【MDfE】Microsoft Defender for Endpoint 学習コンテンツ【初級編】

Microsoft Defender for Endpoint 学習コンテンツの目的

MdfEの知識の無い人向けの学習コンテンツです。基本的なMDfEの製品概要、構築/運用/テスト方法の概要について、Microsoftが用意したDefender for Endpoint評価ラボとLEARNを活用して技術習得することを目的としています。

Microsoft Defender for Endpoint とは

Microsoft Defender for Endpoint は、デバイスへの悪意ある驚異の予防、検知、応答、調査が行えるエンドポイントセキュリティソリューションです。検知した脅威を自動修復することもできます。

Microsoft LEARN とは

Microsoft LEARNとは、IT 初心者から上級者まで学べる Microsoft が用意した学習コンテンツです。 Microsoft Defender for Endpoint以外の製品についても学ぶことが出来ます。

～Microsoft LEARN～

https://docs.microsoft.com/ja-jp/learn/

Microsoft LEARN を利用しよう

以下のURLにアクセスしMicrosoft LEARNに職場アカウントを紐づけましょう。

～Microsoft LEARN～

https://docs.microsoft.com/ja-jp/learn/

トレーニングのゴール

各種学習項目を実施いただき、以下MDfEの知識を得ていただくことを目的としています。

• MDfEの概要を理解する。
• デバイスの登録方法や、プロファイルの作成方法を理解する。
• MDfEの機能や、管理方法を理解する。

学習の準備

検証テナントの取得

Microsoft Defender for Endpointの学習を進める前に、以下のURLを参照し、検証用のテナントを取得します。

～You’ve selected Microsoft Defender for Endpoint Trial～

https://signup.microsoft.com/create-account/signup?products=7f379fee-c4f9-4278-b0a1-e4c8c2fcdf7e&ru=https://aka.ms/MDEp2OpenTrial?ocid=docs-wdatp-exposedapis-abovefoldlink

評価ラボの構成

検証用のテナントを取得するとMicrosoft 365 Defenderの管理画面が開くので以下のURLを参考に評価ラボを構成します。

～Microsoft Defender for Endpoint 評価ラボ～

https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/evaluation-lab?view=o365-worldwide

ラボ構成は利用可能時間が最長の3デバイスを選択し、シミュレータエージェントは任意で良いですが存在するベンダー全てを選択しても良いです。

※評価ラボを選択すると領域の作成に10分程度かかります。

アラート通知メールの設定

評価ラボのシミュレーションを実行した際にアラートメールが送信されることを確認いただきたいため、事前にアラートメールの通知先の設定を行います。

以下のURLにアクセスします。（Defender管理画面の設定）

～インデントのメール通知～

https://security.microsoft.com/settings/mtp_settings/incident_email_notifications

1. 「+[not found]を追加」をクリックします。
2. メール通知ルールに名前を付ける画面にて「名前」に適当な名前を入力して「次へ」をクリックします。
3. 通知の設定画面にて、「アラートの重要度」にて「中、高」を選択し、「インシデントごとに最初の発生時にのみ通知する」「組織名をメールに含む」「テナント固有のポータル リンクを含める」にチェックを入れ、「次へ」をクリックします。
4. 受信者の画面にて、「受信者のメールアドレス」に自身の職場アカウントを入力して「追加」をクリックし、「次へ」をクリックします。
5. ルールの確認画面にてルールの内容を確認し、「ルールを作成」をクリックします。

学習を始める

以下のURLにアクセスし、「開始」（一度開始している場合は「続行」）をクリックします。

https://docs.microsoft.com/ja-jp/learn/paths/defender-endpoint-fundamentals/

※記事の最後にある 「詳細情報」 は必ず確認してください。

Microsoft Defneder for Endpoint の概要

Microsoft Defender for Endpoint とその主な機能 (脅威と脆弱性の管理、攻撃面の縮小、調査と修復の自動化、エンドポイントでの検出と対応など) について学ぶことが出来ます。

■学習方法

読み進めるのみ。

動画がありますが、英語なので英語が分かる方のみ鑑賞してください。

詳細情報から以下の内容が確認できることを覚えてください。

• サポート対象の Windows バージョン
• ライセンス要件

■学習の効果

• Microsoft Defender for Endpoint を理解する。
• Microsoft Defender for Endpoint へのアクセス方法。
• Microsoft Defender for Endpoint のさまざまなコンポーネントを理解する。

Microsoft Defender for Endpoint でエンドポイントのセキュリティを評価する

評価ラボ、シミュレーション ギャラリー、さまざまな種類の攻撃シミュレーション シナリオなど、Microsoft Defender for Endpoint を使用してエンドポイント セキュリティを評価するために使用できるさまざまな機能について学ぶことが出来ます。

■学習方法

本章では読み進めるとともに評価ラボを利用して以下を実施してください。

• 評価ラボの項でデバイスを追加する。

（デバイスの作成に30分程度かかる。デバイスを追加してから使用可能時間がカウントされる。）

• シミュレーションを作成して実行する。

※シミュレーションファイルをダウンロードして社給PCで実行しないこと。検知されて怒られる可能性があります。

• インシデントとアラートから脅威が検出されていることを確認。

■学習の効果

• 評価ラボを理解する
• シミュレーション ギャラリーを理解する
• 攻撃シミュレーションのシナリオを理解する

Microsoft Defender for Endpoint にオンボードする

会社が所有する MDfEのテナントにオンボーディングするための 3 段階のプロセスについて説明します。

■学習方法

本章では読み進めるとともに評価ラボを利用して以下を実施してください。

• テスト用のセキュリティグループを作成する。
• Microsoft Endpoint Manager admin center にログインする。（Intune 管理）
• 「エンドポイント セキュリティ」から「エンドポイントの検知と応答」を構成する。
• 「エンドポイント セキュリティ」から「次世代の保護」を構成する。
• 「エンドポイント セキュリティ」から「攻撃面の減少」を構成する。
• デバイスへの適用状態を確認する。

※手順が分からない場合は詳細情報のリンクを参照する。

各ポリシーの設定内容は適当でよい。

■学習の効果

• Microsoft Defender for Endpoint の計画
• Microsoft Defender for Endpoint 展開の準備
• Microsoft Defender for Endpoint の環境を設定する
• サポート済みデバイスを Microsoft Defender for Endpoint にオンボードする

Microsoft Defender for Endpoint でセキュリティ体制を強化する

脅威と脆弱性の管理、暴露スコア、デバイスの Microsoft セキュア スコア、セキュリティに関する推奨事項などの Microsoft Defender for Endpoint の機能について学習できます。これにより、セキュリティ体制を強化するために、デバイス全体の脆弱性を特定し、修復することができます。

■学習方法

本章では読み進めるとともに以下を実施してください。

• セキュリティスコアの確認
• デバイスの脆弱性の特定

■学習の効果

• Microsoft Defender for Endpoint の脅威と脆弱性の管理について理解する。
• Microsoft Defender for Endpoint を使用してセキュリティ体制を評価する方法。
• デバイスの脆弱性を識別する方法。
• セキュリティ体制を強化し、リスクを軽減する方法を理解する。

脅威と脆弱性の管理、暴露スコア、デバイスの Microsoft セキュア スコア、セキュリティに関する推奨事項などの Microsoft Defender for Endpoint の機能について学習できます。これにより、セキュリティ体制を強化するために、デバイス全体の脆弱性を特定し、修復することができます。

■学習方法

本章では読み進めるとともに以下を実施してください。

• セキュリティスコアの確認
• デバイスの脆弱性の特定

■学習の効果

• Microsoft Defender for Endpoint の脅威と脆弱性の管理について理解する。
• Microsoft Defender for Endpoint を使用してセキュリティ体制を評価する方法。
• デバイスの脆弱性を識別する方法。
• セキュリティ体制を強化し、リスクを軽減する方法を理解する。

Microsoft Defender for Endpoint を使用して潜在的な攻撃領域を減らす

アプリケーション制御、ネットワーク保護、ハードウェア ベースの分離、フォルダー アクセスの制御、Web 保護などの機能を通して、Microsoft Defender for Endpoint を使用して環境全体で潜在的な攻撃対象領域を減らす方法について学習できます。

■学習方法

読み進めるのみ。

各種設定方法は高度な内容であるため、初級編ではスキップ可とします。

余裕があれば設定してみてください。

• Microsoft Edge のハードウェアベースの分離
  • アプリケーション制御
  • Web 保護
  • ネットワーク保護
  • フォルダー アクセスの制御
  • エクスプロイト保護
  • 評価分析
  • 攻撃面の減少ルール

■学習の効果

• Microsoft Defender for Endpoint での攻撃面の減少について。
• Microsoft Defender for Endpoint でのさまざまな攻撃面減少保護を理解する。
• 攻撃面減少のルールを理解する。

Microsoft Defender for Endpoint で次世代の保護を適用する

脅威と脆弱性の管理、暴露スコア、デバイスの Microsoft セキュア スコア、セキュリティに関する推奨事項などの Microsoft Defender for Endpoint の機能について学ぶことができます。これにより、セキュリティ体制を強化するために、デバイス全体の脆弱性を特定し、修復することができます。

■学習方法

本章では読み進めるとともに評価ラボを利用して以下の設定を行ってください。

• クラウドによる保護
  • 事前ブロック
  • 常時オン保護
  • 動作ブロックと封じ込め

動作ブロックと封じ込めについては、「ブロックモードのエンドポイントでの検出と対応（EDR）」のみ対応が必要。

■学習の効果

• Microsoft Defender for Endpoint の次世代保護について理解する。
• 動作ブロックと封じ込めについて理解する。

Microsoft Defender for Endpoint を使用して、セキュリティの問題を検出し対応する

インシデント キュー、アラート キュー、デバイスとファイルの対応措置、ライブ レスポンスなどの機能を利用して、Microsoft Defender for Endpoint を使用してセキュリティの問題を検出し対応する方法について学習できます。

■学習方法

読み進めるとともに評価ラボを利用して以下の内容を確認して下してください。

• Defender ポータルの「インシデントとアラート」から発生したインシデントとアラートの内容が確認できること。
  • 対応措置に以下３つの方法があることを知る。
    • デバイスで措置を取る
    • ファイルで措置を取る
    • ライブ応答を使用して調査する

■学習の効果

• インシデント キューを理解する
• アラート キューを理解する
• 対応措置を理解する

Microsoft Defender for Endpoint で調査と修復の自動化を使用する

Microsoft Defender for Endpoint での調査と修復の自動化 (AIR) のしくみについて説明します。 自動化レベル、自動調査のトリガー方法、調査結果の確認方法、自動修復アクションのしくみなど、概念について学習します。

■学習方法

読み進めて行き、自動化によりアラートの対応数を減らす方法について理解を深めてください。

■学習の効果

• 自動調査を理解する
• 自動修復を使用して脅威がどのように修復されるかを理解する
• 自動化レベルを理解する

Microsoft Defender for Endpoint のレポートを通じて分析情報を得る

脅威に対する保護のレポート、脆弱なデバイスのレポート、デバイスの正常性とコンプライアンスのレポート、カスタム レポート、脅威の分析など、Microsoft Defender for Endpoint のさまざまなレポート機能について学習します。

■学習方法

メインとなるレポートは以下３つ

            脅威に対する保護

            脆弱なデバイス

            デバイスの正常性とコンプライアンス

最新の驚異の分析に以下のレポートが利用できること。

脅威の分析

■学習の効果

• 脅威に対する保護のレポート
• 正常性とコンプライアンスのレポートを理解する
• Power BI によるカスタム レポートを理解する
• 脅威の分析

動作確認

評価ラボのデバイスから接続を選択すると作成されるrdpファイルを実行して検証デバイスに接続してください。

評価ラボからまだ実行していないシミュレーションやチュートリアルを実行いただくか、

以下のURLにある各種設定のテストを実施してください。

～クラウドが提供する保護～

Home - Microsoft Defender Testground

demo.wd.microsoft.com

関連資格

関連する資格については、MicrosoftのLearnの認定資格から確認できます。
https://docs.microsoft.com/ja-jp/learn/certifications/browse/?products=mdatp

SC-900:MicrosoftSecurity,Compliance,and IdentityFundamentals
https://docs.microsoft.com/ja-jp/learn/certifications/exams/sc-900

AZ-801:ConfiguringWindowsServerHybridAdvancedServices(beta)
https://docs.microsoft.com/ja-jp/learn/certifications/exams/az-801

AZ-800:AdministeringWindowsServerHybridCoreInfrastructure(beta)
https://docs.microsoft.com/ja-jp/learn/certifications/exams/az-800

まとめ

Microsoft Defender for Endpoint の機能について理解することができましたか？

本製品の導入、現在利用しているウイルス対策ソフトや EDR 製品の切替えなどを考えたい場合は、 Microsoft Defender for Endpoint の設計や導入を取り扱っている企業に問い合わせてみると良いかと思います。

参考情報

ゼロトラストセキュリティを素早く実現 – ゼロトラストセキュリティ スターターパック