前回は EDR の構成を行いました。今回は EDR の動作テストを紹介します。
EDR 動作テスト
Microsoft 社から EDR の検知テスト方法とシミュレーション用のテストファイルが用意されているのでそちらを利用します。
本手順は必ずテスト機で行ってください。
業務で利用している PC を本手順を行うとセキュリティアラートが上がって、NW 遮断や各所への報告が必要になる可能性があります。ご注意ください。
管理コンソールでのデバイス確認
Microsoft 365 Defender(https://security.microsoft.com/)の管理センターを開き、アセット > デバイス の順にクリックし、テスト機が表示されていることを確認します。
※表示されていなければ構成や設定を見直してください。
検知テスト
テスト機でコマンドプロンプトを開き、下記コマンドを実行します。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
コマンドプロンプトは自動で閉じます。
完了後にMicrosoft 365 Defender 管理センターを開き、[インシデントとアラート] > [アラート] の順にクリックして、アラートが表示されればテスト完了です。
アラート名は「[Test Alert] Suspicious Powershell commandline」と表示されます。
アラートを開くとデバイス名など詳細な情報が表示されます。
サンプルマルウェアテスト
Microsoft 365 Defender 管理センターを開き、[エンドポイント] > [評価版/チュートリアル] の順に展開して、[チュートリアル & シミュレーション] をクリックします。
様々なメーカーが用意しているサンプルマルウェアがありますが、今回は Microsoft 社が出している [ドキュメントがバックドアをドロップする] でテストします。
[詳細情報] をクリックして説明書の PDF を開き、[シミュレーション ファイルの取得] をクリックしてファイルをダウンロードします。
テスト機の任意の場所にシミュレーションファイルを保存して、開きます。
開く際にパスワードが必要です。予め開いておいた説明用の PDF に下記のパスワードが記載されていますので、入力します。
WDATP!diy#
※パスワードは今後変更になる可能性もありますので、上のパスワードで開けない場合には 説明用の PDF を確認してください。
ファイルを開いたあとに [コンテンツの有効化] をクリックします。
サンプルウィルスですよと英語で警告がでますので [OK] をクリックします。
自動で処理が進み、下記のコマンドプロンプトの画面が表示されるため、何か任意のキーを押下すれば完了です。
任意の場所にバックドアとして [WinATP-Intro-Backdoor.exe] というファイルが作成されます。
※EPP とは異なり、端末側には何も表示されません。
完了後にMicrosoft 365 Defender 管理センターを開き、[インシデントとアラート] > [アラート] の順にクリックして、アラートが表示されればテスト完了です。
※アラートは多数表示されます。
また、[インデントとアラート] > [インシデント] から見ると1つのインデントに複数のアラートが纏まっていることが分かります。
以上で動作テストは完了です。
あとがき
今回は EDR の動作テストを紹介しました。
やはり高度なマルウェアを検知/処理する製品のため、EPP の動作テストよりは少し手順が多いです。
各手順をしっかり把握しておけば迷わずテストできると思います。
次回は検知したインシデントからレポート確認にて視覚的にどのようなインシデントが発生したのかを確認する方法や端末の NW 隔離/マルウェア検知後などの処理について確認していきたいと思います。
EDR は次回で最後の予定です!お楽しみに!
山口 翔平(日本ビジネスシステムズ株式会社)
Microsoft 365を中心としたゼロトラストやセキュリティ分野のシステムアーキテクトやプロジェクトマネジメントをしている。趣味はバイク、猫、お酒。
担当記事一覧