Windows Server 2016 Defender ATP オンボード

必要なライセンス
Windows 10 Enterprise E5
Defender ATP 無償試用版のサインナップ：
https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp?ocid=docs-wdatp-minreqs-abovefoldlink

診断データサービスの設定確認
コマンドプロンプトを管理者モードで起動
sc qc diagtrack
START_TYPE が AUTO_START になっていればOK

Azure セキュリティセンターを使用したオンボードサーバー

ナビゲーションウィンドウで、[設定 > ]、[コンピューター管理 > のオンボード] の順番に選びます。

オペレーティングシステムとして Windows Server 2008 R2 SP1、2012 R2、2016を選択します。

[ Azure Security Center でオンボードサーバー] をクリックします。

「Microsoft Defender Advanced Threat Protection In Azure Security Center」のオンボード手順に従います。
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-wdatp

Microsoft Defender セキュリティセンターポータルからサーバーの監視を有効にする

ナビゲーションウィンドウで、[設定 > ]、[コンピューター管理 > のオンボード] の順番に選びます。

オペレーティングシステムとして Windows Server 2012 R2 と2016を選びます。

Turn on server monitoring をクリックし、環境のセットアップに進むことを確認します。セットアップが完了したら、[ワークスペース ID] フィールドと [ワークスペースキー] フィールドに一意の値が挿入されます。 MMA エージェントを構成するには、これらの値を使う必要があります。

Microsoft Monitoring Agent (MMA) をインストールして構成し、Microsoft Defender ATP にセンサーデータを報告します。

エージェントセットアップファイル (Windows 64 ビットエージェント) をダウンロードします。

前の手順で提供されたワークスペース ID とワークスペースキーを使って、次のいずれかのインストール方法を選んでエージェントをサーバーにインストールします。

セットアップを使ってエージェントを手動でインストールする

[エージェントのセットアップオプション] ページで、[エージェントを Azure Log Analytics (OMS) に接続する] を選びます。コマンドラインを使ってエージェントをインストールし、スクリプトを使ってエージェントを構成します。

Microsoft Monitoring Agent のプロキシ設定を構成する必要があります。詳しくは、「プロキシ設定の構成」をご覧ください。

完了すると、1 時間以内にオンボードサーバーがポータルに表示されます。

Azure Security Center との統合
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-onboarding

Microsoft Defender ATP の最小要件：
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/minimum-requirements
Microsoft Defender ATP サービスに対するオンボードサーバー：
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/configure-server-endpoints