Microsoft Defender ポータルでのMicrosoft Defender for Endpoint
Microsoft Defender for Endpointは、Microsoft Defender ポータルの一部であり、セキュリティ チームがインシデントとアラートを管理し、脅威を検出し、調査と対応を自動化するための統合されたエクスペリエンスを提供します。 Microsoft Defender ポータル (https://security.microsoft.com) には、資産を保護し、脅威を検出、調査、対応するセキュリティ機能が組み合わされています。
ノート PC、電話、タブレット、ルーター、ファイアウォールなどのエンドポイントは、ネットワークへのエントリ ポイントです。 Microsoft Defender for Endpointは、ネットワーク上のアクティビティを可視化し、高度な脅威を検出して対応することで、これらのエンドポイントをセキュリティで保護するのに役立ちます。
このガイドでは、Microsoft Defender ポータルでMicrosoft Defender for Endpointを実行する場合の想定内容について説明します。
はじめに
Microsoft Defender ポータルでMicrosoft Defender for Endpointを使用するには、Microsoft Defender for Endpoint ライセンスが必要です。 詳細については、「Microsoft Defender for Endpoint ライセンス」を参照してください。
さらに、ハードウェアとソフトウェア、ブラウザー、ネットワーク接続、および Microsoft Defender ウイルス対策との互換性に関する要件があることを確認します。 詳細については、「最小要件Microsoft Defender for Endpoint」を参照してください。
また、Microsoft Defender ポータルにアクセスするために必要なアクセス許可も必要です。 詳細については、「 基本的なアクセス許可を使用してポータルにアクセスする」を参照してください。
想定される変化
調査と対応
Microsoft Defender ポータルの調査と対応機能は、インシデントとアラートの調査と対応に役立ちます。 インシデントは、相互に関連するアラートのグループです。
インシデントと警告
インシデントに関係するデバイスは、インシデントのページ 攻撃ストーリー、インシデント グラフ、 資産タブに 表示されます。関連するデバイス、インシデントをトリガーしたアラート、実行されたアクションなど、インシデントの詳細を表示できます。 デバイスの分離、調査パッケージの収集など、インシデントにアクションを適用できます。
![インシデントに関連するデバイスが強調表示されている [資産] タブのスクリーンショット。](/ja-jp/defender/media/portal/mde-in-portal/incident-assets-devices.png#lightbox)
[アラート] ページに個々のアラートが表示されます。 関連するデバイス、アラートの一部であるインシデント、実行されたアクションなど、アラートの詳細を表示できます。 アラート ページでアラートにアクションを適用することもできます。
検索
エンドポイント、Office 365 メールボックスなどに対する脅威、マルウェア、悪意のあるアクティビティを積極的に検索するために、高度な検索クエリを使用します。 これらの強力なクエリを使用して、既知の脅威と潜在的な脅威の両方の脅威インジケーターとエンティティを見つけて確認できます。
カスタム検出ルールは、高度なハンティング クエリから構築して、侵害アクティビティやデバイスの構成ミスを示す可能性があるイベントを事前にwatchするのに役立ちます。
アクション センターと申請
アクション センターには、自動調査と対応機能によって作成された調査が表示されます。 Microsoft Defender ポータルのこの自動自己修復は、セキュリティ チームが特定のイベントに自動的に応答するのに役立ちます。 デバイスに適用されたアクション、アクションの状態を表示し、自動アクションを承認または拒否できます。 [調査 & 応答>アクション] & 申請アクション センターの [アクション センター] ページに>移動します。
ファイル、電子メールの添付ファイル、URL を送信して、分析のためにMicrosoft Defenderできます。 また、提出の状態と分析の結果を表示することもできます。 [ 調査] & [応答 > アクション] & [申請] の下にある [サブミッション] ページに > 移動します。
脅威インテリジェンス
脅威 インテリジェンス ページでは、新たな脅威、新しい攻撃手法、一般的なマルウェア、脅威アクターとキャンペーンに関する情報を表示できます。 脅威分析ダッシュボードにアクセスして、最新の脅威インテリジェンスと分析情報を表示します。 アナリスト レポートを使用して、特定の脅威から保護する方法を読み取り、理解することもできます。
[脅威インテリジェンス脅威分析] の下の [脅威分析] ページに移動します。>
デバイス一覧
[Assets > Devices]\(資産デバイス\) ページには、アラートが生成されたorganization内のすべてのデバイスが一覧表示されるデバイス インベントリが含まれています。 IP アドレス、重要度レベル、デバイス カテゴリ、デバイスの種類など、デバイスの詳細を表示できます。
![Microsoft Defender ポータルの [デバイス インベントリ] ページのスクリーンショット。](/ja-jp/defender/media/portal/mde-in-portal/device-inventory-mde.png#lightbox)
脆弱性管理とエンドポイント構成管理のMicrosoft Defender
Microsoft Defender 脆弱性の管理ダッシュボードは、[エンドポイントの>脆弱性管理] にあります。 Defender for Vulnerability Management は、ネットワーク内の脆弱性の検出、優先順位付け、修復に役立ちます。 前提条件とアクセス許可の詳細と、デバイスをDefender 脆弱性の管理にオンボードする方法について説明します。
デバイス構成ダッシュボードは、 エンドポイント > 構成管理 > ダッシュボードにあります。 デバイスのセキュリティ、Microsoft IntuneとMicrosoft Defender for Endpointによるオンボード、Web 保護範囲、攻撃面管理をひと目で確認できます。
セキュリティ管理者は、エンドポイント構成管理>エンドポイント セキュリティ ポリシーの下で、organization内の>デバイスにエンドポイント セキュリティ ポリシーを展開できます。 エンドポイント セキュリティ ポリシーの詳細を確認してください。
レポート
[ レポート] ページでは、デバイスの正常性、脆弱なデバイス、毎月のセキュリティの概要、Web 保護、ファイアウォール、デバイス制御、攻撃面の削減ルールのレポートを表示できます。
![Microsoft Defender ポータルのエンドポイント関連レポートが強調表示されている [レポート] ページのスクリーンショット。](/ja-jp/defender/media/portal/mde-in-portal/reports-mde.png#lightbox)
全般設定
デバイス検出
[デバイスの検出の設定] > ページでは、検出方法、除外、Enterprise IOT (アクセス依存) の有効化、認証されたスキャン スケジュールの構成など、デバイスの検出設定を構成できます。 詳細については、「 デバイスの検出」を参照してください。
![Microsoft Defender ポータルの [デバイス検出] ページのスクリーンショット。](/ja-jp/defender/media/portal/mde-in-portal/device-discovery-mde.png#lightbox)
エンドポイント設定
[設定エンドポイント] > ページに移動して、高度な機能、電子メール通知、アクセス許可など、Microsoft Defender for Endpointの設定を構成します。
![エンドポイント設定が強調表示されているMicrosoft Defender ポータルの [設定] ページのスクリーンショット。](/ja-jp/defender/media/portal/mde-in-portal/settings-mde.png#lightbox)
メール通知
特定のデバイス、アラートの重大度、脆弱性のルールを作成して、特定のユーザーまたはグループに電子メール通知を送信できます。 詳細については、次の情報を参照してください。
アクセス許可と役割
エンドポイントのロール、アクセス許可、デバイス グループを管理するには、[設定エンドポイント] の [アクセス許可]>に移動します。 [ロール ] でロール を作成および定義し、アクセス許可を割り当て、[ デバイス グループ] でデバイスをグループに作成および整理できます。
または、[システム>のアクセス許可] ページで [エンドポイント ロール & グループ] に移動することもできます。
API と MSSP
Microsoft Defender XDRアラート API は、お客様が 1 つの統合を使用して、すべてのDefender XDR製品のアラートを操作できるようにする公式 API です。 詳細については、「MDE SIEM API から Microsoft Defender XDR アラート API に移行する」を参照してください。
マネージド セキュリティ サービス プロバイダー (MSSP) がアラートの受信にアクセスすることを承認するには、MSSP のアプリケーション ID とテナント ID を指定する必要があります。 詳細については、「 MSSP 統合」を参照してください。
ルール
インジケーターの管理、Web コンテンツのフィルター処理、自動化アップロードと自動化フォルダーの除外の管理などのルールとポリシーを作成できます。 これらのルールを作成するには、[設定エンドポイント] の下の [ルール] >に移動します。 これらのルールの管理の詳細については、次のリンクを参照してください。
セキュリティ設定の管理
[設定>エンドポイント>] [構成管理>の適用] スコープでは、Microsoft Defender for Endpoint Microsoft Intuneセキュリティ設定を適用できます。 詳細については、「Microsoft Intuneを使用してウイルス対策Microsoft Defender構成および管理する」を参照してください。
デバイス管理
デバイスをオンボードまたはオフボードし、[設定エンドポイント] [デバイス管理] > ページでデバイス検出テストを>実行できます。 デバイスのオンボード手順については、「Microsoft Defender for Endpointへのオンボード」を参照してください。 オフボード デバイスについては、「 オフボード デバイス」を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。