Microsoft Defender for Endpoint ポイント(随時更新)

Microsoft Defender for Endpoint で押さえておくべきポイントを記録していきます。

自動調査と修復

修復レベル

MDEではインシデントが発生すると自動調査を行い、結果に基づいて自動的に修復を行います。修復は自動で実行したい場合もあれば、そうでない場合もあります。この辺りは修復レベルの設定によって挙動が変わります。

修復レベルは大きく3種類に分類されます。

①完全、②半承認(さらに3種類に分類される)、③自動応答なし

です。

②の半承認ですが、自動修復を行う対象フォルダの種類に応じて、さらに3つのレベルに分類されます。半承認では、修復の実行には、管理者による承認が必要となります。

既定の動作

MDEはデバイスをオンボードすると「既定のデバイスグループ」に所属します。この既定のグループの修復レベルは「①完全」となっています。

修復アクションの確認方法

デバイスにどのような修復アクションが実行されたかは、Defender XDRポータルのアクションセンターで確認が可能です。

「保留中」と「履歴」のタブがあります。実行されたアクションは「履歴」に表示されます。修復レベルを「半承認」とした場合、検知されてから承認が行われるまでは、「保留中」に表示されます。

このアクションセンターには、MDEによる自動修復アクション以外にも、デバイスに行った手動のアクション(調査パッケージの収集など)も表示されます。

ライブ応答機能

利用可能なコマンド

どんなコマンドでも打てるわけではないありません(Defender XDR自体が乗っ取られると、遠隔で操作されてしまうリスクがあるため)

また、コマンドプロンプトやWindows Powershellコマンドが使えるわけではなく、ライブ応答専用のコマンドだけが利用できます。

デバイス検出

基本モードとStandardモード

2種類のモードがあります。

基本モードでは、MDE管理下のデバイスは、他のデバイスからの通信をパッシブに取得して検出する方法です。

Standardモードでは、MDE管理下のデバイスは、ネットワーク内のデバイスをアクティブに検索します。

MS推奨は、「Standardモード」となっています。

https://learn.microsoft.com/ja-jp/defender-endpoint/device-discovery

Web保護機能

3つの方法

3つの方法があります。

①カスタムインジケータ

URLを直接指定して、ブロックできます

②WEB脅威保護

危険なサイトを、ブロックできます

③Webコンテンツフィルタ

業務に関係のないサイト(ギャンブルサイト)などを指定して、ブロックできます

ブラウザ種別とWEB保護実現のために使われる技術の違い

EdgeまたはEdge以外で分かれます。

Edgeの場合は、SmartScreenの機能が利用されます。

Edge以外の場合は、ネットワーク保護の機能が使われます

※SmartScreen、ネットワーク保護は、どちらもWIndows OSの機能です。