============================
■【1. 全体概要と結論】■
============================
Microsoft Defender for Endpoint (MDE) におけるログ収集仕様についての問い合わせが主題となっている。具体的には、Windowsおよびその他のOSにおける全プロセスのログをフィルタリングせずに収集可能かどうか確認。MDEはセキュリティ製品であり、全ての操作を網羅的に記録する監査ツールではないため、全プロセスログの収集は仕様上満たされない。
<関連サービス>
Microsoft Defender for Endpoint (MDE)
<主要な課題>
– Windowsおよびその他OSの全プロセスログをフィルタリングせずに収集可能かどうか
– インシデント検知・追跡に必要なログ収集の仕様
<全体の回答結論>
MDEはセキュリティ製品であり、全ての操作を網羅的に記録する監査ツールではないため、全プロセスログの収集は仕様上満たされない。ただし、インシデント検出時には有用なイベントを確認可能であることが期待される。関連する公開情報を参照し、製品仕様を理解することが推奨される。
=================================
■【2. 調査内容】■
=================================
【2.1. 調査したこと1:Defender for Endpointのログ収集仕様について】
【調査したこと】
MDEにおいて、Windowsおよびその他OSの全プロセスログをフィルタリングせずに収集可能かどうかについて質問があった。具体的には、以下のようなプロセス情報を収集できるかが確認対象。
<発生事象>
- 実行されたプロセスの概要(プロセス名、プロセスID、起動日時、実行ユーザー等)
- 実行されたプロセスの一連のフロー(親プロセス、子プロセス)
- 実行されたファイル名およびハッシュ値
- 実行されたコマンドラインの内容
- 通信先のドメイン、IPアドレス
- レジストリの変更履歴
- 呼び出されたDLLライブラリ
- 特権名
- 権限昇格の有無
- 端末への遠隔操作歴
<関連環境>
- Microsoft Defender for Endpoint (MDE)
【調査結果】
MDEはセキュリティ製品であり、全ての操作を網羅的に記録する監査ツールではない。そのため、全プロセスログをフィルタリングせずに収集することは仕様上満たされない。ただし、インシデント検出時には有用なイベントを確認可能であることが期待される。
<根本原因と技術解説>
- MDEはセキュリティの観点から有用なイベントを中心に収集する設計となっており、監査ツールとしての機能は持ちあわせてない。
- 端末上で発生する全ての操作を網羅的に記録することは、製品仕様上の制約となっている。
- Defender for Endpointの検出機能は、特定のエンドポイントで発生するすべての操作を記録することを目的としていない。
参考URL:https://learn.microsoft.com/ja-jp/defender-endpoint/overview-endpoint-detection-response
<対応策>
- MDEの仕様を理解し、インシデント検出時に有用なイベントを活用する。
- 必要に応じて、公開情報を参照して製品の設計意図を確認する。
Defender for Endpoint 検出は、特定のエンドポイントで発生するすべての操作またはアクティビティを記録する監査またはログ記録ソリューションを意図したものではない。
参考URL:https://learn.microsoft.com/ja-jp/defender-endpoint/overview-endpoint-detection-response
=================================
■【3. 全ての参考URLリスト】■
=================================
コメント