないと推測することは難しくありません。







[ ステータス]タイルには、サービスがアクティブかどうか、問題があるかどうか、および過去30日間にサービスにレポートを送信したコンピューターの数に関する情報が含まれます。



[ コンピューターレポート]タイルには、日ごとにアラートを送信したコンピューターの数を示すヒストグラムが含まれています。 ヒストグラムの個々の列にカーソルを合わせると、特定の日にアラートを送信したコンピューターの正確な数を確認できます。

アクティブなマルウェアが検出されたコンピューター

アクティブなマルウェアが検出されたコンピュータータイルは、エンドポイントでWindows Defenderが使用されている場合にのみ表示されます。 アクティブなマルウェアとは、検出時にアクティブに実行されていた脅威のことです。 各列にカーソルを合わせると、検出されたアクティブなマルウェアの数と、過去30日間に少なくとも1つのアクティブなマルウェアが検出されたホストの数を確認できます。







このスキームには、5つのカテゴリのマルウェアが含まれています。

• パスワード盗難プログラム -資格情報を盗むことを目的とした脅威。
• 恐mailは、コンピューターまたはファイルへのユーザーのアクセスをブロックし、アクセスを回復するために金を強要することを目的とした脅威です。
• エクスプロイト -ソフトウェアの脆弱性を使用してコンピューターに感染する脅威。
• 脅威 -パスワードを盗むためのプログラム、脅迫プログラム、およびエクスプロイトのカテゴリに属さないその他のすべての脅威。 このカテゴリには、トロイの木馬、ワーム、バックドア（バックドア）およびウイルスが含まれます。
• 低重大度 -ブラウザーの修飾子など、アドウェアや潜在的に望ましくないプログラムを含む、 低重大度の脅威。

マルウェアがネットワーク上で実行されている可能性が非常に高く、ディスクにローカルに保存されているだけではない場合、脅威はアクティブであると見なされます。



これらのカテゴリのいずれかをクリックすると、 コンピュータビューに移動し、対応するカテゴリのデータがフィルタリングされます。 これにより、どのコンピューターがアクティブなマルウェアを検出したか、各コンピューターに登録されている脅威の数に関する詳細情報を取得できます。

Advanced Threat Protectionアラートキューの表示と整理

Windows Defender ATPサービスアラートは、定期的な毎日のタスクを通じて管理できます。 アラートは、現在のステータスに従ってキューに入れられますデフォルトでは、キュー内のアラートは最新のものから古いものの順にソートされます次の表とスクリーンショットは、 アラートキューの主な領域を示しています。

選択したエリア	エリア名	説明
（1）	アラートキュー	新規 、 実行中、または許可されたアラートの表示を選択します
（2）	アラート	各アラートには次のデータが含まれます。 色付きの列としてのアラートの重大度レベル。 脅威のサブジェクトの名前を含むアラートの簡単な説明（帰属が可能な場合）。 いずれかのコンピューターにアラートを送信する最後のケース。 アラートが並んでいる日数。 アラート重大度レベル。 アラートタイプの一般的なカテゴリまたはアラート除去プロセスのステップ。 影響を受けるコンピューター（複数ある場合は、影響を受けるコンピューターの数が表示されます）。 アラートステータスを更新し、コメントを追加できるアラート管理メニューアイコン。 アラートをクリックすると、脅威に関する追加情報が表示され、タイムラインはアラートが作成された日付に移動します。
（3）	並べ替えと警告フィルター	アラートは、次のパラメーターでソートできます。 最新（脅威がネットワークに最後に出現した日付まで）。 キュー時間（キュー内の脅威の持続時間による）。 まじめ。 さらに、表示されたアラートは、パラメータでフィルタリングできます。 まじめ。 期間。

特定の基準に基づいて必要なアラートを識別するために、アラートキューをフィルタリングおよびソート（要約）できます。 これには、次の3つのメカニズムを使用できます。

1. [並べ替え]フィールドのドロップダウンメニューを使用して、次のいずれかのパラメーターを選択してキューを並べ替えます。
   
   
   
   
   • 最新 -エンドポイントに最後に表示された日付でアラートをソートします。
   • キュー時間 - キュー内の時間の長さでアラートをソートします。
   • 重大度 -重大度レベルでソートします。
   
   
   
2. アラートを重大度レベルでフィルタリングするには、[ フィルター ]フィールドのドロップダウンメニューで1つ以上のフラグを設定できます。
   
   
   
   
   • 高（赤）：通常、持続的な高度な脅威（APT）に関連する脅威。 このようなアラートは、ホストに引き起こされる可能性のある損傷の深刻さによる高いリスクを示します。
   • 中（オレンジ）：レジストリの異常な変更、疑わしいファイルの実行、攻撃のさまざまな段階に典型的な動作など、まれにしか発生しない脅威。
   • 低（黄色）：一般的なマルウェアやハッキングツールに関連する脅威で、複雑さが増す脅威を示していません。
     
     
     
     
3. キューの表示部分は、日付範囲フィールドのドロップダウンメニューを使用して、さまざまな指定期間によって制限できます（デフォルト値は6か月です ）。

ソート順を変更するには（たとえば、最新のアラートではなく最も古いアラートを最初に表示する）、ソート順アイコンをクリックします。

Windows Defender Advanced Threat Protectionアラート分析

分析を開始し、詳細情報を取得するには、任意のキューの通知をクリックする必要があります。



アラートの詳細には次のものが含まれます。

• アラートが最後に作成された日付と時刻。
• アラートの説明。
• 推奨されるアクション。
• インシデントをカウントします。
• アラートの作成につながったインジケーター。

攻撃者またはサブジェクトのアクションと関連付けられているアラートの場合、サブジェクトの名前が付いた色付きのタイルが表示されます。



サブジェクトの名前をクリックすると、サブジェクトの簡単な概要、彼の興味や目標に関する情報、戦術、方法、手順、世界中の彼の活動に関する情報など、彼の脅威分析プロファイルを見ることができます。 推奨される応答アクションのセットも表示されます。









インシデントグラフには、アラートの場所、その作成につながったイベント、およびイベントの影響を受ける他のコンピューターの視覚的表現が含まれます。 このグラフは、ソースコンピューターでのアラートの効果と、このイベントが他のコンピューターでのアラートにどのように影響したかを示しています。



インシデントグラフの円をクリックして、ノードを展開し、アラートに関連付けられているイベントまたはファイルを表示できます。







Windows DefenderのATPサービスはWindows 10 Enterpriseのコアに組み込まれているため、その作業は無料で評価できます。