Microsft Defender for Endpoint(以下MDfE)は、企業のPC・スマートフォン・サーバーなどのエンドポイントを高度なサイバー攻撃から守るための、統合セキュリティプラットフォームです。
MDfEの機能は多数ありますが、本記事では最近導入された「ライブ応答機能」について紹介します。
まだ、利用したことがない方や、これから利用する方向けに機能の概要と利用方法について紹介します。
ライブ応答機能の概要
本章ではライブ応答機能の概要について説明します。
ライブ応答機能とは
ライブ応答機能は、セキュリティ運用チームがエンドポイントにリモートでアクセスできる機能です。
端末から脅威を検知したら、現場に駆けつけることなくリアルアイムで調査・対処を行うことができます。
主な機能
本章ではライブ応答機能で遠隔操作できる主な機能の紹介をします。
- 調査系
- ファイルやプロセスの情報取得
- ネットワークの接続確認
- ログやレジストリ情報の取得
- 対処系
- 不審ファイルの隔離・削除
- スクリプトや実行ファイルをアップロードして実行
- 修復アクションの実施や元に戻す操作
- その他
- PowerShellスクリプトをライブラリにアップロードし、対象端末で実行
- ファイルのダウンロード
前提条件
ライブ応答機能を利用するために、事前に以下の条件を満たしておく必要があります。
- Windows10&11
- バージョン1909以降
- バージョン1903とKB4515384
- バージョン1809とKB4537818
- 1803(バージョンRS4)とKB4537795
- バージョン1709(RS3)とKB4537816
- macOS
- 最低限必要なバージョン:101.43.84
なお、MDfEには事前にオンボーディングしておいてください。
それ以外のOSの前提条件については、下記の公開情報をご参考ください。
https://learn.microsoft.com/ja-jp/defender-endpoint/live-response#prerequisites
ライブ応答機能の有効化
本章では、ライブ応答機能の有効化の方法について説明します。
- 下記のURLにアクセスし、MDfEのポータルにアクセスします。
https://security.microsoft.com/
- [システム]-[設定]をクリックします。
- [エンドポイント]をクリックします。
- 下記の3つの項目を有効化し、[ユーザー設定の保存]をクリックします。
- Live Response
- Live Response for Servers
- Live Responseの署名のないスクリプトの実行
ライブ応答機能の検証
本章では、実際にライブ応答機能を使用してスクリプトを実行します。
- MDfEのポータルにアクセスします。
- [アセット]-[デバイス]をクリックします。
- 今回、ライブ応答機能を実行する端末をクリックします。
- 右上の三点リーダーをクリックし、[ライブ応答セクションを開始する]をクリックします。
- ライブ応答機能のセクションが開始したら、左上に「接続済み」が表示されていることを確認します。
- ここからは、実際にコマンドを使用してライブ応答機能を確認します。今回はgetコマンドを使用して端末に保存されているファイルをリモートで取得してみます。下記のコマンドを入力して、端末に保存されているファイルをダウンロードします。
get C:\Users\MDEテストユーザー\Documents\MDE.txt
最後に
今回は、MDfEのライブ応答機能を紹介しました。
ライブ応答機能を利用することによって、管理者がユーザーの元に駆けつけなくても簡単なトラブルシュートが実施できるので、管理者の負担軽減にも繋がると思います。
なお、本文末で紹介したコマンドは、Microsoft Defender for Endpointのライブ応答で使用可能なコマンドの一部となります。ライブ応答で利用できるコマンドやWindowsの標準コマンドとの対応など、網羅的な一覧と最新の仕様は下記のMicrosoftの公開情報をご参照ください。
https://learn.microsoft.com/ja-jp/defender-endpoint/live-response#live-response-commands
金山 翔太(日本ビジネスシステムズ株式会社)
Microsoft製品(主にMicrosoft 365やIntune)などの設計に携わったことがあります。趣味はゲームとキャンプです。業務上で学んだことを発信していきます。
担当記事一覧