16/10/06 11:42:08.19 CAP_USER.net
URLリンク(www.itmedia.co.jp)
こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。
今回は、8月2日にリリースした「Anniversary Update」で追加された新機能「Windows Defender ATP(Advanced Thread Protection)」をご紹介します。
今や多くの企業にとって、標的型攻撃をはじめとするサイバー攻撃は、経営を揺るがしかねない脅威となっています。
もし自分の会社が攻撃に遭ってしまったらどうすればいいのか―と対策を進める企業は多いのではないでしょうか。
これまでWindowsでは、端末への攻撃を未然に防ぐ機能をそろえてきましたが、Windows Defender ATPは“端末が攻撃され、
マルウェアに感染した後”に重点を置いているのが特徴だと言えます。
マルウェア感染後に重点を置いた「Windows Defender ATP」
通常の標的型攻撃は、なりすましメールに添付したexeファイルを起動させ、デバイスをマルウェアに感染させます。
そして、どのポートが開いているのかを探してバックドアを仕込み、C&Cサーバとアクセスを確立させて横展開―といったフローで行われます。
こうした攻撃をいち早く検知するため、Windows Defender ATPでは、プロセッサやレジストリ、ファイル、
ネットワークといったクライアントの動作ログを収集し、平時と異なる挙動があるかどうかを監視します
。さらに、クライアントの動作ログを、ユーザーが契約したAzureの専用テナントにアップすることで、
第三者機関や同社のセキュリティチームが収集した脅威情報データベースと照合できます。
Azure上には、10億台を超えるWindowsデバイスや2兆5000億のインデックスされたURL、6億件のオンライン評価、
そして、毎日発生する100万件の不審なファイルなどから得られる情報が蓄積されています。この膨大な情報を分析することで、
異常な挙動がすぐに識別できるというわけです。
照合の結果、異常だと判定されればアラートが出て、管理者が専用テナントにアクセスして分析結果を確認する―といった仕組みで、
インシデントの早期発見を導きます。SIEM(Security Information and Event Management)などを導入していれば、
情報をエクスポートして一元管理することも可能です。
これらの機能は、Anniversary Updateを適用した「Windows 10 Pro」または「Windows 10 Enterprise」に
標準搭載しているため、追加インストールなしで使用できます(ただし、ライセンスの契約が別途必要です)。
(以下略)