Windows DefenderまたはMicrosoftのマルウェア対策プラットフォームは、ホームコンピューター、サーバー、およびOffice 365などのオンラインサービスを保護します。脅威インテリジェンスとテレメトリデータが豊富なDefenderのクラウドバックエンドは、驚異的なマルウェア保護サービスです。
新しいマルウェアが実際に出現した場合、Microsoftのマルウェア対策チーム(またはその他のウイルス対策またはマルウェア対策会社)がファイルの分析、リバースエンジニアリング、およびマルウェアの爆発を実行するまでに数時間かかる場合があります。署名の更新をリリースできます。そして、QCは言うまでもなく、署名の更新は通過する必要があります。
マルウェア保護に関する限り、署名ベースの保護が最も重要であるという事実を否定することはできません。ただし、それだけでは不十分です。特に、まったく新しいマルウェアや未知のマルウェアの場合は、必ずしも役立つとは限りません。新しいマルウェアが出現したときのMicrosoftのレポートによると、コンピューターの30%が最初の4時間以内に感染します。署名の更新は通常、数時間後に行われます。
一方、Windows Defenderの堅牢なクラウドベースの保護では、ヒューリスティック、機械学習モデルを使用し、バックエンドで詳細な分析を行って、ファイルがマルウェアであるかどうかを判断します。
Windows Defenderのクラウドベースの保護または「一目でブロック」機能は、デフォルトで有効になっています。 「プライバシー」の懸念からWindowsDefenderのクラウド保護オプションをオフにしている場合は、Windows Defenderエンジニアリングチームによるデモをご覧ください。これは、クラウド保護がいかに効果的であるかを示しています。
チャンネル9ビデオ:Windows Defender InstantProtectionを探索する| Microsoft Ignite 2016
「一目でブロック」クラウド保護が有効になっていることを確認します
[スタート]、[設定]の順にクリックします。 (またはWinKey + iを押します)
[設定]ページで、[更新とセキュリティ]、[WindowsDefender]の順にクリックします。
それを確認してください クラウドベースの保護 そして 自動サンプル提出 設定が有効になります。
WindowsDefenderの「一目でブロック」クラウド保護とサンプル送信オプションがWindowsDefender設定で有効になっている場合、システムが疑わしいファイルを検出すると、署名ベースの検出に合格し、Defenderは疑わしいファイルのメタデータをクラウドバックエンドに送信します。クラウドが常にファイル全体を要求するとは限らないことに注意してください。
クラウドバックエンドのマシンは、さまざまなロジック、URLレピュテーション、およびテレメトリデータを利用してメタデータを分析し、ファイルがマルウェアであるかどうかを判断します。
たとえば、マルウェアのファイル名がコアWindowsモジュールの名前と一致する場合、クラウドバックエンドはモジュールのデジタル署名をチェックします。署名されていないか、Microsoftによって署名されておらず、「分類」がマルウェア(「信頼度」レベル85%)である場合、クラウドはファイルがマルウェアであると判断します。
バックエンド分析の最も重要な部分を構成する「分類」と「信頼性」の評価は、機械学習モデルを通じて取得されます。
クラウドバックエンドが判定を行わない場合は、ファイル全体に詳細な分析を要求します。ファイルがアップロードされ、クラウドがファイルの受信を確認するまで、Windows Defenderはファイルをロックし、クライアントでの実行を許可しません。これは、WindowsDefenderチームがWindows10 Anniversary Update(v1607)で行った重要な変更です。
以前は、アップロードの進行中に疑わしいファイルを同期的に実行することが許可されていました。アップロードが完了する前でさえ、マルウェアは実行を終了し、自己破壊していました。
Windows Defenderエンジニアリングチームのデモに来て、2つのシナリオが議論されました。シナリオ1では、クラウドバックエンドは、メタデータのみに基づいてファイルをマルウェアとして分類します。クラウド保護がオフになっているデバイス#1は、ファイルの実行時に感染します。また、クラウド保護がオンになっているデバイス#2は、即座に保護されます。
シナリオ2では、最初のユーザーが未知のマルウェアを実行します。クラウドはメタデータに基づく判定に達していないため、ファイル全体が自動的に送信されました。
送信時間は19:48:59時間でした–バックエンドは19:49:01時間(アップロードがクラウドバックエンドにヒットしてから約2秒)に自動分析を完了し、ファイルがマルウェアであると判断しました。
その瞬間から、Windows Defenderはそのファイルの将来の遭遇をブロックし、WindowsDefenderクラウドベースの保護が有効になっている他の何百万ものデバイスを保護します。
Microsoftには、という名前のテストサイトもあります。 WindowsDefenderテストグラウンド サンプルをアップロードすることで、Defenderのクラウド保護の有効性を確認できます。
2番目のデモは、クラウドとの接続の問題が原因で成功しませんでしたが、全体として、WindowsDefenderの「一目でブロックする」クラウドベースの保護機能の重要性を説明する便利なプレゼンテーションです。この機能をオフにしていた場合は、考え直してみてください。
参考文献とクレジット
ブロックアットファーストサイト機能を有効にして、数秒以内にマルウェアを検出します
Windows Defender InstantProtectionを探索する| Microsoft Ignite 2016 |チャネル9
1つの小さなリクエスト:この投稿が気に入ったら、共有してください。
あなたからの1つの「小さな」共有はこのブログの成長に真剣に大いに役立つでしょう。いくつかの素晴らしい提案:- ピンする!
- お気に入りのブログ+ Facebook、Redditに共有してください
- ツイートしてください!