この記事では、侵入テスト (ペン テスト) または侵害と攻撃シミュレーション (BAS) ツールの使用中に発生する可能性がある一般的な課題と潜在的な構成の誤りについて説明します。 この記事では、調査のために潜在的な偽陰性を提出する方法についても説明します。
ペンテスト中の一般的な課題
環境の現在の構成をテストします。これは、Microsoft Defender for Endpointまたはウイルス対策Microsoft Defender最適な構成ではない可能性があります。
メタデータが見つからない場合に クラウド保護の爆発に進む可能性があるため、クラウド保護を有効にすることに関する懸念。 Microsoft Defenderウイルス対策とクラウド保護の詳細については、「ハイブリッド検出と保護」を参照してください。
注:
複数のペイロードをダウンロードしていて、Microsoft Defenderウイルス対策で一部のペイロードが修復されないことに気付いた場合は、発生している内容が真陽性ではない可能性があり、Microsoft 以外のベンダーが誤検知を示している可能性があることに注意してください。 調査のために可能な偽陰性を送信する方法 (この記事で) を参照してください。
ペン テスト中のMicrosoft Defender ウイルス対策の一般的な構成ミス
侵入テスト担当者は、攻撃の実行中にMicrosoft Defenderウイルス対策の機能を無効にするのが一般的です。 その前に、次の設定が構成されていることを確認します。
改ざん防止 はブロック モードで有効になっています。
Microsoft Defenderウイルス対策は、パッシブ モードではなく、プライマリ ウイルス対策として実行されています。 Microsoft 以外のウイルス対策を使用している場合は、ペン テスト中にアンインストールすることをお勧めします。
リアルタイム保護 が有効になっています。
動作の監視 が有効になっています。
ペイロードのコピー後に、ペイロードがある場所に ウイルス対策の除外 を追加する。 ペイロードをデバイスにコピーした後、ウイルス対策の除外を削除して、Microsoft Defenderウイルス対策がペンテスト中に検出をブロックできるようにします。
AttackIQ、Cymulate、SafeBreach などの BAS ツールにウイルス対策の除外がないことを確認します。
クラウド配信の保護 が有効になっています。
クラウド保護サンプルの送信 が有効になっています。
クラウド保護ネットワーク接続 が機能しています。
望ましくない可能性のあるアプリ (PUA) からの保護が有効になっています。
攻撃面縮小ルール (ASR ルール) はブロック モードに設定されます。
Network Protection はブロック モードに設定されています。
フォルダー アクセス制御 (CFA) はブロック モードに設定されています。
設定を正しく設定することが重要です。 構成ミスの問題を解決するには、次の記事を使用します。
| OS | 管理ツール | 記事 |
|---|---|---|
| Windows | Microsoft Defender for Endpointセキュリティ設定の管理 (推奨) |
Microsoft Defender エンドポイント セキュリティ設定管理 (エンドポイント セキュリティ ポリシー) を使用してMicrosoft Defenderウイルス対策を評価する |
| Windows | グループ ポリシー | グループ ポリシーを使用してMicrosoft Defenderウイルス対策を評価する |
| Windows | PowerShell | PowerShell を使用してMicrosoft Defenderウイルス対策を評価する |
| Mac | Microsoft Defender for Endpointセキュリティ設定の管理、Intune、Jamf またはその他のツール | macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する |
| Linux | Microsoft Defender for Endpointセキュリティ設定の管理または別のツール。 | Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する |
調査のために可能性のある偽陰性を提出する方法
手順 1: Microsoft Defender for Endpoint診断ログを収集する
MDE クライアント アナライザー ログを使用する
| オペレーティング システム | 操作 |
|---|---|
| Windows | ライブ応答またはローカルを使用して、診断ログを収集できます。 |
| Mac | ローカルで収集できます。 |
| Linux | ライブ応答またはローカルを使用して収集できます。 |
ウイルス対策診断データのMicrosoft Defender (MpSupport.cab)
| オペレーティング システム | 操作 |
|---|---|
| Windows | 1. デバイスで、管理者としてコマンド プロンプトを開きます。 2. MpCmdRun.exe -getfiles というコマンドを実行します。 調査パッケージは、Microsoft Defender ポータルで収集することもできます。 |
| Mac | 1. デバイスで、ターミナル (シェル セッション) を開きます。 2. 次のコマンドを実行します: mdatp log level set--level debug。 3. 次のコマンドを実行します: sudo mdatp diagnostic create。 詳細については、「Mac でのMicrosoft Defender for Endpointのリソース」を参照してください。 |
| Linux | 1. デバイスで、ターミナル (シェル セッション) を開きます。 2. 次のコマンドを実行します: mdatp log level set--level debug。 sudo mdatp diagnostic create. 詳細については、「Linux リソースのMicrosoft Defender for Endpoint」を参照してください。 |
手順 2: 情報を収集する
次の情報が準備されていることを確認します
orgID をMicrosoft Defenderします。 Microsoft Defender ポータルで、[設定>Microsoft Defender XDR>Account>Org ID] に移動します。
デバイス ID。 Microsoft Defender ポータルで、デバイス ページを開きます。
バイナリ名。
テストが
HH:MM:SS UTC形式で実行されたときの開始と終了。問題を再現する手順をペイロードのサンプルと共に提供できれば、非常に有益です。
手順 3: できるだけ早く Microsoft にデータを送信する
できるだけ早く Microsoft に報告することが重要です。 高度なハンティング テレメトリ データは、30 日後にラップされ、上書きされます。 Microsoft Defender セキュリティ インテリジェンス (MDSI) ポータルまたはMicrosoft Defender ポータルを使用して、ファイルを送信できます。
| ポータル | 説明 |
|---|---|
| MDSI ポータル | MDSI ポータルは、Microsoft Defender セキュリティ インテリジェンスによって提供されるサービスです。 これにより、ユーザーはマルウェア分析のためにファイルを送信できます。 Microsoft Defenderセキュリティ研究者は、これらのファイルを分析して、それらが脅威、不要なアプリケーション、または通常のファイルであるかどうかを判断します。 ポータルは、調査のMicrosoft Defender、分析のためにファイルを送信し、提出の結果を追跡するための検出の懸念を報告するために使用されます。 |
| Microsoft Defender ポータル | Microsoft Defender XDRするサブスクリプションがある場合、またはサブスクリプションに Defender for Endpoint Plan 2 が含まれている場合は、Microsoft Defender ポータルの [申請] ページを使用できます。 |
MDSI ポータルまたは Microsoft Defender ポータルを使用して、手順 1 ~ 2 で収集したデータを送信します。
- MDSI ポータル: MDSI ポータルに移動し、[ ファイルの送信] を選択します。 ページのガイダンスに従います。
- Microsoft Defender ポータル: Microsoft Defender for Endpointでファイルを送信するための管理者申請の使用に関するページを参照してください。
ファイルをアップロードした後、サンプル提出の
Submission IDを書き留めます (たとえば、7c6c214b-17d4-4703-860b-7f1e9da03f7f)。更新を待ちます。 Microsoft がサンプルを受け取った後、ファイルが調査され、決定が行われます。 Microsoft がサンプル ファイルが悪意があると判断した場合は、マルウェアが検出されないように修正措置を講じてください。
質問がある場合は、 サポートにお問い合わせください。