Defender for EndPointでアラートを検出した端末を自動的にネットワークから隔離する

こんにちは。
今日はDefender for EndPoint(MDE)の小ネタを記事にします。

Defender for EndPointに限らず、他セキュリティ製品であってもよく感染の疑いのある端末を自動的に社内ネットワークから隔離することができるのか、ご質問いただくことがあります。
製品に依存するのですが、現在であれば、ほとんどの製品が実現可能なのではないかと思います。
最近のセキュリティ製品には驚かされることがいっぱいでどんどん機能アップデートされてますね。。

Defender for EndPointでは手動でネットワーク隔離を行う以外にもカスタム検出ルールを使って実現が可能です。今日はその手順を簡単に記載します。

まずは、カスタム検出ルールを作成するにあたって、リスクのある端末がどの端末なのかを情報収集する必要があります。ここでAdvance Huntingを使います。

Advance Huntingはクエリベースで30日までのデータへアクセスし、クエリの結果に基づいて情報を即座に表示/取得することができるものです。

日頃defender for endpoint を触られている方はバリバリにAdvance Huntingを使って情報収集を行っていらっしゃるかと存じます。また、素晴らしいブログも公開されてたりしますので一度調べてみていただけたらと思います。

では早速簡単にやってみます。
Advance Huntingメニューから「query」を選択し、以下クエリ分を入力します。

DeviceAlertEvents
| where Severity == "Medium"

このクエリ分はアラートにて”Medium”レベルの脅威を検出したデバイスを情報取得しているものになります。
この取得したデバイスに対し、カスタム検出ルールを使ってネットワークから隔離するアクションを行います。

「Create detection rule」をクリックします。

アラート名やカテゴリなど任意で設定します。
Frequency(頻度)は今回、最短の1hに設定しています。

次にActionで[Isolate device]を選択します。
すでに本画面でも記載されている通り、ネットワークの隔離以外にもスキャンなど実行できるアクションは他にも用意されております。今回は、ネットワーク隔離を選択します。
[full]と[selective]ありますが、selectiveは選択的分離であってどちらであってもDefender for EndPointの通信は行われますが、selectiveはそれ以外にもOutlook、Teams、Skypeなどの通信も利用可能となるようです。

ネットワークからデバイスを分離する

Full isolation is available for devices on Windows 10, version 1703, Windows 11, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2022.
Selective isolation is available for devices on Windows 10, version 1709 or later, and Windows 11.
On Windows 10, version 1709 or later, you’ll have more control over the network isolation level. You can also choose to enable Outlook, Microsoft Teams, and Skype for Business connectivity (a.k.a ‘Selective Isolation’).

今回はSelectiveを選択してみます。

つぎにスコープです。
Defender for Endpointはデバイスグループを作成することができ、そのデバイスグループ単位でルールを適用することができます。今回は全てのデバイスを選択します。

実際に検知してみて動作を確認してみました。
アラートで”Midium”のアラートを検出後、しばらくするとデバイスがネットワークから隔離されました。
社外に疎通を行っていましたが、ネットワーク隔離が行われると疎通エラーが出力されるようになりました。
また、インターネットへの接続もできなくなっています。

ただ、[selective]で隔離しているのでOutlookなどの接続は問題なく接続でき、メールの送受信も行えました。

ネットワーク隔離後、元に戻す場合は管理センターから「release from isolation」を選択します。

これでネットワーク接続が復帰されました。
こちらご参考になれば幸いです。