Microsoft Defenderでの予測シールド (プレビュー)

予測シールド (プレビュー) は、進行中の攻撃の一部として脅威を予測して軽減するように設計されたプロアクティブな防御戦略です。 予測シールドにより、Microsoft Defender自律保護スタックが拡張され、プロアクティブな対策を使用して自動攻撃中断機能が強化されます。

この記事では、その機能とセキュリティ体制を強化する方法を理解できるように、予測シールドの概要について説明します。

予測シールドのしくみ、またはMicrosoft Defenderで予測シールドを管理する方法について説明します。

自動攻撃の中断で予測シールドがどのように拡張されるか

進化する脅威環境によって不均衡が生じます。防御者はすべての資産をセキュリティで保護する必要があり、攻撃者は 1 つの開口部しか必要となりません。 従来の防御は反応的であり、悪意のあるアクティビティが開始された後に対応します。 このアプローチにより、多くの場合、迅速または微妙に行動してリアルタイムで検出する攻撃者を追いかけます。 一部の攻撃者の動作を完全にブロックする必要がある一方で、静的防止によって生産性が中断され、運用オーバーヘッドが増加します。

これらの課題に対処するために、予測シールドは Defender の自律保護スタックを強化し、攻撃の 中断 を拡大して攻撃中のプロアクティブな対策を含め、リスクを予測し、必要な場合にのみターゲット保護を適用します。

このプロアクティブ なアプローチは、反応性追跡を減らし、運用上の負担を最小限に抑え、使いやすさを維持し、攻撃者が前進する前に環境を保護します。

攻撃の中断は侵害された資産を識別して含みますが、予測シールドは潜在的な攻撃の進行を予測し、脆弱な資産またはパスを事前に制限します。 たとえば、自動攻撃の中断によって侵害されたデバイスが分離されますが、予測シールドによって、リスクの高いデバイスの機密データへのアクセスが事前に制限される可能性があります。

予測シールドのしくみ

予測シールドでは、予測分析とリアルタイム分析情報を使用して、新たなリスクを動的に特定し、ターゲット保護を適用します。

予測シールドでは、ポスチャ、アクティビティ、シナリオ のコンテキストを統合して、潜在的な攻撃パスとターゲットを特定したり、重要な資産を選択的に強化したり、攻撃パスをジャスト イン タイムで制約したりできます。

このアプローチにより、運用上のオーバーヘッドが最小限に抑えられます。これにより、セキュリティ チームは対応する時間を増やします。 たとえば、予測シールドを使用すると、危険にさらされているデバイスの機密データへのアクセスを動的に制限できるため、広範な環境全体の制限が不要になります。

予測シールドは、次の 2 つの柱に依存します。

• 予測
  • 脅威インテリジェンス、攻撃者の行動、過去のインシデント、組織の露出を分析する必要があります。
  • Defender はこの予測データを使用して、新たなリスクを特定し、攻撃の進行の可能性を把握し、妥協のない資産に対するリスクを推測します。
• 適用により 、予防保護コントロールが適用され、潜在的な攻撃パスがリアルタイムで中断されます。

このデュアル アプローチにより、保護が正確かつタイムリーに行われます。

予測ロジック

予測により、組織はリスクのある資産を特定し、カスタマイズされた保護をリアルタイムで適用できます。 予測では、静的防止ではなく新たなリスクに焦点を当て、運用上の摩擦を最小限に抑え、必要に応じてセキュリティ対策を正確に適用します。 たとえば、特定の攻撃者ツールが検出された場合、予測シールドは、過去の攻撃パターンに基づいて次の可能性の高いターゲットを推論できます。

Defender では、複数の分析情報レイヤーを使用して、正確な予測を行います。

• 脅威インテリジェンスは、観察されたアクティビティを既知の攻撃者のツールと戦術に合わせて調整します。
• 過去のインシデントからの学習は、統計パターンを認識し、最も可能性の高い次の手順を推定するために使用されます。
• 組織の公開データは、環境がどのように構造化されているか、どの資産と ID が接続されているか、これらの ID に与えるアクセス許可、脆弱性や構成の誤り、およびリスクがそれらの全体に伝達される方法をマップするために使用されます。

これらの分析情報を組み合わせることで、環境とそのリスクを動的に理解できます。

グラフベースのロジック

グラフベースの予測ロジックは、侵害前システムと侵害後システムの間のギャップを埋め、組織トポロジ全体の攻撃者アクティビティの統合ビューを提供します。 この統合ビューには、organizationの資産、接続、脆弱性が含まれます。 グラフベースのロジックは、ライブ アクティビティ データと環境の構造マップを組み合わせたものです。

この統合により、Defender は最も重要な脆弱性に基づいて保護を動的に調整し、防御のリアルタイムの優先順位付けを可能にし、重要な資産に到達する前に攻撃者を停止することができます。

このプロセスには、次の 3 つの重要なステージが含まれます。

1. Defender は侵害後のアクティビティをorganizationの露出グラフにオーバーレイし、潜在的な攻撃パスの包括的なビューを作成します。
2. Defender は、特定されたアクティビティが影響を与える可能性がある関連資産であるブラスト半径を識別します。
3. 推論モデルは、攻撃者が受け取る可能性が最も高いパスを予測し、過去の動作、資産特性、および環境の脆弱性を考慮します。

この動的な理解により、Defender はリアクティブな応答を超えて移動でき、攻撃者が重要な資産に到達する前に、ジャストインタイム保護が可能になります。

予測シールド アクション

予測シールドでは、エンドポイントベースのアクションに Defender を使用します。 これらのアクションを使用するには、Defender for Endpoint ライセンスが必要です。

• セーフブートの強化 - セーフ モードでの起動に対してデバイスを強化します。 セーフ モードでの起動は、セキュリティ制御をバイパスし、侵害されたシステムに対する永続化を維持するために攻撃者が使用する一般的な方法です。

• GPO の強化 - グループ ポリシー オブジェクト (GPO) を強化して、攻撃者が GPO 設定の構成ミスや弱点を悪用して特権をエスカレートしたり、ネットワーク内を横方向に移動したりするのを防ぎます。

• プロアクティブ ユーザー包含 (ユーザーを含む) - 漏洩データを含むアクティビティ データを取り込み、侵害され、悪意のあるアクティビティを実行するために再利用されるリスクがある公開された資格情報を特定します。 これらの資格情報に関連付けられているユーザーのアクティビティを事前に制限します。

  注:

  包含ユーザー アクションは、攻撃の中断と予測シールドの両方で使用されますが、このアクションはコンテキストごとに異なる方法で適用されます。 予測シールドでは、包含ユーザー アクションは、予測ロジックを通じて高リスクとして識別されたユーザーに焦点を当てて、より選択的に制限を適用します。 このアクションは、既存のセッションを終了するのではなく、新しいセッションを防止します。

次の手順

• Microsoft Defenderで予測シールドを管理する - 予測シールド アクションを管理し、環境内での影響を調査する方法について説明します。
• Microsoft Defenderでの自動攻撃の中断 - 確認された悪意のあるアクティビティを特定して中和するために、自動攻撃の中断がどのように機能するかについて説明します。