Defender ATPから脆弱性月次レポートを自動送信

Power Automateを使って、Defender ATPの脆弱性月次レポートを毎月1日にメールにて自動配信させます。

高度なハンティングクエリを使って、メールに添付するレポートCSVファイルのクエリを記述します。

DeviceTvmSoftwareInventoryVulnerabilities  
| project  DeviceName, SoftwareName, CveId, SoftwareVersion, VulnerabilitySeverityLevel 
| join (DeviceTvmSoftwareVulnerabilitiesKB
| project AffectedSoftware, VulnerabilityDescription , CveId , CvssScore , IsExploitAvailable 
)
on CveId 
| project CveId , SoftwareName , SoftwareVersion , VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable , CvssScore 
| distinct SoftwareName , SoftwareVersion, CveId, VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable  
| sort by SoftwareName asc , SoftwareVersion

メール本文に掲載するレポートのクエリを記述します。

DeviceTvmSoftwareInventoryVulnerabilities  
| project DeviceName, SoftwareName, CveId, SoftwareVersion, VulnerabilitySeverityLevel
| join (DeviceTvmSoftwareVulnerabilitiesKB
| project AffectedSoftware, VulnerabilityDescription , CveId , CvssScore , IsExploitAvailable 
)
on CveId 
| project CveId , SoftwareName , SoftwareVersion , VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable , CvssScore 
| distinct SoftwareName , SoftwareVersion, CveId, VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable  
| summarize count() by VulnerabilitySeverityLevel
| sort by VulnerabilitySeverityLevel nulls last
配信するメール
添付ファイル

Windows Server 2016 Defender ATP オンボード

Windows Server 2016 Defender ATP オンボード

必要なライセンス
Windows 10 Enterprise E5
Defender ATP 無償試用版のサインナップ:
https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp?ocid=docs-wdatp-minreqs-abovefoldlink

診断データサービスの設定確認
コマンドプロンプトを管理者モードで起動
sc qc diagtrack
START_TYPE が AUTO_START になっていればOK

Azure セキュリティセンターを使用したオンボードサーバー

ナビゲーションウィンドウで、[設定 > ]、[コンピューター管理 > のオンボード] の順番に選びます。

オペレーティングシステムとして Windows Server 2008 R2 SP1、2012 R2、2016を選択します。

[ Azure Security Center でオンボードサーバー] をクリックします。

「Microsoft Defender Advanced Threat Protection In Azure Security Center」のオンボード手順に従います。
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-wdatp

Microsoft Defender セキュリティセンターポータルからサーバーの監視を有効にする

ナビゲーションウィンドウで、[設定 > ]、[コンピューター管理 > のオンボード] の順番に選びます。

オペレーティングシステムとして Windows Server 2012 R2 と2016を選びます。

Turn on server monitoring をクリックし、環境のセットアップに進むことを確認します。 セットアップが完了したら、[ワークスペース ID] フィールドと [ワークスペース キー] フィールドに一意の値が挿入されます。 MMA エージェントを構成するには、これらの値を使う必要があります。

Microsoft Monitoring Agent (MMA) をインストールして構成し、Microsoft Defender ATP にセンサーデータを報告します。

エージェント セットアップ ファイル (Windows 64 ビット エージェント) をダウンロードします。

前の手順で提供されたワークスペース ID とワークスペース キーを使って、次のいずれかのインストール方法を選んでエージェントをサーバーにインストールします。

セットアップを使ってエージェントを手動でインストールする

[エージェントのセットアップ オプション] ページで、[エージェントを Azure Log Analytics (OMS) に接続する] を選びます。コマンド ラインを使ってエージェントをインストールし、スクリプトを使ってエージェントを構成します。

Microsoft Monitoring Agent のプロキシ設定を構成する必要があります。 詳しくは、「プロキシ設定の構成」をご覧ください。

完了すると、1 時間以内にオンボード サーバーがポータルに表示されます。

Azure Security Center との統合
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-onboarding

Microsoft Defender ATP の最小要件:
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/minimum-requirements
Microsoft Defender ATP サービスに対するオンボードサーバー:
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/configure-server-endpoints

Defender ATPでWebフィルタリング

Microsoft Defender ATPでWebフィルタリングができるようになりました。

Defender ATPのWebフィルタリングでできること

  • Webサイトがカテゴリに分類され、カテゴリ別にアクセス許可/拒否設定が可能

【カテゴリ分類】

  • 成人コンテンツ
    • カルト
    • ギャンブル
    • ヌード
    • ポルノ/性的に露骨
    • 性教育
    • 無味
    • 暴力
  • 高帯域幅
    • ダウンロードサイト
    • 画像共有
    • ピアツーピア
    • ストリーミングメディアとダウンロード
  • 法的責任
    • 児童虐待の画像
    • 犯罪行為
    • ハッキング
    • 憎悪と不寛容
    • 違法薬物
    • 違法なソフトウェア
    • 学校の不正行為
    • 自傷
    • 兵器
  • レジャー
    • チャット
    • ゲーム
    • インスタントメッセージング
    • プロのネットワーキング
    • ソーシャルネットワーキング
    • ウェブメール
  • 未分類
    • 不明

Defender ATPのWebフィルタリングの効果

  • 意図しないWebサイトへのアクセスを防止することでマルウェア感染リスクを低減
  • 不要な通信を制限することで、ネットワーク帯域の正常化
  • 業務に関係のないWebサイトの閲覧を防止することで業務効率を向上
  • ファイル転送サービス等の通信を監視することで情報漏洩を防止

Defender ATPのWebフィルタリングの機能

  • 主要ブラウザでのWebフィルタリング
    • EdgeはSmartScreenでブロック
    • その他主要ブラウザではネットワークブロック

設定方法

Cyrenライセンスへのサインナップ

WebフィルタリングはCyrenのデータベースを利用します。60日間の無料トライアルを提供しています。

[設定]画面より「Web content filtering」を「On」にして「保存する」をクリックします。

「レポート」>「Webプロテクション」画面を開き、「Connect to a partner」リンクをクリックします。

「Open partner page」ボタンをクリックします。

「CONNECT NOW」ボタンをクリックします。

承認内容を確認の上、「承認」ボタンをクリックします。

必要事項を記入の上、「REGISTER」ボタンをクリックします。

Cyrenの登録が完了です。
「Settings – Web content filtering」リンクをクリックします。

「+Add policy」をクリックします。

ポリシー名を入力して「Next」ボタンをクリックします。

ブロックするカテゴリにチェックを入れて「Next」ボタンをクリックします。カテゴリ右部の「↓」をクリックするとサブカテゴリが表示されます。

適用させる範囲を選択します。ここでは全てのPCに適用させています。
マシングループを選択することもできます。

内容を確認して「保存」ボタンをクリックします。

これで設定は完了です。

Microsoft Defender ATPの使い方~その1~

社内のセキュリティ担当者が実際に日々行う業務についてです。
Defender ATPは、高機能なだけではなく、わかりやすい画面構成や運用をサポートしてくれる機能があります。
どんなに検知率が高いツールであったとしても、使いにくかったり難しかったりするツールでは意味がありません。
運用しやすいツールであることは、セキュリティを常に安全に保つための最重要ポイントだと思います。

セキュリティセンタートップ画面

Defender ATPを開くと、まずはじめに開くのがこの画面になります。
現在のセキュリティの全体像が把握できるようになっています。

アクティブなアラート

ネットワークの過去30日間のアクティブなアラートの合計数をタイルから確認できます。 アラートは [New] (新規) と [In progress] (処理中) に分類されます。

各グループは、さらにアラートの重大度レベルに分類されます。 各アラート リング内に表示されているアラート数をクリックすると、そのカテゴリのキューを整理したビューが表示されます ([New] (新規) または [In progress] (処理中))。各行には、1 つのアラート重大度カテゴリと、アラートの短い説明が含まれます。 通知をクリックすると、その詳細ビューが表示されます。

危険な端末

このタイルでは、アクティブなアラートが最も多く発生しているコンピューターの一覧が表示されます。 コンピューター名の横の円の中に、各コンピューターの合計アラート数が表示され、タイルの右端に重大度レベルごとの内訳が表示されます (重大度の縦線をポイントするとラベルが表示されます)。

コンピューターの名前をクリックすると、コンピューターに関する詳しい情報が表示されます。 詳細については、「 Microsoft Defender Advanced Threat Protection マシン」の一覧でコンピューターを調査します。
タイル上部の [Machines list] (コンピューター一覧) をクリックして、アクティブなアラート数で並べ替えられた [Machines list] (コンピューター一覧) に直接移動することもできます。

センサーの正常性

[センサーの正常性] タイルには、個々のコンピューターの機能に関する情報が表示され、MICROSOFT Defender ATP サービスにセンサーデータを提供できます。 注意が必要なコンピューターの数が報告され、問題があるコンピューターを識別するのに役立ちます。

サービスに正しく報告していないコンピューターの数に関する情報を提供するステータス インジケーターが 2 つあります。

  • 正しく構成されていません。これらのコンピューターでは、一部が MICROSOFT Defender ATP サービスにセンサーデータを報告しており、修正する必要がある構成エラーが発生している可能性があります。
  • 非アクティブ-過去1ヶ月以内に MICROSOFT Defender ATP サービスへの報告が停止されているコンピューター。

いずれかのグループをクリックすると、選択内容に基づいてフィルター処理されたコンピューターの一覧が表示されます。

サービスの正常性

[Service health] (サービスの正常性) タイルは、サービスがアクティブであるかどうかや、問題があるかどうかを通知します。

端末の日々の推移

[Daily machines reporting] (日付ごとの報告があるコンピューター) タイルでは、過去 30 日間の日付ごとに報告しているコンピューターの数を表す棒グラフが表示されます。 グラフでそれぞれの棒をポイントすると、日付ごとに報告があるコンピューターの正確な数を確認できます。

アクティブな自動調査

[アクティブな自動調査] タイルでは、ネットワーク内の過去30日間の自動調査の全体的な数を表示できます。 調査は保留中のアクションにグループ化され、コンピューターを待機して実行されます。

自動調査の統計

このタイルには、過去30日間の自動調査に関連する統計が表示されます。 完了した調査の数、正常に修復された調査の数、調査が開始されるまでの期間の平均、通知の修復にかかる平均時間、調査対象の通知の数を示すことができます。一般的な手動調査から保存されたオートメーションの時間数。

自動調査、再 mif された調査、およびアラートをクリックして、適切なカテゴリでフィルター処理された [調査] ページに移動することができます。 これにより、コンテキストの調査の詳細が表示されます。

危険な状態のユーザー

タイルには、最もアクティブなアラートと、高、中、低のアラートで発生したアラートの数が表示されたユーザーアカウントの一覧が表示されます。

ユーザー アカウントの詳細を表示するには、ユーザー アカウントをクリックします。

Microsoft Defender ATPの価格

Defender ATPのライセンスの価格について、“わかりにくい”とのご質問をいただくので、整理してみました。

Windows 10 Professionalの場合

Defender ATPは、Windows 10 Enterprise E5のライセンスが必要です。
月額1,200円~
となります。

例えば、Windows 10 Professional のPCを10台ご利用の場合、
Windows 10 Enterprise E5 月額1,200円 ×10台 = 月額12,000円
となります。

(Microsoft 365 E5もWindows 10 Enterprise E5を含んでおりますので、Defender ATPが利用できます。)

※ Windows 10 Home ではご利用いただけません。Home をご利用の場合は、Professional へアップグレード(約14,000円程度)してから、Enterprise E5 を適用する必要があります。

Windows Server OSの場合

Windows Server 2016の場合は、
Azure Security Center  月額1,635.2円~
Log Analytics 1か月を超えて保存するデータ 1GBあたり月額16.8円
       月間5GBを超えて格納するデータ 1GBあたり月額374.08円
Windows 10 Enterprise E5 月額1,200円
が必要になりますので、月額2,835.2円~となります。

Windows Server 2012 R2の場合はもう少し複雑で、上記に加えてSCCM、SCEP Client、MMA が必要になります。

Mac OSの場合

Mac OSの場合もライセンスは同じで、Windows 10 Enterprise E5が必要です。
月額1,200円~
となります。
もちろん、Windows OSとしては使用しません。あくまでAzure ADユーザーのライセンスとして割り当てるだけになります。

Linux OSの場合

2020年にはリリースされそうですので、今後に期待です。

不明点がございましたらお気軽にお問合せ下さい。

関連リンク

Microsoft Defender ATP とは
Windows 10 Enterprise
Microsoft 365

Microsoft Defender ATPの自動調査・自動修復

セキュリティ担当者は、日々アラートの対応に追われているという方も多いのではないでしょうか。
本当に安全なセキュリティの運用とは、“自動化”が鍵になると思います。日々飛んでくる(似たような)アラートを精査することは機械に任せて、セキュリティ担当者は、セキュリティポリシーの精査や社内への周知・徹底、啓蒙活動に重きを置くべきだと思います。

Microsoft Defender ATP の自動調査機能では、さまざまな検査アルゴリズムを利用してアラートを調査し、違反を解決するための修復アクションを実行します。 これによりアラートの量は大幅に削減され、セキュリティ担当者はより高度な脅威や本来もっとやるべき業務に集中することができます。

自動調査を有効にする

自動調査を有効にするには、[設定]>[Advanced features]画面から、[Automated Investigation]を[On]にして、ページ下部の[Save preferences]をクリックします。

これだけで自動調査が有効になります。全ての端末で自動調査が有効になり、「自動調査」画面に、 自動的に開始されたすべての調査が表示され、その状態、検出ソース、調査が開始された日付などのその他の詳細が表示されます。

デフォルトでは、修復は半自動の状態となっており、[自動調査]画面に表示される修復内容を管理者が承認することで、修復アクションが実行されます。


これは、誤検知した内容を修復してしまうリスクを避けるためですが、ケースによっては完全自動化したい、もしくは一部を自動化したい場合もあるのではないでしょうか。

自動修復を設定する

Defender ATPではPCをグルーピングして、グループ毎に自動修復の動作を下記5パターンに設定することができます。

オートメーションレベル説明
保護されませんコンピューターでは、自動調査は実行されません。
修復に対して承認を必須にするこれは既定のレベルです。

すべての修復アクションに承認が必要です。
一時フォルダー以外の修復に対して承認を必須にする一時フォルダー( ユーザーのダウンロードフォルダーやユーザーの temp フォルダーなど )以外の修復アクションには承認が必要です。

一時フォルダーの修復アクションは、必要に応じて自動的に実行されます。
主要なフォルダーの修復に対して承認を必須にする オペレーティングシステムディレクトリ (Windows フォルダーや Program files フォルダーなど)の修復アクションには承認が必要です。

他のすべてのフォルダーの修復アクションは、必要に応じて自動的に実行されます。
修復アクションを全て自動的に行うすべての修復アクションが自動的に実行されます。

まず、PCをグループ分けするために、各PCにタグを付けます。
ここでは「Guest」というタグを付けています。

ナビゲーションウィンドウで、[設定]>[コンピューターグループ] 画面を開き、[コンピューターグループの追加] をクリックします。

グループに所属するには、端末名やドメイン名やタグで分類できます。
ここでは、[Tag]欄に[Guest]と入力することで、[Guest]とタグ付けしたPCがこのグループに所属します。
その他、グループ名や自動修復レベルを選択して[Done]ボタンをクリックします。

部署や権限などで分類する数だけ、自動修復レベルグループを作成します。

Defender ATPでは、それぞれの組織にあわせた自動調査・自動修復の設定を行うことで、より安全で、より効率的なセキュリティの運用を行うことができます。

IT導入補助金2019でMicrosoft Defender ATPを導入できます

IT導入補助金2019は終了しました。
IT導入補助金2020はこちらよりどうぞ。

2020年3月13日更新

当社はIT導入補助金の ITベンダー・サービス事業者ですので、補助金を利用して半額でMicrosoft Defender ATPを導入いただけます。

Microsoft Defender ATPを導入する場合、「Windows 10 Enterprise E5」または「Microsoft 365 Enterprise E5」のどちらかのライセンスが必要になります。
IT導入補助金2019を活用する場合、Windows 10 Enterprise E5 + EMS E3(E5でも可) の組み合わせで申請基準を満たすことが可能です。

是非この機会に補助金を活用して最新のセキュリティ対策を導入してみませんか?

IT導入補助金とは

IT導入補助金は、中小企業・小規模事業者等のみなさまが自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、みなさまの業務効率化・売上アップをサポートするものです。

IT導入補助金の補助額は

A類型 40万~150万円未満
B類型 150万~450万円
補助率 1/2以下

IT導入補助金を利用できる方は

IT導入補助金の対象者は 中小企業・小規模事業者等(飲食、宿泊、卸・小売、運輸、医療、介護、保育等のサービス業の他、製造業や建設業等も対象)

IT導入補助金の活用例

PC20台の事務所にMicrosoft Defender ATPを導入する場合

Windows 10 Enterprise E5 + EMS E3

初期導入費用

クラウド設定費70,000円1式70,000円
現地インストール作業費10,000円20台200,000円
初期導入費合計270,000円

月額費用

EMS E3950円20台19,000円
Windows 10 Enterprise E51,200円20台24,000円
保守費15,000円1式15,000円
セキュリティ運用費30,000円1式30,000円
月額費用合計88,000円


初年度合計 1,326,000円

→IT導入補助金を利用すると半額の663,000円が補助されます。

Microsoft Defender ATPについての詳細はこちら

Windows 10 Enterpriseについての詳細はこちら

EMSについての詳細はこちら

IT導入補助金2019についての詳細はこちら

お問い合わせはこちらからどうぞ

Microsoft Defender ATP 脆弱性管理(TVM)

マイクロソフトは2019年6月30日より脅威及び脆弱性管理 Threat & Vulnerability Management(TVM)を正式リリースしました。
TVMはMicrosoft Defender ATPの機能の1つで、PCの脆弱性と設定の誤りを発見して、管理・修正を行います。

  • 脆弱性及び設定ミスをリアルタイムで発見
  • 脅威インテリジェンスに基づいた緊急度と重要度をスコア化
  • Microsoft Intuneと連携して、検知から修復までを自動化
  • 脆弱性検知はマイクロソフト製品のみならず、サードパーティアプリケーションも対応

ダッシュボード画面では、脆弱性を可視化してグラフィカルにわかりやすく表示します。特に、脅威インテリジェンスに基づいてスコア化されており、“何が”“どれくらい”危険なのかが一目でわかります。

Threat &Vulnerability Management(TVM)ダッシュボード

セキュリティの推奨事項画面では、脆弱性や設定ミスの個々の項目についてスコア化して、スコアの高い順(=リスクの高い順)に一覧表示します。セキュリティ管理者は上から順に対応するだけで、効率良くセキュリティ対策を行うことができます。

セキュリティの推奨事項

修復管理画面では、脆弱性の修正対応状況を管理することができます。現場担当者へ対応依頼を行ったまま、作業洩れするようなことはありません。

修復管理

ソフトウェアインベントリ画面では、PCにインストールされているソフトウェアの一覧が管理できます。

ソフトウェアインベントリ

脆弱性管理画面では、共通脆弱性識別子(CVE)をベースに脆弱性を管理することができます。

脆弱性管理

マイクロソフトではあまりTVMの告知を行っていないようですが、Windows OSでは標準コンポーネント(=追加インストール不要)で、リアルタイムで脆弱性と設定ミスを一元管理できるため、セキュリティを常に最新状態に保つための非常に強力なツールです。

関連コンテンツ

Microsoft Defender ATPとは

Microsoft Defender ATPとは

Microsoft Defender ATPとは、Windows 10 Enterprise E5で利用できるクラウドベースのセキュリティ分析サービスです。

従来、Microsoft製のセキュリティソフトでは心許ないということで、トレンドマイクロやシマンテックといったサードパーティ製のセキュリティソフトを追加でインストールしていたケースが多く見受けられましたが、Defender ATPはマイクロソフトのファーストパーティとしての本気度を感じずにはいられないサービスとなっています。

Defender ATPの特徴

1)統合管理
2)脅威インテリジェンス
3)セキュリティスコア
4)EDR

1)統合管理

従来、Microsoft製セキュリティソフトの管理といえば、グループポリシーかIntuneで設定を管理することしかできませんでした。
Defender ATP Security Centerでは、管理デバイスを統合管理することができます。クラウド上のダッシュボードに、ネットワーク全体から各端末の詳細に至るまでセキュリティ状況をグラフィカルに可視化することができます。

また、PCにウィルス感染の疑いがある場合には、管理画面からウィルススキャンを実行することもできます。

2)脅威インテリジェンス

Windows OSは10億台以上の端末にインストールされており、OSの世界シェアNo.1です。そのため、膨大なセキュリティ情報がMicrosoft社に集約されています。それらの膨大なセキュリティ情報をMicrosoftのセキュリティスペシャリストが24時間365日監視してDefender ATPに反映してくれるのです。

脅威インテリジェンス情報を提供しているサービスは他社にもありますが、このコストで利用でき、さらにスコア化してエンドユーザにもわかりやすく提供してくれるサービスは他にはありません。

3)セキュリティスコア

セキュリティ状況をスコア化する機能です。
ネットワーク全体の安全度を確認したり、各PCの安全度を確認するのに、とてもわかりやすく数値化してくれます。
当然、そのスコアの詳細情報も提供されますので、重要度・緊急度の高い項目から対応していくことで、セキュリティリスクを効率的に下げることが可能です。
また、スコア化する項目は、端末の脆弱性や設定ミスなど多岐に渡っており、Defender ATPが特定のカテゴリのみで威力を発揮するものではなく、システム・ネットワーク全体としてセキュリティレベルを向上させることが可能であることがわかります。

4)EDR

EDRとはEndpoint Detection and Responseの略で、エンドポイントの検知と対応という意味になります。
情報セキュリティに100%はあり得ません。
情報セキュリティに対する考え方は、攻撃を防御するだけではなく、被害が発生した際に、いかに早く・適切に対応できるかが求められるように変わってきています。
Defender ATPのEDR機能は、早期の検知と万が一被害に遭った際に迅速に原因調査と影響の範囲を把握することができます。

その他のメリット

Defender ATPは、Windows OSの標準コンポーネントとして提供されており、新たにソフトウェアを追加インストールする手間はありません。また、OSのアップデートと共にDefender ATPの機能も自動的に拡充されています。OSメーカーであるMicrosoftならではのメリットといえます。

関連コンテンツ

Microsoft Defender ATPの使い方~その1~
Microsoft Defender ATPの自動調査・自動修復
Microsoft Defender ATP 脆弱性管理
Microsoft Defender ATPの価格

Microsoft Defender ATPのセットアップ

Windows 10 Enterprise E5もしくはMicrosoft 365 Enterprise E5では、Microsoft Defender ATPが利用できます。
Defender ATPをセットアップしてみたいと思います。

まず、セキュリティセンターへアクセスします。
https://securitycenter.windows.com/

Azure ADアカウントでログインして、ウィザードの通りに進めると、ダッシュボードが表示されます。

Defender ATPに、端末をオンボード(登録)します。
オンボードの手順は複数あり、「ローカルスクリプト実行」「グループポリシー」「MDM/Intune」などからできますが、今回はローカルスクリプトを実行します。
プルダウンより「local script」を選択して「DOWNLOAD」をクリックします。

ダウンロードしたファイルを展開して、管理者として実行します。

コマンドプロンプトで「y」を押して、オンボード完了です。

データが表示されるようになりました。

【おまけ】
Defender ATPは日本語化されておらず、全て英語表記なのですが、人によっては英語に抵抗を感じる方もいるようですので、なんちゃって日本語化します。
Google Chromeでセキュリティセンターにアクセスして、画面右上部にでてくる「翻訳」ボタンをクリックします。

Google翻訳がページ丸ごと翻訳してくれるので、まるで日本語対応になったように表示されます。(よく見ると微妙な訳もありますが)