・Microsoft Secure Score ・Attack Simulator ・Windows Defender ATP+条件付きアクセス ・Microsoft Security Graph API

1. © 2017 Microsoft Corporation. All rights
日本マイクロソフト株式会社
パートナー事業本部
パートナー技術統括本部
クラウドソリューションアーキテクト
青木祐二
40分でわかる
Microsoft セキュリティの最新情報

3. Microsoft Secure Score
マイクロソフトのセキュリティ
ベストプラクティスと比較した
現状の可視化
セキュリティレベル向上の
ためのガイダンス

4. Office 365, EMS, Windows 10
をサポート
Office 365 と
Windows 10 のスコアを
サマリ表示
Azure Active Directory
および Intune の
コントロールをサポート
59 のコントロールを
サポート

6. 66
Office 365
ATP
サンドボックス環境
で添付ファイルを実
行し不正な動きをす
るか確認
Cyber Kill Chain に基づく多層型防御のアプローチ (Protect・Detect・Response)
偵察 メールの
受信 添付ファイルを開く
URL をクリック 攻略行為
マルウェアや悪意の
あるコードの実行
攻撃者の
サーバーへ接続 持続性 権限の昇格 侵入拡大・ID侵害
リソースへの
アクセス内部偵察
偵察
Reconnaissance
攻撃
Exploitation
配送
Delivery
遠隔操作
Command & Control
Azure ATP
Golden Ticket や
特権アカウントの不正な
新規作成などの検知
Office 365 ATP
不正なリンクへの誘導を防御
Windows Defender
Exploit Guard
Attack Surface Reduction
Azure ATP
MS14-068 や MS11-013 の
悪用などの検知
Azure ATP
ディレクトリサービスへの
列挙攻撃などの検知
Azure ATP
Pass the Hash, Pass
the Ticket などの検知
Windows Defender
Application Guard
セキュアブラウザにより不正サイトを
介した攻撃を防御
Detect
Protect
Respond
Windows Defender
Exploit Guard
Network Protection
Windows Defender
Antivirus
既知のマルウェア検知、
Cloud Protection による
未知のマルウェアの検知
インストール
Install
Windows Defender
Exploit Guard
Controlled Folder Access
Windows Defender
Exploit Guard
Attack Surface Reduction
Windows Defender ATP
RLO 攻撃を検知
Windows Defender ATP
プロセスホロウィングなど
正規のプロセスからの攻撃を検知
Windows Defender ATP
バックドアなどの異常行動を検知
目的達成
Objectives
侵入拡大
Lateral Movement
Windows Defender
Credential Guard
Pass The Hash,
Pass the Ticket からの防御
Azure AD
Identity Protection
ID侵害を検知自動ブロック
Azure Information
Protection
情報の自動暗号化から丈
夫尾漏洩時の
トラッキングを可能
Threat
Intelligence
Office 365
に届いたメールを削
除可能
Microsoft
Cloud App Security
クラウドアプリの
ガバナンス強化、
シャドーIT検知

7. • 特定のユーザ・グループをターゲット
• フィッシングメールの作成
• 送信元：特定のメールアドレスを使用可能
*user@domainname.extensionの形式
• 件名
• 内容
• フィッシングメールの送信
• リンクをクリックするとフィッシングサイトへ
フィッシング攻撃 パスワードスプレイ攻撃 ブルートフォース攻撃
• 特定のユーザまたはグループをターゲット
• 単一のパスワードをターゲットユーザまたはグ
ループに行う
• 特定のユーザをターゲット
• パスワードリストを基にをターゲットユーザにブ
ルートフォース攻撃を行う
Sample:
http://portal.docdeliveryapp.com/Login/Phis
hed
https://protection.office.com/#/attacksimulator
Fall2017
Password1
qwerty
….
Password1

8. ⚫ プロアクティブ(予防的)なセキュリティ対策
攻撃シミュレータを使用すると、お客様はエンドユーザーに対してシミュ
レートされた攻撃を仕掛けることができます。ここから攻撃の際にエンド
ユーザーがどのように動作するかを判断し、ポリシーを更新し、組織を脅威
から保護するための適切なセキュリティ対策を実装できます
https://テスト用
なりすましサイト
ユーザーの「引っ掛かり」をモニタリング
ID
User01
User02
User03
User04
User05
Password
12345678
admin
qwerty
test
dog IDとパスワードを組みあわせて
ログオンを試行
標的型攻撃・ID侵害の
リスクを顕在化
Threat Intelligence

9. ⚫ 対応している攻撃シミュレーション
• スピアフィッシング
特定の被害者にメールを用いて悪意のある添付ファイルを開かせたり、悪意のあるURLへ誘導させて
意図的にアカウントや機密情報を不正入手しようとする攻撃
• ブルートフォース
特定のアカウントに対し、パスワードを次々設定してアカウントのログインを試みる攻撃。
辞書の単語を用いた辞書攻撃やアトランダムに文字列を設定する総当たり攻撃がある
• パスワードスプレー攻撃
1つのパスワードに対し、複数のアカウントを次々設定してアカウントのログインを試みる攻撃。
ブルートフォースと比較した場合、同一アカウントに複数のログイン試行を実施しないため
アカウントのロックアウトが発生せず、不正検知が露見しにくい

10. Office 365 攻撃シミュレーター セットアップ
10
【機能の設定方法】
攻撃シミュレーターを
実行するためには、
セットアップが必要
→【今すぐセットアップを
行う】を選択

11. Office 365 攻撃シミュレーター セットアップ
11
【機能の設定方法】
セットアップ完了
直後の画面
※MFA（多要素認証）の
設定はAppendixを参照
※セットアップ完了後まで数時間必要

12. Office 365 攻撃シミュレーターの設定
12
【機能の設定方法】
Office 365 管理者画面
→セキュリティ/コンプライアンス
→【脅威の管理】
→【攻撃シミュレーター】

13. スピアフィッシングの設定
13
【機能の設定方法】
→【攻撃の開始】

14. スピアフィッシングの設定
14
【機能の設定方法】
→【名前】に任意の名前を入力し、【Use Template】を選択
※メール本文を自身で作成したい場合は、 【Use Template】をクリックせずに
【次へ】をクリックしてください

15. スピアフィッシングの設定
15
【機能の設定方法】
→テンプレートを選択し、【次へ】をクリック

16. スピアフィッシングの設定
16
【機能の設定方法】
→送信対象となるユーザーを選択

17. スピアフィッシングの設定
17
【機能の設定方法】
→送信対象となるユーザーを選択し、【次へ】を選択

18. スピアフィッシングの設定
18
【機能の設定方法】
差出人：メール差出人を設定
差出人(メール)：差出人のアドレスを設定
実在していないアドレスも入力可能
フィッシングのログイン サーバのURL：
IDを搾取するなりすましのサイトを
ドリルダウンで選択
カスタム ランディングページのURL：(省略可能)
なりすましサイトログイン後、リダイレクトする
ページを指定
件名：
メールの件名を入力
確認後、【次へ】をクリック

19. スピアフィッシングの設定
19
【機能の設定方法】
以前の画面で【Use Template】を選択して
いればここにテンプレート文面が表示。
この画面でメール本文の内容をカスタ
マイズすることが可能
編集完了後、【次へ】を選択

20. スピアフィッシングの設定
20
【機能の設定方法】
【完了】を選択
ここで、Office365から訓練用のフィッシングメールがユーザへ送信

21. スピアフィッシングの設定
21
【メールの確認】
受信側で送信メールを確認

22. スピアフィッシングの設定
22
【メールの確認】
ここでは【口座の詳細情報を更新する】という
ボタンが訓練用なりすましサイトとして設定

23. スピアフィッシングの設定
23
【メールの確認】
なりすましサイトでは、Microsoftアカウントの
搾取をするために、IDとパスワードを要求

24. スピアフィッシングの設定
24
【メールの確認】
ここではスフィアフィッシングの訓練を実施したサイトとしてメッセージが表示
「カスタム ランディング ページの URL 」を設定した場合、そのURLが表示

25. ブルート フォース パスワード の設定
25
【機能の設定方法】
→【ブルート フォース パスワード】【攻撃の開始】を選択

26. ブルート フォース パスワード の設定
26
【機能の設定方法】
→【名前】に任意の文字列を入力し、【次へ】を選択

27. ブルート フォース パスワード の設定
27
【機能の設定方法】
→対象となるIDを選択し、【次へ】を選択

28. ブルート フォース パスワード の設定
28
【機能の設定方法】
→パスワードを手入力する場合、【攻撃で使用するパ
スワード】を手入力して、Enterを入力
複数のパスワードを入力したい場合はこれを繰り返す

29. ブルート フォース パスワード の設定
29
【機能の設定方法】
→【アップロード】からテキストファイルのパスワー
ドリストをアップロードして、パスワードをまとめて
登録することも可能(リストは最大4,500行まで)

30. ブルート フォース パスワード の設定
30
【機能の設定方法】
→【次へ】を選択

31. ブルート フォース パスワード の設定
31
【機能の設定方法】
→【完了】でパスワード攻撃を開始

32. ブルート フォース パスワード の設定
32
【機能の設定方法】
攻撃の進捗状況が表示。攻撃が終了するまでしばらく時間がかかる。

33. ブルート フォース パスワード の設定
33
【機能の設定方法】
→【レポートの表示】攻撃完了後、結果を確認

34. ブルート フォース パスワード の設定
34
【機能の確認方法】
攻撃シミュレーターの結果と問題のあるユーザが
レポート上に表示

35. ブルート フォース パスワード の設定
35
【機能の確認方法】
→過去の攻撃を確認するには【攻撃の詳細】を選択

36. ブルート フォース パスワード の設定
36
【機能の確認方法】
画面上部は、攻撃手法の説明が記載

37. ブルート フォース パスワード の設定
37
【機能の確認方法】
画面下部では、過去の攻撃シミュレーションを
確認
→【>】を選択することで、各回の
詳細レポートを確認

38. パスワードスプレー攻撃の設定
38
【機能の設定方法】
→【攻撃の詳細】を選択

39. パスワードスプレー攻撃の設定
39
【機能の設定方法】
→任意の名前を入力し、【次へ】を選択

40. パスワードスプレー攻撃の設定
40
【機能の設定方法】
→対象となるユーザーを選択し、
【次へ】をクリック

41. パスワードスプレー攻撃の設定
【機能の設定方法】
→スプレー攻撃で使用するパスワードを
入力し、【次へ】を選択

42. パスワードスプレー攻撃の設定
【機能の設定方法】
→対象となるユーザーを確認し、【完了】を選択

43. パスワードスプレー攻撃の設定
【機能の確認方法】
パスワードスプレー攻撃実施中の画面が表示。攻撃終了までしばらく時間がかかる

44. パスワードスプレー攻撃の設定
【機能の確認方法】
攻撃終了後、【レポートの表示】から結果を確認

45. ブルート フォース パスワード の設定
45
【機能の確認方法】
攻撃シミュレーターの結果と問題のあるユーザが
レポート上に表示

46. パスワードスプレー攻撃の設定
【機能の確認方法】
→【攻撃の詳細】から履歴を確認

47. パスワード スプレー攻撃の設定
47
【機能の確認方法】
画面上部は、攻撃手法の説明が記載

48. パスワード スプレー攻撃の設定
48
【機能の確認方法】
画面下部では、過去の攻撃シミュレーションを
確認
→【>】を選択することで、各回の
詳細レポートを確認

49. 49
HIGH
MEDIUM
LOW
NONE
クラウドアプリ
社内アプリ
アクセス不可
脅威レベル
アクセス可
HIGH
MEDIUM
LOW
NONE
Hexadite AIRS による
自動調査及び対処
Windows Defender ATP の脅威リスク
レベルを基にアプリへのアクセスを制御
自動対応化により瞬時に対処が行われ、
アクセス可能に
脅威リスクレベルの指標
1. アクティブなアラート
2. Security Analytics の結果
3. 自動対応化の結果
ユーザ
脅威レベル

50. Microsoft Azure

51. Windows Defender AdvancedThreat Protectionrules
Require the device to be at or under the machine risk score:
Set up a connection to Windows Defender Advanced Threat
Protection

62. Jon Smith Laptop

63. Jon Smith Laptop

65. Alerts
Security Profiles
Host | User | File | App | IP
Actions Configurations
Insights and relationships
OAuth 2.0 and OpenID Connect 1.0
Azure AD Identity
Protection IntuneWindows
Defender ATP
Office 365 ATP Cloud Application
Security
Azure ATP Azure Security
Center
Azure Information
Protection
Ecosystem
Partners
Other Microsoft Graph Services
Office 365 | Intune | Active Directory | More…
Users Groups Mail Files Calendar

66. Microsoft のサービスに含まれる (追加コストなし)

68. https://aka.ms/graphsecurityapi
Code
Get started with C# samples
https://aka.ms/graphsecurityaspnet
Get started with Python samples
https://aka.ms/graphsecuritypython
Explore in Microsoft Graph
https://developer.microsoft.com/en-us/graph/graph-explorer
Join the Discussion
Join the Tech Community
https://aka.ms/graphsecuritycommunity
Follow the discussion on Stack Overflow
https://aka.ms/graphsecuritystackoverflow
Learn
Read the documentation
https://aka.ms/graphsecuritydocs
Stream alerts to your SIEM
https://aka.ms/graphsecuritySIEM

69. 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対
していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。
本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、
どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。
Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される
場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。
© 2016 Microsoft Corporation. All rights reserved.
Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。
その他、記載されている会社名および製品名は、一般に各社の商標です。