Windows Defenderの「Block at First Sight」クラウド保護機能はどのように機能しますか?

Windows Defenderまたはマイクロソフトのマルウェア対策プラットフォームは、ホームコンピューター、サーバー、Office 365などのオンラインサービスを保護します。豊富な脅威インテリジェンスとテレメトリデータを備えたDefenderのクラウドバックエンドは、驚異的なマルウェア保護サービスです。

新しいマルウェアが蔓延した場合、Microsoftマルウェア対策チーム(またはその問題に関しては他のウイルス対策企業またはマルウェア対策企業)がファイルの分析、リバースエンジニアリング、マルウェアによる爆発を実行するまでに数時間かかることがあります。署名の更新をリリースできます。 そして、QCは言うまでもなく、署名の更新がパススルーする必要があります。

マルウェア保護に関する限り、署名ベースの保護が重要であるという事実を否定することはできません。 しかし、それが必ずしも役立つとは限らないため、特に、まったく新しい、または未知のマルウェアの場合は、十分ではありません。 Microsoftのレポートによると、新しいマルウェアが出現すると、最初の4時間以内にコンピューターの30%が感染します。 署名の更新は通常、数時間後に行われます。

一方、Windows Defenderの堅牢なクラウドベースの保護は、ヒューリスティックな機械学習モデルを使用し、バックエンドで詳細な分析を行って、ファイルがマルウェアかどうかを判断します。

Windows Defenderのクラウドベースの保護または「一目でブロック」機能はデフォルトで有効になっています。 「プライバシー」の懸念のためにWindows Defenderでクラウド保護オプションをオフにしている場合は、Windows Defenderエンジニアリングチームによるデモをご覧ください。クラウド保護がいかに効果的であるかを示しています。

Channel 9ビデオ:Windows Defender Instant Protectionの詳細| マイクロソフトIgnite 2016

「Block at First Sight」クラウド保護が有効になっていることを確認します

スタート、設定をクリックします。 (または、WinKey + iを押します)

[設定]ページで、[更新とセキュリティ]、[Windows Defender]の順にクリックします。

クラウドベースの保護自動サンプル送信設定が有効になっていることを確認してください。

Windows Defenderの「Block at first sight」クラウド保護オプションとサンプル送信オプションがWindows Defender設定で有効になっている場合、システムが署名ベースの検出に合格する疑わしいファイルを検出すると、Defenderは疑わしいファイルのメタデータをクラウドバックエンドに送信します。 クラウドが常にファイル全体を要求するわけではないことに注意してください。

クラウドバックエンドのマシンはメタデータを分析し、さまざまなロジック、URLレピュテーション、およびテレメトリデータを利用して、ファイルがマルウェアかどうかを判断します。

たとえば、マルウェアのファイル名がコアWindowsモジュールの名前と一致する場合、クラウドバックエンドはモジュールのデジタル署名をチェックします。 Microsoftによって署名されていないか署名されておらず、「分類」がマルウェア(「信頼度」レベル85%)である場合、クラウドはファイルがマルウェアであると判断します。

バックエンド分析の最も重要な部分を構成する「分類」および「信頼性」の評価は、機械学習モデルを通じて取得されます。

クラウドバックエンドが判定なしで出てきた場合、詳細な分析のためにファイル全体を要求します。 ファイルがアップロードされ、クラウドがその受信を確認するまで、Windows Defenderはファイルをロックし、クライアントでの実行を許可しません。 これは、Windows DefenderチームがWindows 10 Anniversary Update(v1607)で行った重要な変更です。

以前は、アップロードの進行中に、疑わしいファイルを同期的に実行することが許可されていました。 アップロードが完了する前であっても、マルウェアは実行を終了し、自己破壊していました。

Windows Defenderエンジニアリングチームのデモでは、2つのシナリオについて説明しました。 シナリオ1では、クラウドバックエンドは、メタデータのみに基づいて、ファイルをマルウェアとして分類します。 クラウド保護がオフになっているデバイス#1は、ファイルの実行時に感染します。 そして、クラウド保護がオンのデバイス#2は即座に保護されます。

シナリオ2では、最初のユーザーが未知のマルウェアを実行します。 メタデータに基づいてクラウドが判定に達しなかったため、ファイル全体が自動的に送信されました。

提出時間は19:48:59時間でした–バックエンドは19:49:01時間(アップロードがクラウドバックエンドに到達してから約2秒)に自動分析を完了し、ファイルがマルウェアであると判断しました。

その瞬間から、Windows Defenderはそのファイルの今後の遭遇をブロックし、Windows Defenderのクラウドベースの保護が有効になっている数百万の他のデバイスを保護します。

マイクロソフトには、サンプルをアップロードしてDefenderのクラウド保護の有効性を確認できるWindows Defender Testgroundというテストサイトもあります。

2番目のデモはクラウドとの接続の問題が原因で成功しませんでしたが、全体的には、Windows Defenderの「一目見ただけでブロックする」クラウドベースの保護機能の重要性を説明する便利なプレゼンテーションです。 この機能をオフにしていた場合は、もう少し考え直してください。

参照とクレジット

Block at First Sight機能を有効にして、数秒以内にマルウェアを検出する

$config[ads_text6] not found

Windows Defender Instant Protectionを探索する| Microsoft Ignite 2016 | チャンネル9

関連記事