先日、Microsoft Defender for Endpointが、Officeアップデートをマルウェアと判定する大失態がありました。Defender for Endpointが、「OfficeSvcMgr.exe」をランサムウェアとして誤認するという問題で、システム管理者がSNS等で問題を報告したあと、Microsoftはすぐに修正を行います。その後、同社のセキュリティ&コンプライアンス担当の主席技術専門家であるSteve Scholz氏によって、この問題が誤検出によって発生したことが明らかとなりました。
Microsoftはこの問題を修正しただけでなく、少なくとも同社のDefender for Endpointで、今後このような誤検出が再び発生しないように、新たな対策に取り組んでいることが分かりました(Neowin)。
Microsoftは、Defender for Endpointを使用しているセキュリティ運用者、セキュリティ管理者向けのガイダンスを公開し、誤検知の多くを排除するための手順を説明しています。以下の図はその手順の概要を示しています。
偽陽性と偽陰性に対処するための手順は以下の通りです。
- Part 1: アラートの確認と分類
- Part 2: 改善措置の見直し
- Part 3: 除外項目を見直す、または定義する
- Part 4:解析用ファイルを提出する
- Part 5:脅威防御の設定を確認・調整する
ガイダンスは、偽陽性を排除するのに役立つだけでなく、脅威とそうでないものを区別するために役立つものとなっており、詳細はこちらで確認可能です。