ある企業が Microsoft Defender for Endpoint を全端末に展開しており、セキュリティアナリストがインシデント対応として侵害された端末をネットワークから隔離する必要があります。最小限の操作で端末を隔離し、その後もフォレンジック調査を継続できる Defender for Endpoint の機能はどれか。
- A. デバイスの分離(Device Isolation)
- B. 攻撃面の縮小ルール(Attack Surface Reduction Rules)
- C. ライブ応答(Live Response)
- D. セキュリティ ベースライン(Security Baselines)
解答と解説を見る
正解: A
Microsoft Defender for Endpoint のデバイスの分離(Device Isolation)は、侵害されたデバイスをネットワークから切り離しながら、Defender のクラウド接続は維持する機能です。これにより端末を隔離しつつ、Defender ポータルからリモートでフォレンジック調査(ライブ応答)を継続できます。Cのライブ応答は隔離された端末にリモートシェルで接続して調査するための機能であり、隔離を行う機能ではありません。Dのセキュリティ ベースラインはポリシー設定の強化に使うものであり、インシデント対応機能ではありません。Bの攻撃面の縮小ルールは予防的なルールセットであり、侵害後の対応機能ではありません。