Defender for Endpoint初心者ガイド - オンボードとデバイスグループ
- Tsukimori
- 6月19日
- 読了時間: 5分
更新日:6月20日
■重要なポイント
①オンボーディングは、Intuneとの連携による自動オンボードが推奨されている
②カスタムロールとEntraロールが競合する場合、Entraロールの権限が優先される
③デバイスグループを構成することにより、操作の自動化を実現できる
■Defender for Endpointとは
(以下、MDEとする)
エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンタープライズエンドポイントセキュリティプラットフォームです。 エンドポイントの例としては、ノート PC、電話、タブレット、PC、アクセス ポイント、ルーター、ファイアウォールなどがあります。
簡単に言うと、MicrosoftのEDR製品です。Defenderポータル内におけるXDRの要素の1つです。
■デバイスディスカバリー
(1)Defenderポータルにアクセスしログインする。(https://security.microsoft.com/)
(2)左ペインの[設定] > [デバイスの検出]を順に押下します。
(3)「検出のセットアップ」の「検出モード」は「標準検出(推奨)」に選択されていることを確認します。
「基本」になっている場合は、「標準検出(推奨)」に変更し、[保存]を押下します。
■オンボーディング
OS毎の推奨するオンボード展開方法は、以下の通りです。
Windows10,Windows11 | Intuneとの連携設定による自動オンボード |
macOS | Intuneとの連携設定による自動オンボード |
iOS,Android | Intuneとの連携設定による自動オンボード |
クラウドサーバー | Defender for Cloud(Azure Arc) |
オンプレサーバー | Defender for Cloud(Azure Arc)もしくはDefender for Servers |
「Intuneとの連携設定による自動オンボード」は、MDE起動時に連携するかの設定画面が表示されます。
以下は、スクリプトによるオンボーディングを紹介します。
※最大10台の制約あり
(1)左ペインの[設定] > [エンドポイント]を順に押下します。
(2)「デバイス管理」の[オンボーディング]を押下します。
・OS
・展開方法
を選択し、[オンボードパッケージのダウンロード]を押下します。
(3)ダウンロードしたzipファイルを展開します。
(4)展開した「WindowsDefenderATPLocalOnboardingScript.cmd」を右クリックし、[管理者として実行]を押下します。
スマートスクリーンのウィンドウが表示された場合は、[詳細情報] > [実行]を順に押下します。
(5)プロンプトが表示されたら「Y」と入力します。
(6)スクリプトが完了すると、"任意のキーを押して続行..." と表示されます。 任意のキーを押して、デバイスの手順を完了します。
※Defenderポータルにデバイスが反映されるのに数時間かかる場合があります。
(7)Defenderポータルの左ペインの[デバイス]を押下し、オンボードしたデバイスが表示されているか確認します。
※[フィルタ]を押下し、「オンボードの状態」は「オンボードされました」に選択し、[適用]を押下します。
■ロールの構成
本手順ではユーザーやグループごとに役割別のカスタムロールを作成し付与することが可能です。
※Entraロール(セキュリティ管理者やセキュリティ閲覧者)が既に付与されている場合、競合となりEntraロールが優先されます。
(1)左ペインの[アクセス許可]を押下します。
(2)「Microsoft Defender XDR」の[役割]を押下します。
(3)[カスタムロールを作成する]を押下します。
(4)ロール名を入力し[次へ]を押下します。
※本記事では、例としてTier1用のカスタムロールを作成します。
(5)「セキュリティ対策」「セキュリティ態勢」「承認と設定」の各操作を確認し、付与したいカスタムアクセス許可を構成し、[次へ]を押下します。
※各操作の右にある(i)マークに具体的な説明があります。
(6)「ユーザーとデータソースを割り当てる」の[割り当ての追加]を押下します。
(7)「割り当ての追加」の以下の項目を入力/選択し、[追加]を押下します。
・割り当て名
・従業員
・データソース
・IDスコープ
(8)追加した割り当ての内容を確認し、[次へ]を押下します。
(9)最後の確認画面が表示されるので、内容を確認して[送信]を押下します。
完了したら、[完了]を押下します。
■デバイスグループの構成
デバイスグループとは、デバイスを条件ごとに分類・タグ付けし、アクセス制御と操作の自動化を可能にする設定です。
(1)[設定] > [エンドポイント]を順に押下します。
(2)「アクセス許可」の[デバイスグループ]を押下します。
(3)[デバイスグループの追加]を押下します。
(4)「一般」の「デバイスグループ名」と「修復レベル」を入力/選択し、[次へ]を押下します。
修復レベルとは、インシデント(アラート)発生時に、MDEが自動的に脅威の調査及び修復を行うレベルです。自動調査・自動修復を実行したくないデバイスグループ以外は、「完全修復」が推奨値です。
(5)所属させるデバイスの条件を設定し、[次へ]を押下します。
(6)「デバイスのプレビュー」の[プレビューの表示]を押下して、意図したデバイスが表示されるか確認し、[次へ]を押下します。
(7)「ユーザーアクセス」でデバイスグループへのアクセス権限を設定し、[送信]を押下します。
デバイスグループのアクセス権限がないユーザー/グループは、該当のデバイスグループに所属するデバイス情報を表示できません。
(8)[完了]を押下し、デバイスグループの一覧画面に表示されている[変更を適用]を押下します。
※ランクが低い(1 < 2 < ... < 最後)順に、デバイスに対し条件が適用されます。
■まとめ
オンボードはスクリプトよりも自動化されたオンボード手段の方が効率が良いと思います。また、デバイスグループはMDEオペレーションの自動化を実現できる機能となっています。
댓글