Microsoft Defender XDRで欺瞞機能を構成する

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

注:

Microsoft Defender XDRの組み込みの欺瞞機能は、Microsoft Defender for Endpointにオンボードされているすべての Windows クライアントを対象とします。 Microsoft Defender for Endpointへのオンボードでクライアントを Defender for Endpoint にオンボードする方法について説明します。

Microsoft Defender XDRには、人間が操作する横移動を使用する影響の大きい攻撃から環境を保護するために、詐欺技術が組み込まれています。 この記事では、Microsoft Defender XDRで欺瞞機能を構成する方法について説明します。

欺瞞機能を有効にする

欺瞞機能は既定でオフになっています。 有効にするには、次の手順に従います。

  1. [ 設定エンドポイント]>を選択します
  2. [ 全般] で、[ 高度な機能] を選択します。
  3. 欺瞞機能を探し、スイッチを [オン] に切り替えます。

欺瞞機能を構成するためのDefender XDR設定のスクリーンショット

欺瞞機能が有効になっている場合、既定のルールが自動的に作成され、オンになります。 それに応じて編集できる既定のルールでは、organization内のすべてのターゲット デバイスに対して、これらを誘惑および植物に統合されたデコイ アカウントとホストが自動的に生成されます。 欺瞞機能のスコープは、organization内のすべてのデバイスに設定されますが、誘惑は Windows クライアント デバイスにのみ設定されます。

欺瞞機能によって生成される既定のルールのスクリーンショット

欺瞞規則をCreateして変更する

注:

Microsoft Defender XDRは現在、最大 10 個の詐欺ルールの作成をサポートしています。

欺瞞ルールを作成するには、次の手順を実行します。

  1. [設定エンドポイント]> に移動します。 [ ルール] で、[ 欺瞞ルール] を選択します。
  2. [ 欺瞞ルールの追加] を選択します欺瞞ルールの設定でのルールの追加関数のスクリーンショット
  3. ルール作成ウィンドウで、ルール名、説明を追加し、作成するルアーの種類を選択します。 基本と高度な両方の種類のルアーを選択できます。 [欺瞞ルールの追加] ページのスクリーンショット
  4. スコープ セクションにルアーを植える予定のデバイスを特定します。 すべての Windows クライアント デバイスまたは特定のタグを持つクライアントで、誘惑を植え付けることができます。 現在、欺瞞機能は Windows クライアントに対応しています。 欺瞞ルールのスコープ ページのスクリーンショット
  5. その後、欺瞞機能は、おとりアカウントとホストを自動的に生成するのに数分かかります。 欺瞞機能では、Active Directory でユーザー プリンシパル名 (UPN) を模倣するデコイ アカウントが生成されることに注意してください。
  6. 自動的に生成されたデコイを確認、編集、または削除できます。 このセクションでは、独自のデコイ アカウントとホストを追加することもできます。 誤検知を防ぐには、追加されたホスト/IP アドレスがorganizationで使用されていないことを確認します。 欺瞞ルールのデコイ ページのスクリーンショット
  7. おとりアカウント名、ホスト名、および誘惑がデコイセクションに植えられているIPアドレスを編集できます。 IP アドレスを追加するときは、サンドボックス IP がorganizationに存在する場合に使用することをお勧めします。 一般的に使用されるアドレス ( 127.0.0.110.0.0.1 など) は使用しないでください。 デコイ ホストの編集のスクリーンショット デコイ アカウントの編集のスクリーンショット

注意

誤検知アラートを回避するために、デコイ アカウントとホストを作成および編集するときに、一意のユーザー アカウントとホスト名を作成することを強くお勧めします。 作成されたユーザー アカウントとホストが、詐欺ルールごとに一意であり、これらのアカウントとホストがorganizationのディレクトリに存在しないことを確認します。

  1. [ルアー] セクションで自動生成またはカスタム のルアーを使用するかどうかを特定します。 [カスタムのルアーのみを使用して独自のルアーをアップロードする] の下にある [新しいルアーの追加] を選択します。 カスタム・ルアーは、任意のファイル・タイプ (.DLL および .EXE ファイルを除く) にすることができ、それぞれ 10 MB に制限されます。 カスタム のルアーを作成してアップロードする場合は、前の手順で生成した偽のホストまたは偽のユーザー アカウントを含めるか、メンションして、攻撃者にとって魅力的な魅力を確保することをお勧めします。 [add new lure]\(新しい誘惑の追加\) オプションのスクリーンショット
  2. ルアー名と、ルアーが植えられるパスを指定します。 その後、スコープセクションでカバーされているすべてのデバイスにルアーを植え、隠しファイルとしてルアーを植えたい場合は、 を選択できます。 これらのボックスをオフのままにすると、欺瞞機能によって、スコープ内のランダムなデバイスに誘導が自動的に植え付けられます。 [新しいルアーの詳細の追加] ウィンドウのスクリーンショット
  3. [概要] セクションで、作成されたルールの詳細を確認します。 ルールの詳細を編集するには、変更する必要があるセクションで [編集] を選択します。 確認後 に [保存] を選択します編集オプションを持つセクションを示す詐欺ルールの詳細ウィンドウのスクリーンショット
  4. 新しいルールは、作成が正常に完了した後、[欺瞞ルール] ウィンドウに表示されます。 ルールの作成を完了するには、約 12 から 24 時間かかります。 [状態] を確認して、ルールの作成の進行状況を監視します。
  5. 対象となるデバイスと植えられたデコイと誘惑の詳細など、アクティブなルールの詳細をチェックするには、ルール ウィンドウで [エクスポート] を選択します。 エクスポート詐欺ルールの詳細オプションのスクリーンショット

欺瞞ルールを変更するには、次の手順を実行します。

  1. [欺瞞ルール] ウィンドウで変更するルールを選択します。
  2. ルールの詳細ウィンドウで [ 編集] を 選択します。
  3. ルールをオフにするには、編集ウィンドウで [オフにする ] を選択します。
  4. 欺瞞ルールを削除するには、編集ウィンドウで [削除 ] を選択します。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします