Microsoft Defender for Endpoint評価ラボ
適用対象:
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
包括的なセキュリティ製品評価を実施することは、エンド ツー エンドの攻撃シミュレーションを実際に実行する前に、煩雑な環境とデバイス構成を必要とする複雑なプロセスになる可能性があります。 複雑さに加えて、シミュレーションアクティビティ、アラート、および結果が評価中に反映される場所を追跡する課題があります。
Microsoft Defender for Endpoint評価ラボは、デバイスと環境の構成の複雑さを排除するように設計されているため、プラットフォームの機能の評価、シミュレーションの実行、防止、検出、修復機能の動作の確認に集中できます。
簡単なセットアップ エクスペリエンスを使用すると、独自のテスト シナリオと事前に作成されたシミュレーションの実行に集中して、Defender for Endpoint のパフォーマンスを確認できます。
自動調査、高度な捜索、脅威分析など、プラットフォームの強力な機能にフル アクセスできるため、Defender for Endpoint が提供する包括的な保護スタックをテストできます。
Windows 10、Windows 11、Windows Server 2019、Windows Server 2016、Linux (Ubuntu) デバイスを追加できます。このデバイスは、最新の OS バージョンと適切なセキュリティ コンポーネントと Office 2019 Standard がインストールされるように事前に構成されています。
脅威シミュレーターをインストールすることもできます。 Defender for Endpoint は、業界をリードする脅威シミュレーション プラットフォームと提携し、ポータルから離れることなく Defender for Endpoint 機能をテストするのに役立ちます。
任意のシミュレーターをインストールし、評価ラボ内でシナリオを実行し、プラットフォームのパフォーマンスを即座に確認できます。すべて追加コストなしで便利に利用できます。 また、シミュレーション カタログからアクセスして実行できるさまざまなシミュレーションに簡単にアクセスできます。
はじめに
ライセンス要件を満たすか、評価ラボにアクセスするためにMicrosoft Defender for Endpointへの試用版アクセス権を持っている必要があります。
次に対する セキュリティ設定の管理 アクセス許可が必要です。
- ラボを作成する
- デバイスを作成する
- パスワードのリセット
- シミュレーションを作成する
ロールベースのアクセス制御 (RBAC) を有効にし、少なくとも 1 つのマシン グループを作成した場合、ユーザーはすべてのマシン グループにアクセスできる必要があります。
詳細については、「 ロールの作成と管理」を参照してください。
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
ラボの概要
メニューからラボにアクセスできます。 ナビゲーション メニューで、[評価とチュートリアル] 評価ラボを>選択します。
注:
- 選択した環境構造の種類に応じて、デバイスはアクティブ化日から指定された時間に使用できます。
- 各環境は、限られた一連のテスト デバイスでプロビジョニングされます。 プロビジョニングされたデバイスを使い切って削除したら、さらにデバイスを要求できます。
- ラボ リソースの要求は、月に 1 回行うことができます。
ラボは既に存在しますか? 新しい脅威シミュレーターを有効にし、アクティブなデバイスを持っていることを確認します。
評価ラボをセットアップする
ナビゲーション ウィンドウで、[評価チュートリアルの評価&] ラボを選択し、[セットアップ ラボ] を選択します。>
評価のニーズに応じて、より長い期間のデバイスが少ない環境をセットアップするか、より短い期間のデバイスを多く設定するかを選択できます。 お好みのラボ構成を選択し、[ 次へ] を選択します。
(省略可能)ラボに脅威シミュレーターをインストールすることを選択できます。
重要
最初に、条項と情報共有に関する声明に同意し、同意する必要があります。
使用する脅威シミュレーション エージェントを選択し、詳細を入力します。 後で脅威シミュレーターをインストールすることもできます。 ラボのセットアップ中に脅威シミュレーション エージェントをインストールすることを選択した場合は、追加したデバイスに簡単にインストールできるという利点があります。
概要を確認し、[ セットアップ ラボ] を選択します。
ラボのセットアップ プロセスが完了したら、デバイスを追加してシミュレーションを実行できます。
デバイスを追加する
環境にデバイスを追加すると、Defender for Endpoint によって接続の詳細が適切に構成されたデバイスが設定されます。 Windows 10、Windows 11、Windows Server 2019、Windows Server 2016、Linux (Ubuntu) を追加できます。
デバイスは、最新バージョンの OS と Office 2019 Standard のほか、Java、Python、SysIntenals などの他のアプリで構成されます。
ラボのセットアップ中に脅威シミュレーターを追加することを選択した場合、すべてのデバイスに、追加したデバイスに脅威シミュレーター エージェントがインストールされます。
デバイスは、推奨される Windows セキュリティ コンポーネントをオンにして監査モードでテナントに自動的にオンボードされます。ユーザー側で作業を行う必要はありません。
テスト デバイスでは、次のセキュリティ コンポーネントが事前に構成されています。
- 攻撃面の減少
- 事前ブロック
- 制御されたフォルダー アクセス
- エクスプロイト保護
- ネットワーク保護
- 望ましくない可能性があるアプリケーション検出
- クラウドによる保護
- Microsoft Defender SmartScreen
注:
Microsoft Defenderウイルス対策がオンになります (監査モードではありません)。 Microsoft Defenderウイルス対策によってシミュレーションの実行がブロックされる場合は、Windows セキュリティを使用してデバイスのリアルタイム保護を無効にすることができます。 詳細については、「 常時オン保護を構成する」を参照してください。
自動調査の設定は、テナントの設定に依存します。 既定では、半自動化されるように構成されます。 詳細については、「 自動調査の概要」を参照してください。
注:
テスト デバイスへの接続は RDP を使用して行われます。 ファイアウォール設定で RDP 接続が許可されていることを確認します。
ダッシュボードで [デバイスの 追加] を選択します。
追加するデバイスの種類を選択します。 Windows 10、Windows 11、Windows Server 2019、Windows Server 2016、Linux (Ubuntu) の追加を選択できます。
注:
デバイスの作成プロセスで問題が発生した場合は、通知が送信され、新しい要求を送信する必要があります。 デバイスの作成に失敗した場合、許可されたクォータ全体に対してカウントされません。
接続の詳細が表示されます。 [ コピー ] を選択して、デバイスのパスワードを保存します。
注:
パスワードは 1 回だけ表示されます。 後で使用できるように、必ず保存してください。
デバイスのセットアップが開始されます。 これには、最大で約 30 分かかる場合があります。
[ デバイス] タブ を選択して、テスト デバイスの状態、リスクと露出レベル、シミュレーターのインストールの状態を確認します。
![[デバイス] タブ](images/machines-tab.png?view=o365-worldwide)
ヒント
[ シミュレーターの状態 ] 列で、情報アイコンにマウス ポインターを合わせると、エージェントのインストール状態を確認できます。
![[デバイス] タブ](images/machines-tab.png?view=o365-worldwide#lightbox)
ドメイン コントローラーを追加する
ドメイン コントローラーを追加して、複数のデバイスにわたる横移動や多段階攻撃などの複雑なシナリオを実行します。
注:
ドメインのサポートは、Microsoft 365 Defender ポータル (security.microsoft.com) でのみ使用できます。
ダッシュボードで [デバイスの 追加] を選択します。
Windows Server 2019 を選択し、ドメイン コントローラーとして設定を選択します。
ドメイン コントローラーがプロビジョニングされると、[デバイスの 追加] をクリックしてドメインに参加しているデバイスを作成できます。 次に、[Windows 10/ Windows 11] を選択し、[ドメインに参加] を選択します。
注:
一度に使用できるドメイン コントローラーは 1 つだけです。 ドメイン コントローラー デバイスに接続されているライブ デバイスがある限り、ドメイン コントローラー デバイスはライブのままになります。
その他のデバイスの要求
既存のすべてのデバイスが使用および削除された場合は、より多くのデバイスを要求できます。 ラボ リソースの要求は、月に 1 回行うことができます。
評価ラボ ダッシュボードで、[ その他のデバイスの要求] を選択します。
![[その他のデバイスの要求] オプション](images/request-more-devices.png?view=o365-worldwide)
構成を選択します。
要求を送信します。
![[その他のデバイスの要求] オプション](images/request-more-devices.png?view=o365-worldwide#lightbox)
要求が正常に送信されると、緑色の確認バナーと最後の提出日が表示されます。
要求の状態は、[ ユーザー アクション] タブで確認できます。これは、数時間以内に承認されます。
承認されると、要求されたデバイスがラボのセットアップに追加され、より多くのデバイスを作成できるようになります。
ヒント
ラボの詳細を確認するには、シミュレーション ライブラリを忘れないでください。
攻撃シナリオをシミュレートする
テスト デバイスに接続して独自の攻撃シミュレーションを実行するには、テスト デバイスを使用します。
次を使用して、攻撃シナリオをシミュレートできます。
- "Do It Yourself" 攻撃シナリオ
- 脅威シミュレーター
高度な捜索を使用して、データと脅威分析にクエリを実行して、新たな脅威に関するレポートを表示することもできます。
Do-it-yourself 攻撃シナリオ
事前に作成されたシミュレーションを探している場合は、 "Do It Yourself" 攻撃シナリオを使用できます。 これらのスクリプトは、安全で文書化されており、使いやすいです。 これらのシナリオでは、Defender for Endpoint 機能が反映され、調査エクスペリエンスについて説明します。
注:
テスト デバイスへの接続は RDP を使用して行われます。 ファイアウォール設定で RDP 接続が許可されていることを確認します。
デバイスに接続し、[接続] を選択して攻撃シミュレーションを実行 します。
![テスト デバイスの [接続] ボタン](images/test-machine-table.png?view=o365-worldwide)
Linux デバイスの場合:ローカル SSH クライアントと指定されたコマンドを使用する必要があります。
注:
初期セットアップ中にパスワードのコピーが保存されていない場合は、メニューから [パスワードのリセット] を選択して パスワードをリセット できます。
![[パスワードのリセット] オプション](images/reset-password-test-machine.png?view=o365-worldwide)
デバイスの状態が "パスワード リセットの実行" に変更され、数分後に新しいパスワードが表示されます。
デバイスの作成手順で表示されたパスワードを入力します。
デバイスで Do-it-yourself 攻撃シミュレーションを実行します。
![テスト デバイスの [接続] ボタン](images/test-machine-table.png?view=o365-worldwide#lightbox)
![[パスワードのリセット] オプション](images/reset-password-test-machine.png?view=o365-worldwide#lightbox)
脅威シミュレーターのシナリオ
ラボのセットアップ中にサポートされている脅威シミュレーターのいずれかをインストールすることを選択した場合は、評価ラボ デバイスで組み込みのシミュレーションを実行できます。
サード パーティのプラットフォームを使用して脅威シミュレーションを実行することは、ラボ環境の範囲内でMicrosoft Defender for Endpoint機能を評価するのに適した方法です。
注:
シミュレーションを実行する前に、次の要件が満たされていることを確認してください。
- デバイスを評価ラボに追加する必要があります
- 脅威シミュレーターは評価ラボにインストールする必要があります
ポータルで [ シミュレーションの作成] を選択します。
脅威シミュレーターを選択します。
シミュレーションを選択するか、シミュレーション ギャラリーを参照して、使用可能なシミュレーションを参照します。
シミュレーション ギャラリーには、次の情報からアクセスできます。
- シミュレーションの概要タイルまたは
- ナビゲーション ウィンドウの [評価とチュートリアル>] シミュレーション & のチュートリアルから移動し、[ シミュレーション カタログ] を選択します。
シミュレーションを実行するデバイスを選択します。
[ シミュレーションの作成] を選択します。
[シミュレーション] タブを選択して、シミュレーションの進行状況 を 表示します。シミュレーションの状態、アクティブなアラート、その他の詳細を表示します。
![[シミュレーション] タブ](images/simulations-tab.png?view=o365-worldwide)
![[シミュレーション] タブ](images/simulations-tab.png?view=o365-worldwide#lightbox)
シミュレーションを実行した後は、ラボの進行状況バーを確認し、自動調査と修復をトリガーしたMicrosoft Defender for Endpointを調べてください。 機能によって収集および分析された証拠を確認します。
豊富なクエリ言語と生のテレメトリを使用して高度な捜索を通じて攻撃の証拠を探し、脅威分析に記載されている世界中の脅威を確認します。
シミュレーション ギャラリー
Microsoft Defender for Endpointは、ポータル内からプラットフォームの機能をテストするための便利なアクセスを提供するために、さまざまな脅威シミュレーション プラットフォームと提携しています。
メニューの [シミュレーションとチュートリアル> シミュレーション] カタログに移動して、使用可能なすべてのシミュレーションを表示します。
サポートされているサードパーティの脅威シミュレーション エージェントの一覧が一覧表示され、特定の種類のシミュレーションと詳細な説明がカタログに表示されます。
カタログから直接使用可能な任意のシミュレーションを簡単に実行できます。
各シミュレーションには、攻撃シナリオの詳細な説明と、実行する高度な捜索クエリのサンプルとして使用される MITRE 攻撃手法などの参照が付属しています。
例:
評価レポート
ラボ レポートは、デバイスで実行されたシミュレーションの結果をまとめたものです。
一目で、次の情報をすぐに確認できます。
- トリガーされたインシデント
- 生成されたアラート
- 露出レベルに関する評価
- 観察された脅威カテゴリ
- 検出ソース
- 自動化された調査
フィードバックの提供
お客様のフィードバックは、高度な攻撃から環境を保護するうえで役立ちます。 製品の機能と評価結果から、エクスペリエンスと印象を共有します。
[フィードバックの提供] を選択して、お客様の意見をお聞かせください。
