Microsoft Defender for
Endpoint
OSの標準機能を活用することで導入負荷を抑え、攻撃の検知から自動復旧までの迅速化を実現いたします。マイクロソフト社が収集した膨大な脅威情報を基に、最新の攻撃を素早く検知することが可能です。
- PC動作と更新トラブルを低減し、情シスが本来業務に集中できる
- AIで調査から隔離・修復まで数分で完了し即時封じ込めできる
- 脆弱性管理で修正すべき設定を特定し計画的に予防を実践できる
Windows OSの標準機能を利用しているから専用エージェントのインストールが不要
クラウドで運用される総合的なエンドポイントセキュリティソリューションであるMicrosoft Defender for Endpointで発生した検知アラートを監視し、当社のアナリストが判断した脅威レベル2~4のアラートに対してメールにてエスカレーション通知を行います。
このエスカレーション通知に対し、お客様は必要に応じてメールでの問い合わせが可能です。
アナリストによる判断をもとにセキュリティ対応の精度を向上させ、お客様内部セキュリティ担当者の負担を低くすることが可能です。
| SOC脅威レベル | 判断基準 | 監視内容 | 通知手段 |
|---|---|---|---|
| レベル4 | セキュリティ侵害が発生し、感染拡大や情報漏えいの懸念があり、早急な対処を推奨するイベント | アラート分析 ログの詳細分析 隔離を実施 (SLOを3時間とする) |
メール 電話(レベル4のみ) |
| レベル3 | 注意が必要または、セキュリティ侵害につながる事案が発生し、対処を推奨するイベント | ||
| レベル2 | SOCでは安全であるか判断できないイベント | アラート分析 ログの詳細分析 (ベストエフォート) |
メール |
| レベル1 | 分析で問題なしと判断できたイベント | アラート分析 | なし |
- ※ アラート分析の結果、レベル4、レベル3と判断した場合は、MDEの脅威レベルにかかわらず、隔離を実施します。
- ※ アラート分析の結果、レベル1と判断した場合は、MDEの脅威レベルにかかわらず、ご連絡(エスカレーション)はございません。
- ※ ホワイトリストチューニング期間中、隔離は実施しません。
Microsoft Defender for Endpointサービスについて
- 標準サービス内容
- アラートの成否判定
- エスカレーションメール通知
- 対処方法のご案内
- エスカレーション内容についてのQA対応
- アラート発生対象端末のネットワーク隔離
- 監視対象
- Microsoft Defender for Endpointが検知したアラートのSeverity(危険度)が Medium 以上のアラート。
- ただし、SecurityCenter によってブロックやプロセスが停止されたものは、脅威を防ぐことが出来たとし、監視の対象外とします。
- 対応方法
- エスカレーションレベルがLevel4、Level3のアラートについては、3時間以内にメールにて検知の正否をお伝えいたします。
- 環境に依存する可能性のあるアラートについては、お客様に対して正否等を確認させて頂くこともございます。
- Medium については、時間目標の対象外となり、当社が脅威と判断した場合のみ通知いたします。
サービスの詳細
| 大分類 | 中分類 | 内容(想定) | 提供機能 | 通知手段 | 対応時間 |
|---|---|---|---|---|---|
| 対象デバイス | Microsoft Defender for Endpoint |
Microsoft Defender for Endpointの監視対象は、EDR機能から監視に有効なセキュリティログとします。 ※ブロックまたは自動復旧機能で無害化されたアラートは、脅威を防ぐことができたイベントとし、分析対象外とします。 |
〇 | ー | ー |
| 対応OS | Microsoft Defender for Endpointのクライアント端末は、WindowsOS(システム要件は省く) | 〇 | ー | ー | |
| セキュリティ監視 | セキュリティ アラート監視 |
Microsoft Defender for Endpointの監視対象ログを監視します。SOCアナリストが脅威があると判断したアラートに対してアラート分析及びMicrosoft Defender Security Centerにログオンしてログの詳細分析を行います。 | 〇 | ー | 24時間 365日 |
| エスカレーション 通知 |
分析の結果に基づき、当社基準にてお客様に脅威があると判断したアラートのみをエスカレーション(通知)します。一次エスカレーション通知の後に、追加情報がある場合は、追って二次エスカレーション通知を行う場合があります。 脅威レベル3以上と判断したアラートについて、検知内容、分析結果、推奨対策案を含めたエスカレーションを行います。 |
〇 | メール (レベル4のみ 電話) |
24時間 365日 |
|
| セキュリティ インシデント 対応 |
分析結果に基づき、脅威レベル4、3のセキュリティインシデント対応を行います。 Microsoft Defender Security Centerの機能を用いて、管理画面にログオンしてクライアント端末のネットワーク隔離を実施します。 端末のネットワーク隔離から復帰については、お客様の判断、指示を元に対応を行います。 |
〇 | メール | 24時間 365日 |
|
| ホワイトリスト 対応 |
ホワイトリスト 追加登録 |
Microsoft Defender for Endpointがお客様の利用しているソフトウェアを検知(誤検知)することがあり、誤検知させないための設定です。 明らかに業務利用のソフトウェアが検知されていることが判明した場合は、検知対象外リスト(ホワイトリスト)へ登録します。 明らかに業務利用と断定出来ない場合は、SOCアナリストからエスカレーションする際にホワイトリスト追加登録の打診を実施します。 打診に基づき、お客様からホワイトリスト追加登録いの依頼をメールでご連絡頂き、登録後にメール返信で連絡させて頂きます。 |
〇 | メール | 当社営業日 9時~19時 |
| 問い合わせ対応 | セキュリティ アラート |
エスカレーションした内容に関する、お客様からのお問い合わせに対して回答します。 | 〇 | メール | 24時間 365日 |
| 製品仕様 | ※製品の仕様・不具合に関するお問い合わせは製品サポート窓口にお願いします。 | ー | ー | ー |
監視・エスカレーション運用フロー詳細(レベル3~4アラート時)
エスカレーションサンプル
Level2
1.検知イベント概要
検知機器 : Microsoft Defender for Endpoint
検知日時 : 20YY/MM/DD ●●:●●
接続元IPアドレス : 192.168.xxx.xxx
接続先IPアドレス : –
接続先ポート : –
2.脅威判定
(1)見解
脅威レベルは「 2 」(脅威が無いとSOCでは判断できず、お客様に確認(業務上正常な動作か等)や判断を依頼するイベント)となります。
不審なWordファイルをオープンしたことでmshtaが実行されたことを検知しました。
mshtaは正規のファイルですが、ファイル名が変更されており、以下のコマンドが実行された形跡がございました。
「C:\Temp\in.com” C:\Temp\in.html 以下省略 (※不審なコードのため、省略)」
実行した結果、不審なサイトへの通信は発生していないと考えられます。
(2)影響範囲
現時点では1.項の「端末IPアドレス」の端末のみで発生しております。
当該以外の不審な通信のログは確認されておりません。
(3)その他ログ
送信元IPアドレスから送信先IPアドレスに対して当該時刻に当該アラート以外のアラートはございませんでした。
(4)依頼事項
不審なWordファイルのオープンとPowerShell実行によりマルウェア感染した疑いがありますので
ネットワーク隔離とウイルススキャン等の措置をお願いします。
Level3
1.検知イベント概要
検知機器 : Microsoft Defender for Endpoint
検知日時 : 20YY/MM/DD ●●:●●
接続元IPアドレス : 192.168.xxx.xxx
接続先IPアドレス : –
接続先ポート : –
2.脅威判定
(1)見解
脅威レベルは「 3 」(注意が必要または、セキュリティ侵害につながる事案が発生し、対処を推奨するイベント)となります。
*当該端末はネットワーク隔離済みとなります。
不審なWordファイルをオープンしたことでPowerShellが実行されたことを検知しました。
以下、Wordファイルから以下のコマンドが実行されました。
「powershell.exe – 以下省略 (※不審なコードのため、省略)」
不審なコードはBase64でエンコードされており、デコードの結果、不審なドメインaaabbbccc[.]comへの
通信を行うコマンドが存在しております。
また、不審なドメインへの通信は発生しておりませんので、製品によってブロックされていると判断しております。
(2)影響範囲
現時点では1.項の「端末IPアドレス」の端末のみで発生しております。
当該以外の不審な通信のログは確認されておりません。
(3)その他ログ
当該アラート以外のアラートはございませんでした。
(4)依頼事項
不審なWordファイルのオープンとPowerShell実行によりマルウェア感染した疑いがありますので貴社にて措置をお願いします。
(措置後、端末の隔離解除をお願いします。)
関連サービス
本サービスへのお問い合わせ
お問い合わせは下記のフォームからお願いいたします。
お問い合わせの内容により、お返事までにお時間をいただく場合もございます。
営業・ご提案などのお問い合わせには個別にお返事できない場合があることをあらかじめご了承のほどよろしくお願いいたします。
※の項目は入力必須となっています。