Microsoft Defender for Endpoint(旧称Defender ATP)とは、クラウドベースのセキュリティ分析サービスです。
従来、Microsoft製のセキュリティソフトでは心許ないということで、トレンドマイクロやシマンテックといったサードパーティ製のセキュリティソフトを追加でインストールしていたケースが多く見受けられましたが、Defender for Endpointはマイクロソフトのファーストパーティとしての本気度を感じずにはいられないサービスとなっています。
Windows OSは10億台以上の端末にインストールされており、OSの世界シェアNo.1です。そのため、膨大なセキュリティ情報がMicrosoft社に集約されています。それらの膨大なセキュリティ情報をMicrosoftのセキュリティスペシャリストが24時間365日監視してDefender for Endpointに反映してくれるのです。
セキュリティ状況をスコア化する機能です。 ネットワーク全体の安全度を確認したり、各PCの安全度を確認するのに、とてもわかりやすく数値化してくれます。 当然、そのスコアの詳細情報も提供されますので、重要度・緊急度の高い項目から対応していくことで、セキュリティリスクを効率的に下げることが可能です。 また、スコア化する項目は、端末の脆弱性や設定ミスなど多岐に渡っており、Defender for Endpointが特定のカテゴリのみで威力を発揮するものではなく、システム・ネットワーク全体としてセキュリティレベルを向上させることが可能であることがわかります。
4)EDR
EDRとはEndpoint Detection and Responseの略で、エンドポイントの検知と対応という意味になります。 情報セキュリティに100%はあり得ません。 情報セキュリティに対する考え方は、攻撃を防御するだけではなく、被害が発生した際に、いかに早く・適切に対応できるかが求められるように変わってきています。 Defender for EndpointのEDR機能は、早期の検知と万が一被害に遭った際に迅速に原因調査と影響の範囲を把握することができます。
その他のメリット
Defender for Endpointは、Windows OSの標準コンポーネントとして提供されており、新たにソフトウェアを追加インストールする手間はありません。また、OSのアップデートと共にDefender for Endpointの機能も自動的に拡充されています。OSメーカーであるMicrosoftならではのメリットといえます。
Azure SentinelというSIEM(Security Information and Event Management)がプレビューになりました。 SIEMは情報セキュリティの監視・運用に重要な役割を果たしますが、MicrosoftがSIEMを出してきたことは、デバイス・OS・アプリ・クラウドの情報を集めやすいことからもメリットがあるといえます。
まずはセットアップしてみたいと思います。
Azureポータルより「すべてのサービス」を開き、検索窓に「Sentinel」と入力します。
「Connect Workspace」ボタンをクリックします。
新しいワークスペースを作成するか、既存のワークスペースがあれば選択します。
「Connect」ボタンをクリックして、データを接続します。
接続データの一覧から選択します。ここでは「Azure Active Directory」を選択します。