こんにちは。
ヘルプデスクの田村です。
Microsoft Defender for Endpoint (MDE) は組織内のデバイスに対する脅威の防止、検出、調査および対応を実施するための Microsoft 社が提供するセキュリティプラットフォームです。
MDE によるこういった保護機能を享受するには、対象となるデバイスを MDE にオンボード (登録) する必要があります。
今回は、MCM によるデバイス管理を既に実施している環境を想定して、MCM を使用して MDE にデバイスをオンボードさせる方法をご紹介します。
Microsoft Defender for Endpoint (MDE) は、いわゆる EDR 製品です。
Windows OS に標準搭載された Defender の機能によって収集されたセキュリティイベントやデバイスの不審な挙動を記録し、 Microsoft が持つ膨大なセキュリティ情報をもとにクラウドベースで分析を実施することで、最新の脅威に対しても高度な対処が可能とされています。
MDE にはいくつかのライセンス体系があり、それぞれ利用できる機能が異なります。詳しくは、以下を参照してください。
[Microsoft Defender for Endpoint の最小要件]
今回は、MDE の各機能について詳しく解説はせず、デバイスが MDE の機能を利用できる状態にする (オンボード) 方法の紹介となります。
MDE でどのようなことが実施できるかなど、ご興味があれば弊社の以下ブログも併せてご覧ください。
[Microsoft Defender for Endpoint(MDE・旧製品名 Windows Defender ATP)とは?機能や導入方法について解説]
MCM によるデバイスのオンボードを実施するにあたり、事前に実施しておく必要のある手順を解説します。
・オンボーディングパッケージの取得
Microsoft Defender ポータル (https://security.microsoft.com) にアクセスします。
メニューから [設定] をクリックします。
「エンドポイント」をクリックします。
「デバイス管理」内の[オンボーディング] をクリックします。
「展開方法」のプルダウンから、「Microsoft Endpoint Configuration Managerの現在の分岐以降」を選択します。
<オンボードパッケージのダウンロード> をクリックし、MCM サーバー上の任意の場所に保存します。
ダウンロードした Zip ファイルを解凍し、任意の場所に保存します。
以上で、オンボーディングパッケージの準備は完了です。
・MCM クライアント設定の展開
MCM でデバイスをオンボードするには、以下のクライアント設定を事前に対象デバイスに対して展開しておく必要があります。
[Endpoint Protection] - [Windows Server 2012 R2 と Windows Server 2016 の Microsoft Defender for Endpoint クライアント] – [MDE クライアント(推奨)]
「クライアント設定」について詳しくは以下を参照してください。
[カスタム クライアント設定を作成して展開する]
以上で、オンボードを実施するための事前準備は完了です。
MCM よりデバイスをオンボードさせるためのポリシーを作成、展開します。
MCM 管理コンソールより、[資産とコンプライアンス] – [Endpoint Protection] – [Microsoft Defender for Endpoint ポリシー] を右クリックし、「Microsoft Defender for Endpoint ポリシーの作成」をクリックします。
ウィザード画面で以下の通り設定し、[次へ] をクリックします。
両方のエージェントのライセンス条項と自動更新に同意します:チェック
名前:任意の名称を入力
ポリシーの種類:「オンボード」にチェック
[参照] をクリックします。
事前準備で保存したオンボードファイルを選択し、[開く] をクリックします。
ファイルが入力されたことを確認し、[次へ] をクリックします。
「Microsoft Defender for Endpoint オンラインサービスによる分析のために共有されたファイルサンプルを指定する」で「すべてのファイルの種類」を選択し、[次へ] をクリックします。
確認画面で、[次へ] をクリックします。
[閉じる] をクリックしウィザードを終了します。
次に、作成したポリシーをオンボード対象デバイスに展開します。
作成したポリシーを右クリックし、[展開] をクリックします。
対象デバイスが含まれるコレクションを選択し、[OK] をクリックします。
デバイスのオンボード状況は MCM および Microsoft Defender ポータルのいずれからも確認できます。
・MCM から確認する場合
[監視] – [セキュリティ] – [Microsoft Defender for Endpoint の状態] をクリックします。
「正常」と表示されていれば、オンボードが成功しています。
・Microsoft Defender ポータルから確認する場合
メニューから「デバイス」をクリックします。
「センサーの正常性状態」が「アクティブ」となっていればオンボード成功と判断できます。
最後に、オンボードしたデバイスが正しく監視されているか、テストアラートを発報し確認します。
オンボードした任意のデバイスで、コマンドプロンプトを起動し、以下コマンドを実行します。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
テストアラートが記録され、正常に機能していることが確認できました。
今回は MDE の各機能の検証ではなく、デバイスのオンボードについて紹介させていただきました。
デバイスをオンボードする方法は他にもローカルスクリプトを使用する方法や、グループポリシー、Intune を使用する方法など多数存在します。
これらの中から、各組織の環境に合わせて方法を選択することになります。
MCM でのオンボードは比較的簡単に実施できるため、オンプレ環境で MCM によるデバイス管理を実施している組織で検証などを実施する際に参考になれば幸いです。
最後までお読みいただき、ありがとうございました。
関連ページ
「Enterprise Mobility + Security 導入支援サービス」はこちら |
