Microsoft Defender for Endpoint を最初からアクティブ化して構成する方法

Microsoft Defender for Endpoint を最初からアクティブ化して構成する方法

2024 年 1 月 1 日

この技術的および教育的な記事は、Microsoft Defender for Endpoint (MDE) を最初から有効にして構成する方法に関する実用的で詳細なガイドを提供することを目的としています。 MDE は、予防的保護、侵害後の検出、自動化された調査と対応のための統合エンドポイント セキュリティ プラットフォームです。これは、Microsoft 環境のセキュリティ体制を強化したいセキュリティ アナリスト、IT 管理者、システム エンジニアにとって不可欠なツールです。

はじめに

サイバー脅威の状況は常に進化しており、攻撃はより洗練され、標的を絞ったものになっています。エンドポイント (コンピューター、サーバー、モバイル デバイス) を保護することは、どの組織にとっても最優先事項です。 Microsoft Defender for Endpoint (MDE) は、高度なエンドポイントの検出と対応 (EDR)、脆弱性と脅威の管理、攻撃対象領域の削減、次世代の保護、自動調査と修復機能を提供することで、従来のウイルス対策機能を超えた堅牢なソリューションを提供します [1]。

このガイドでは、初期前提条件から重要なリソース構成、検証、ベスト プラクティスに至るまで、MDE を実装するための基本的な手順を説明します。私たちは、読者が独自の環境でプロセスを再現し、結果を検証できるように、段階的な手順、コマンドの例、説明を備えた 100% 実践的な内容に重点を置いています。

Microsoft Defender for Endpoint を選ぶ理由?

MDE は、Microsoft 365 Defender、Azure Active Directory (現在の Microsoft Entra ID)、Microsoft Intune、Microsoft Sentinel などの他の Microsoft セキュリティ ソリューションとネイティブに統合し、統合されたセキュリティ ファブリックを作成します。その主な利点は次のとおりです。

  • 包括的な保護: マルウェア、ランサムウェア、ファイルレス攻撃を検出してブロックします。
  • 詳細な可視性: エンドポイントのアクティビティを継続的に監視し、不審な動作を特定します。
  • 迅速な対応: 脅威を迅速に封じ込める自動化された調査および修復ツール。
  • ポスチャ管理: 脆弱性の評価と、セキュリティ衛生を改善するための推奨事項。

前提条件

Microsoft Defender for Endpoint の構成を開始する前に、次の前提条件が満たされていることを確認してください。

  1. ライセンス: Microsoft Defender for Endpoint の有効なライセンス。これは、Microsoft 365 E5、Microsoft 365 E3 (セキュリティ アドオン付き)、Windows E5、またはスタンドアロン ライセンス [2] などのパッケージの一部である可能性があります。
  2. 管理アクセス: Microsoft 365 Defender ポータル (security.microsoft.com) の全体管理者またはセキュリティ管理者のアクセス許可を持つアカウント。
  3. ネットワーク接続: MDE クラウド サービスと通信するには、エンドポイントがインターネットにアクセスできる必要があります。必要な URL とポートがファイアウォールとプロキシで許可されていることを確認してください [3]。
  4. サポートされているオペレーティング システム: MDE は、次のような幅広いオペレーティング システムをサポートしています。
    • Windows 10/11 Enterprise、Pro、Education
    • Windows Server (2008 R2 SP1、2012 R2、2016、2019、2022)
    • macOS (最新バージョン)
    • Linux (各種ディストリビューション)
    • Android および iOS (Microsoft Intune 経由)
  5. Microsoft Intune (オプションですが推奨): 一元管理と大規模なデバイスのオンボーディングのために、Microsoft Intune との統合を強くお勧めします。

ステップバイステップ: アクティベーションと初期構成

1. エンドポイントに対して Microsoft Defender を有効にする

最初のステップは、テナントでサービスをアクティブ化することです。これは通常、ライセンスの購入時に自動的に行われますが、サービスがプロビジョニングされていることを確認することが重要です。

  1. Microsoft 365 Defender ポータル:「https://security.microsoft.com」に移動します。
  2. 左側のナビゲーション ペインで、設定 (歯車アイコン) > エンドポイント に移動します。
  3. サービスのステータスを確認します。アクティブでない場合は、指示に従ってプロビジョニング プロセスを開始します。サービス利用規約に同意する必要がある場合があります。

2. 一般設定と高度な機能

アクティベーション後、MDE の検出および応答機能を強化する高度な機能を確認して構成することが重要です。

  1. Microsoft 365 Defender ポータルの [設定] > [エンドポイント] で、高度な機能を選択します。
  2. 保護を最大限に高めるには、次の機能を有効にします (まだ有効になっていない場合)。
    • サンプル分析を許可: MDE が分析のために疑わしいファイルのサンプルを収集できるようにします。 「自動」または「安全」のいずれかを選択します。
    • ブロック モードでの EDR 検出: 次世代アンチウイルスがパッシブ モードであっても、MDE は EDR によって検出された悪意のあるアーティファクトをブロックできます。
    • リソースのプレビュー: まだプレビュー段階にあるリソースへのアクセスをアクティブ化します。テスト環境に推奨されます。
    • Microsoft Intune との統合: デバイスとセキュリティ ポリシーの管理に不可欠です。
    • Microsoft Cloud App Security との統合: 可視性と制御をクラウド アプリケーションに拡張します。
    • Azure Information Protection との統合: 機密データの保護が可能になります。
    • 自動分析のためのファイル コンテキスト アクセス: 自動調査機能が向上します。

3. デバイスのオンボーディング

オンボーディング プロセスでは、デバイスを MDE サービスに接続し、デバイスがセキュリティ データを送信し、ポリシーを受信できるようにします。組織の規模とインフラストラクチャに応じて、オンボーディングを行う方法はいくつかあります。

オプション A: 手動オンボーディング (少数のデバイスの場合)

  1. Microsoft 365 Defender ポータルで、設定 > エンドポイント > デバイス管理 > オンボーディングに移動します。
  2. 統合するデバイスのオペレーティング システムを選択します (例: Windows 10 および 11)。
  3. 導入方法を選択します。手動オンボーディングの場合は、[ローカル スクリプト] を選択します。
  4. オンボーディング パッケージ (PowerShell スクリプトを含む .zip ファイル) をダウンロードします。
  5. スクリプトをターゲット デバイスにコピーし、管理者権限で実行します。

```パワーシェル

オンボーディングスクリプトの実行例

WindowsDefenderATPLocalScript.cmd ファイルが現在のディレクトリにあることを確認してください

.\WindowsDefenderATPLocalScript.cmd 「」

オプション B: Microsoft Intune 経由のオンボーディング (大規模向け)

これは、オンボーディングを自動化し、セキュリティ ポリシーを管理できるため、企業環境に最も推奨される方法です。

  1. MDE-Intune 接続を確認します: Microsoft 365 Defender ポータルの 設定 > エンドポイント > 高度な機能 で、Microsoft Intune 統合 が有効になっていることを確認します。
  2. Microsoft Intune ポータル (Microsoft エンドポイント マネージャー管理センター): https://endpoint.microsoft.com にアクセスします。
  3. 左側のナビゲーション ウィンドウで、エンドポイント セキュリティ > Microsoft Defender for Endpoint に移動します。
  4. 接続ステータスを確認します。 「有効」と表示されるはずです。そうでない場合は、画面の指示に従って接続を設定します。
  5. オンボーディング用のデバイス構成ポリシーを作成します: Intune で、エンドポイント セキュリティ > デバイス オンボーディングに移動します。
  6. [プロファイルの作成] をクリックします。
  7. プラットフォームとして Windows 10 以降、プロファイルとして Microsoft Defender for Endpoint を選択します。
  8. ポリシーに名前と説明を付けます。
  9. 設定では、統合によりオンボーディング タイプが Intune によって自動的に構成される必要があります。
  10. ポリシーを目的のデバイス グループに割り当てます。

4. セキュリティ ポリシーの構成 (例: 攻撃対象領域の削減)

オンボーディング後は、エンドポイントを保護するポリシーを構成することが重要です。例として、攻撃対象領域削減 (ASR) ルールを使用します。

  1. Microsoft 365 Defender ポータルで、設定 > エンドポイント > 攻撃対象領域の削減 に移動します。
  2. [攻撃対象領域削減ルール] を選択します。
  3. 悪意のある動作をブロックする特定のルールを構成できます。たとえば、Windows ローカル セキュリティ機関サブシステムの資格情報の盗難をブロック ルールを有効にして、資格情報を保護します。
  4. ルール モードを 監査 (ブロックする前に影響を監視する) または ブロック (すぐに保護を適用する) に設定します。

検証とテスト

構成の検証は、MDE が正しく動作し、エンドポイントを保護していることを確認するための重要な手順です。

1. エンドポイントでセンサーのステータスを確認する

オンボードデバイスで、MDE サービスのステータスを確認できます。

1.開くコマンド プロンプト または PowerShell を管理者として使用します。 2. 次のコマンドを実行して、「Sense」サービス (MDE センサー) のステータスを確認します。

```cmd scクエリセンス 「」

  • 期待される結果: ステータスは「実行中」である必要があります。

2. ポータルでオンボーディング ステータスを確認する

  1. Microsoft 365 Defender ポータルで、資産 > デバイス に移動します。
  2. オンボードしたデバイスの名前を検索します。ステータスが「アクティブ」、リスクと危険レベルがリストに表示されます。
  3. デバイスをクリックして、アラート、タイムライン、コンプライアンス ステータスなどの詳細を表示します。

3. EDR 検出のテスト (EICAR テスト ファイル)

実害を及ぼさずに検出機能をテストするには、EICAR テスト ファイルを使用できます。 MDE はそれを検出し、アラートを生成する必要があります。

  1. オンボードデバイスでブラウザを開き、「https://www.eicar.org/download/eicar.com.txt」に移動します。
  2. EICAR ファイルの内容をデバイスにダウンロードまたはコピーしてみます。
  3. MDE はアクションをブロックし、アラートを生成する必要があります。 Microsoft 365 Defender ポータルの [インシデントとアラート] > [アラート] で、生成されたアラートを確認してください。

セキュリティのヒントとベスト プラクティス

  • MDE を最新の状態に保つ: MDE セキュリティ エージェントと定義が常に最新であることを確認します。 Microsoft は、保護を強化するためのアップデートを継続的にリリースしています。
  • 他のソリューションとの統合: MDE と Microsoft Intune、Microsoft Sentinel、Azure AD Identity Protection、および Microsoft Cloud App Security の統合を利用して、統合ビューと階層型保護を実現します。
  • 積極的に監視: Microsoft 365 Defender ポータルでアラートとインシデントを定期的に確認します。重要なアラートの電子メール通知を構成します。
  • ASR に監査モードを使用する: 新しい攻撃対象領域削減ルールを実装する場合は、ブロック モードを適用する前に監査モードで開始して影響を理解し、停止を回避します。
  • ネットワークのセグメント化: エンドポイントが侵害された場合でも、ネットワークのセグメント化を実装して、攻撃の横方向の伝播を制限します。
  • ユーザーのトレーニング: ユーザーの認識は重要な防御線です。サイバーセキュリティのベストプラクティスについて従業員を教育します。

一般的なトラブルシューティング

  • デバイスがポータルに表示されない: ネットワーク接続、エンドポイントの「Sense」サービスのステータス、オンボーディング スクリプトが正しく実行されたかどうかを確認してください。 Intune を使用する環境では、Intune-MDE 接続の状態を確認します。
  • アラートが見つからない: 高度な検出機能が有効になっていることを確認してください。検出を妨げている可能性のあるウイルス対策の除外を確認します。
  • パフォーマンスの問題: MDE はパフォーマンスへの影響が少なくなるように最適化されていますが、まれに他のセキュリティ ソフトウェアとの競合が発生する場合があります。 Microsoft の互換性ガイドラインを確認してください。
  • オンボーディング スクリプトが失敗しました: エンドポイントのシステム イベント ログでエラー メッセージを確認してください。スクリプトが管理者権限で実行されたことを確認してください。

結論

Microsoft Defender for Endpoint は、サイバー脅威に対する最新の防御に不可欠な強力なツールです。このガイドに従うことで、環境内で MDE を有効化、構成、検証し、エンドポイントのセキュリティのための強固な基盤を確立できるようになります。セキュリティは継続的なプロセスであり、継続的な監視、調整、更新が必要であることに注意してください。 MDE を効果的に導入することは、進化し続ける脅威の状況から組織を保護するための重要な一歩です。

参考文献:

[1] Microsoft Learn。 エンドポイント用 Microsoft Defender。入手可能場所: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] Microsoft Learn。 Microsoft Defender for Endpoint の最小要件。入手可能場所: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] Microsoft Learn。 Microsoft Defender for Endpoint のネットワーク環境を構成するた。入手可能場所: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide 「」