Windows Defenderの「一目でブロック」クラウド保護機能はどのように機能しますか?

Windows DefenderまたはMicrosoftマルウェア対策プラットフォームは、ホームコンピューター、サーバー、およびOffice365などのオンラインサービスを保護します。 脅威インテリジェンスとテレメトリデータが豊富なDefenderのクラウドバックエンドは、驚異的なマルウェア保護サービスです。

一目でディフェンダーブロック

新しいマルウェアが実際に出現した場合、マイクロソフトのマルウェア対策チーム(またはその他のウイルス対策またはマルウェア対策チーム)には数時間かかる場合があります 署名をリリースする前に、ファイルを分析し、リバースエンジニアリングし、マルウェアの爆発を実行します。 アップデート。 そして、QCは言うまでもなく、署名の更新は通過する必要があります。

マルウェア保護に関する限り、署名ベースの保護が最も重要であるという事実を否定することはできません。 ただし、これは必ずしも役立つとは限らないため、十分ではありません。特に、まったく新しいマルウェアや未知のマルウェアの場合はそうです。 新しいマルウェアが出現したときのMicrosoftのレポートによると、コンピューターの30%が最初の4時間以内に感染しています。 署名の更新は通常、数時間後に行われます。

一目でディフェンダーブロック

一方、Windows Defenderの堅牢なクラウドベースの保護は、ヒューリスティック、機械学習モデルを使用し、バックエンドで詳細な分析を行って、ファイルがマルウェアであるかどうかを判断します。

Windows Defenderのクラウドベースの保護または「一目でブロック」機能は、デフォルトで有効になっています。 「プライバシー」の懸念からWindowsDefenderのクラウド保護オプションをオフにした場合は、 Windows Defenderエンジニアリングチームによるデモをご覧ください。これは、クラウド保護がいかに効果的であるかを示しています。

「一目でブロック」クラウド保護が有効になっていることを確認します

[スタート]、[設定]の順にクリックします。 (またはWinKey + iを押します)

[設定]ページで、[更新とセキュリティ]、[WindowsDefender]の順にクリックします。

それを確認してください クラウドベースの保護自動サンプル送信 設定が有効になります。

ディフェンダークラウド保護

システムの場合、WindowsDefenderの「一目でブロックする」クラウド保護とサンプル送信オプションがWindowsDefender設定で有効になっている場合 疑わしいファイルに遭遇すると、それ以外の場合は署名ベースの検出に合格し、Defenderは疑わしいファイルのメタデータをクラウドに送信します バックエンド。 クラウドが常にファイル全体を要求するとは限らないことに注意してください。

クラウドバックエンドのマシンは、さまざまなロジック、URLレピュテーション、およびテレメトリデータを利用してメタデータを分析し、ファイルがマルウェアであるかどうかを判断します。

たとえば、マルウェアのファイル名がコアWindowsモジュールの名前と一致する場合、クラウドバックエンドはモジュールのデジタル署名をチェックします。 署名されていないか、Microsoftによって署名されておらず、「分類」がマルウェア(「信頼度」レベル85%)である場合、クラウドはファイルがマルウェアであると判断します。

ディフェンダークラウド保護

バックエンド分析の最も重要な部分を構成する「分類」と「信頼性」の評価は、機械学習モデルを通じて取得されます。

クラウドバックエンドが判断を下さない場合は、ファイル全体に詳細な分析を要求します。 ファイルがアップロードされ、クラウドがファイルの受信を確認するまで、Windows Defenderはファイルをロックし、クライアントでの実行を許可しません。 これは、WindowsDefenderチームがWindows10 Anniversary Update(v1607)で行った重要な変更です。

以前は、アップロードの進行中に疑わしいファイルを同期的に実行することが許可されていました。 アップロードが完了する前でさえ、マルウェアは実行を終了し、それ自体を自己破壊していました。

Windows Defenderエンジニアリングチームのデモに来て、2つのシナリオが議論されました。 シナリオ1では、クラウドバックエンドは、メタデータのみに基づいてファイルをマルウェアとして分類します。 クラウド保護がオフになっているデバイス#1は、ファイルの実行時に感染します。 また、クラウド保護がオンになっているデバイス#2は、即座に保護されます。

シナリオ2では、最初のユーザーが未知のマルウェアを実行します。 クラウドはメタデータに基づく評決に達しなかったため、ファイル全体が自動的に送信されました。

送信時間は19:48:59時間でした–バックエンドは19:49:01時間(アップロードがクラウドバックエンドにヒットしてから約2秒)に自動分析を完了し、ファイルがマルウェアであると判断しました。

その瞬間から、Windows Defenderはそのファイルの将来の遭遇をブロックし、WindowsDefenderクラウドベースの保護が有効になっている他の何百万ものデバイスを保護します。

Microsoftには、という名前のテストサイトもあります WindowsDefenderテストグラウンド サンプルをアップロードすることで、Defenderのクラウド保護の有効性を確認できます。

2番目のデモは、クラウドとの接続の問題が原因で成功しませんでしたが、全体的には便利です WindowsDefenderの「一目でブロックする」クラウドベースの保護の重要性を説明するプレゼンテーション 特徴。 この機能をオフにしていた場合は、考え直してみてください。

参考文献とクレジット

Block at First Sight機能を有効にして、数秒以内にマルウェアを検出します
Windows Defender InstantProtectionを探索する| Microsoft Ignite 2016 | チャネル9


1つの小さなリクエスト:この投稿が気に入った場合は、これを共有してください。

あなたからの1つの「小さな」共有は、このブログの成長に真剣に役立つでしょう。 いくつかの素晴らしい提案:
  • ピンする!
  • お気に入りのブログ+ Facebook、Redditに共有してください
  • ツイートしてください!
読者の皆様、ご支援ありがとうございました。 それはあなたの時間の10秒以上かかることはありません。 共有ボタンはすぐ下にあります。 :)