Microsoft Defenderがランサムウェア拡散を阻止する自動隔離機能を搭載

Microsoft Defender XDRは、侵害された資産を隔離することでランサムウェアや高度なサイバー攻撃をリアルタイムで自律的に封じ込める、自動攻撃妨害機能を導入しました。

この高度な機能は、数百万件のセキュリティシグナルを相関分析して高い確信度でアクティブな脅威キャンペーンを特定し、企業ネットワーク全体に拡散する前に攻撃を自動的に妨害します。

自動攻撃妨害システムは、アクティブな脅威を無力化するために3つの重要な段階を経て動作します。まず、Microsoft Defenderがエンドポイント、ID、メール共同作業ツール、SaaSアプリケーションからのシグナルを統合された高確信度インシデントに相関させます。

次に、攻撃者によって制御され横方向への移動に使用されている特定の資産を特定します。最後に、Microsoft Defender製品全体で自動応答アクションを実行し、影響を受けた資産をシャットダウンすることでリアルタイムに脅威を封じ込めます。

この機能は、単一の侵害指標に依存する従来のセキュリティアプローチを超えるものです。代わりに、拡張検出と応答（XDR）シグナルを活用してインシデントレベルで攻撃チェーン全体を分析し、誤検知を最小限に抑えながら包括的な脅威の封じ込めを実現します。

ランサムウェア拡散を阻止する自動隔離機能

Microsoftは、本番データに基づく自動封じ込めアクションに対して99%以上の確信度を維持しています。このシステムは、グラフモデル、勾配ブースト決定木、ニューラルネットワーク、および相関テレメトリ、脅威インテリジェンス、過去のインシデント分析で訓練された特殊な小型言語モデルを含むアンサンブル機械学習モデルを使用しています。

すべての検出器は、広範な展開前に監査モードで厳格なリリース前検証を受けます。Microsoftのセキュリティ専門家は妨害アクティビティを継続的に監視し、異常な動作に対する24時間365日の運用カバレッジとともに、長期的な検出品質を維持するために影響を評価します。

自動攻撃妨害機能は、脅威のシナリオに基づいて複数の封じ込めメカニズムを展開します。デバイス隔離は、継続的な監視のためにMicrosoft Defenderサービスへの接続を維持しながら、侵害されたエンドポイントをネットワークから自動的に切断します。

このプレビュー機能はエンドユーザーのワークステーションを対象とし、セキュリティチームが調査後に解除できる時間制限付きの隔離を適用します。

管理されていないデバイスに対しては、未発見または未オンボードのデバイスに関連する悪意のあるトラフィックをブロックするIPアドレス封じ込めを実装します。

ドメインコントローラーなどの重要な資産は、ビジネス運営を維持しながら攻撃の拡散を防ぐために特定のポートと通信方向をブロックする、きめ細かな封じ込めを受けます。

ユーザーアカウントの停止は、もう一つの重要な応答アクションです。Defender for Identityは、侵害されたアカウントをActive Directory、Microsoft Entra ID、または統合されたIDプロバイダーで自動的に無効化し、横方向への移動、悪意のあるメールボックスの使用、マルウェアの実行を防止します。システムはアカウント無効化を実行する前に、ロールベースのアクセス制御を使用してサインインしたユーザーのロールを検証します。

セキュリティオペレーションチームは、攻撃の調査と修復に対する完全な制御を維持します。すべての自動アクションは元に戻すことができ、管理者はインシデントキュー内の専用の攻撃妨害タグ、黄色のステータスバナー、およびインシデントグラフ内の更新された資産ステータスインジケーターを通じて視覚的な通知を受け取ります。

組織は、デバイスが隔離された状態でも管理ツールやビジネスアプリケーションの重要な通信を保持するために、選択的な隔離除外を設定できます。

さらに、自動攻撃妨害の除外設定により、セキュリティチームはビジネスクリティカルなデバイスが最初から自動隔離されないようにすることができます。

自動攻撃妨害を有効にするには、組織はMicrosoft Defenderポータルでデバイスグループポリシーと修復レベルを確認する必要があります。

管理者は、ユーザーアカウント、デバイスグループ、IPアドレスの自動応答除外を設定するために、Microsoft Entra IDでグローバル管理者またはセキュリティ管理者のロールが必要です。

この機能は既存のMicrosoft Defender XDR展開とシームレスに統合され、すべての応答アクションに対してメール通知を提供します。

セキュリティチームはアクションセンターを通じてすべての自動化されたアクティビティを追跡し、インシデントタイムラインを確認して攻撃チェーン全体と応答シーケンスを把握できます。

自動攻撃妨害は、横方向への移動を早期に制限し、財務コストから生産性の損失に至る攻撃全体の影響を軽減することで、ランサムウェア防御における重要な進歩を表しています。

この組み込みの自己防御機能により、セキュリティチームが高度な攻撃を調査して完全に修復する間も、組織はより迅速に脅威を封じ込めることができます。

最新情報を入手するにはGoogle ニュース、LinkedIn、Xでフォローし、GoogleでGBHを優先ソースに設定してください。