tos-akibaのブログ

主に Microsoft 365 Security について

Microsoft 365 Defender によるランサムウェアと BEC 攻撃の自動中断

Ignite 2022 で発表されていた、Microsoft 365 Defender において人間が操作するランサムウェア攻撃に加えビジネスメール詐欺(BEC:Business Email Compromise)キャンペーン攻撃を自動中断する機能拡張がパブリックプレビューされました。
Stop attack progression with automatic disruption of ransomware and BEC attacks

 

増加するサイバー攻撃では、攻撃者が攻撃を拡散、実行するスピードも短時間に早まっており、迅速な攻撃検知と封じ込めが必要となっています。

リンク先のグラフでは、攻撃者がわずか数分で数博大のデバイスを暗号化した人間が操作するランサムウェア攻撃のタイムラインが示されています。(3分45秒間で 200台!)

 

自動攻撃中断は、攻撃で使用されるデバイスと侵害されたユーザーアカウントを自動的に無効化して封じ込めます。

この自動中断する攻撃の検出については、Microsoft Defender に含まれるエンドポイント、ID、電子メールとコラボレーション、SaaS アプリ、などの XDR シグナルや、Microsoft の研究チームによる何千ものインシデントの継続的な調査からの分析情報を元に検出するとされています。

マシンスピードでの攻撃中断により、ランサムウェアなどの攻撃の影響を制限し、SOC チームの修復時間を増やせるとしています。

 

Microsoft 365 Defender のインシデントページの例や、この機能の前提条件については、すでにドキュメント化されていました。
Microsoft 365 Defenderでの自動攻撃の中断 | Microsoft Learn

Microsoft 365 Defenderで自動攻撃中断機能を構成する | Microsoft Learn