Microsoft Defender ATP adds live response for Linux and macOS
2021/10/25 BleepingComputer — Microsoft は、Windows 10 Defender Antivirus のエンタープライズ版である Defender for Endpointに、macOS と Linux 対応を追加すると発表した。この新機能は、Enterprise Endpoint Security Platform (旧称 : Microsoft Defender Advanced Threat Protection) でパブリック・プレビューが開始されており、新たなプラットフォーム向けに独自のコマンドが用意されている。
これらのコマンドは、SecOps チームが、インシデント調査時にライブ・レスポンス・インターフェースから、直接にレスポンス・アクションを起こせるように設計されている。
また、新たに追加された macOS/Linux 向けの対応アクションでは、攻撃者のツールやテクニックに関する情報の収集や、ウイルス対策スキャンのリモート起動、感染したデバイス上のマルウェアの検出/修復などに対応できる。
それに加えて、macOS/Linux 向けのライブ・レスポンスでは、以下のような分析作業が実施できる。
- Basic/Advanced コマンド実行による不審なエンティティの調査。
- オフライン分析用のファイルの収集 (マルウェアのサンプルやスクリプト出力など)。
- デバイス上でのレスポンス・アクションの起動。
- ライブ・レスポンス・ライブラリに 任意のBashスクリプトをアップロードし、デバイス上で実行することで、フォレンジック・エヴィデンスの収集、および、悪意のエンティティの修復を実施。
Microsoft は、「ライブ・レスポンスを使用することで、詳細な調査作業を行い、特定された脅威を速やかに封じ込めるための、即時対応アクションをリアルタイムで実行できる。ライブ・レスポンスにより、セキュリティ運用チームはフォレンジック・データを収集し、スクリプトを実行する。そして、疑わしいエンティティを分析のための送信/脅威の修復/新たな脅威の積極的に探索により、調査を強化するよう設計されている。
今回のアップデートは、セキュリティ・チームが統一されたセキュリティ・プラットフォームを使用して、すべてのエンドポイントを防御できるように、Defender for Endpoint の機能をプラットフォーム全体に拡大する」と述べている。
Microsoft Defender for Endpoint は、2019年5月に macOS 向けに一般提供され、2020年6月には Linux および Android にも拡大されている。また、2021年4月には、Microsoft Defender for Endpoint が Arm デバイスのWindows 10 をサポートすることを発表している。
Microsoft の Defender に対する力の入れ方を見ていると、もはやセキュリティ会社になってしまったかのように思えてしまいます。それだけ、ここを改善しないと、エンタープライズ・コンピューティングが成り立たない時代になったのでしょう。Anti-Virus へのニーズも、ファイルの静的な分析から、不審なイベントなどを動的に検知するものへのシフトが始まっているように思えます。頼れる製品が必要ですね。
IoT OT Security News 