Microsoft Defender for Endpoint ポイント(随時更新)
Microsoft Defender for Endpoint で押さえておくべきポイントを記録していきます。
自動調査と修復
修復レベル
MDEではインシデントが発生すると自動調査を行い、結果に基づいて自動的に修復を行います。修復は自動で実行したい場合もあれば、そうでない場合もあります。この辺りは修復レベルの設定によって挙動が変わります。
修復レベルは大きく3種類に分類されます。
①完全、②半承認(さらに3種類に分類される)、③自動応答なし
です。
②の半承認ですが、自動修復を行う対象フォルダの種類に応じて、さらに3つのレベルに分類されます。半承認では、修復の実行には、管理者による承認が必要となります。
既定の動作
MDEはデバイスをオンボードすると「既定のデバイスグループ」に所属します。この既定のグループの修復レベルは「①完全」となっています。
修復アクションの確認方法
デバイスにどのような修復アクションが実行されたかは、Defender XDRポータルのアクションセンターで確認が可能です。
「保留中」と「履歴」のタブがあります。実行されたアクションは「履歴」に表示されます。修復レベルを「半承認」とした場合、検知されてから承認が行われるまでは、「保留中」に表示されます。
このアクションセンターには、MDEによる自動修復アクション以外にも、デバイスに行った手動のアクション(調査パッケージの収集など)も表示されます。

ライブ応答機能
利用可能なコマンド
どんなコマンドでも打てるわけではないありません(Defender XDR自体が乗っ取られると、遠隔で操作されてしまうリスクがあるため)
また、コマンドプロンプトやWindows Powershellコマンドが使えるわけではなく、ライブ応答専用のコマンドだけが利用できます。
デバイス検出
基本モードとStandardモード
2種類のモードがあります。
基本モードでは、MDE管理下のデバイスは、他のデバイスからの通信をパッシブに取得して検出する方法です。
Standardモードでは、MDE管理下のデバイスは、ネットワーク内のデバイスをアクティブに検索します。
MS推奨は、「Standardモード」となっています。
https://learn.microsoft.com/ja-jp/defender-endpoint/device-discovery
Web保護機能
3つの方法
3つの方法があります。
①カスタムインジケータ
URLを直接指定して、ブロックできます
②WEB脅威保護
危険なサイトを、ブロックできます
③Webコンテンツフィルタ
業務に関係のないサイト(ギャンブルサイト)などを指定して、ブロックできます
ブラウザ種別とWEB保護実現のために使われる技術の違い
EdgeまたはEdge以外で分かれます。
Edgeの場合は、SmartScreenの機能が利用されます。
Edge以外の場合は、ネットワーク保護の機能が使われます
※SmartScreen、ネットワーク保護は、どちらもWIndows OSの機能です。
ディスカッション
コメント一覧
まだ、コメントがありません