試用版ユーザー ガイド: Microsoft Defender for Endpoint

  • [アーティクル]

Microsoft Defender for Endpoint プラン 2 試用版ユーザー ガイドへようこそ。

このプレイブックは、無料試用版を最大限に活用するのに役立つ簡単なガイドです。 Microsoft Defender チームからこの記事で推奨される手順を使用して、Defender for Endpoint が高度な脅威の防止、検出、調査、対応にどのように役立つかについて説明します。

Defender for Endpoint とは

Defender for Endpoint は、Windows と Microsoft の堅牢なクラウド サービスに組み込まれている次のテクノロジの組み合わせを使用するエンタープライズ エンドポイント セキュリティ プラットフォームです。

  • エンドポイント動作センサー: Windows に埋め込まれたこれらのセンサーは、オペレーティング システムから動作信号を収集して処理し、Defender for Endpoint のプライベートで分離されたクラウド インスタンスにセンサー データを送信します。

  • クラウド セキュリティ分析: Windows エコシステム、エンタープライズ クラウド製品 (Microsoft 365 など)、およびオンライン資産全体でビッグ データ、デバイス学習、固有の Microsoft 光学を使用して、行動シグナルは分析情報、検出、および高度な脅威に対する推奨応答に変換されます。

  • 脅威インテリジェンス: Microsoft ハンターとセキュリティ チームによって生成され、パートナーによって提供される脅威インテリジェンスによって強化された脅威インテリジェンスにより、Defender for Endpoint は、攻撃者のツール、手法、手順を特定し、収集されたセンサー データで監視されたときにアラートを生成できます。

Microsoft Defender for Endpoint

脆弱性管理
コア Defender 脆弱性の管理
攻撃面の縮小
攻撃面の減少
次世代保護
次世代の保護
エンドポイントの検出と応答
エンドポイントでの検出と対応
自動調査と修復
調査と修復の自動化
Microsoft 脅威エキスパート
Microsoft 脅威エキスパート
一元化された構成と管理、API
Centralized configuration and administration, APIs
Microsoft 365 Defender
Microsoft 365 Defender

では、始めましょう。

試用版のセットアップ

  1. ライセンスの状態を確認します
  2. ロールベースのアクセス制御を設定し、セキュリティ チームにアクセス許可を付与します
  3. Microsoft 365 Defender ポータルにアクセスする
  4. サポートされている管理ツールのいずれかを使用してエンドポイントをオンボードします。
  5. 機能を構成します
  6. シミュレートされた攻撃を通じてMicrosoft Defender for Endpointを体験します
  7. Microsoft Defender for Endpoint評価ラボを設定します

手順 1: ライセンスの状態を確認する

Defender for Endpoint サブスクリプションが適切にプロビジョニングされていることを確認するには、Microsoft 365 管理センター () または Azure Active Directory (https://admin.microsoft.comhttps://portal.azure.com) のいずれかでライセンスの状態を確認できます。

ライセンスの状態を確認します

手順 2: ロールベースのアクセス制御を設定し、セキュリティ チームにアクセス許可を付与する

Microsoft では、最小限の特権の概念を使用することをお勧めします。 Defender for Endpoint では、Azure Active Directory 内の組み込みロールが使用されます。 使用可能なさまざまなロールを確認 し、セキュリティ チームに適したロールを選択します。 一部のロールは、試用版が完了した後に一時的に適用して削除する必要がある場合があります。

Privileged Identity Managementを使用してロールを管理し、ディレクトリアクセス許可を持つユーザーに対して追加の監査、制御、アクセス レビューを提供します。

Defender for Endpoint では、アクセス許可を管理する 2 つの方法がサポートされています。

  • 基本的なアクセス許可の管理: アクセス許可をフル アクセスまたは読み取り専用に設定します。 Azure Active Directory のグローバル管理者ロールまたはセキュリティ管理者ロールを持つユーザーは、フル アクセス権を持ちます。 セキュリティ閲覧者ロールには読み取り専用アクセス権があり、マシン/デバイス インベントリの表示アクセス権は付与されません。

  • ロールベースのアクセス制御 (RBAC): ロールを定義し、Azure AD ユーザー グループをロールに割り当て、ユーザー グループにデバイス グループへのアクセス権を付与することで、きめ細かいアクセス許可を設定します。 詳細については、「 ロールベースのアクセス制御を使用したポータル アクセスの管理」を参照してください。

    注:

    デバイス グループの作成は、Defender for Endpoint Plan 1 とプラン 2 でサポートされています。

手順 3: Microsoft 365 Defender ポータルにアクセスする

Microsoft 365 Defender ポータル (https://security.microsoft.com) では、Defender for Endpoint 機能にアクセスできます。

  1. Microsoft 365 Defender ポータルで想定される内容を確認します。

  2. https://security.microsoft.com に移動し、サインインします。

  3. ナビゲーション ウィンドウで、[エンドポイント] セクション 参照して、機能にアクセスします。

手順 4: サポートされている管理ツールのいずれかを使用してエンドポイントをオンボードする

このセクションでは、デバイス (エンドポイント) をオンボードする一般的な手順について説明します。

  1. オンボード プロセスの概要と、使用可能なツールと方法の概要については、このビデオをご覧ください。

  2. デバイス オンボード ツールのオプションを確認し、環境に最適なオプションを選択します。

手順 5: 機能を構成する

デバイス (エンドポイント) をオンボードした後、エンドポイントの検出と応答、次世代の保護、攻撃面の削減など、さまざまな機能を構成します。

次の表を使用して、構成するコンポーネントを選択します。 使用可能なすべての機能を構成することをお勧めしますが、適用されない機能はスキップできます。

手順 6: シミュレートされた攻撃を通じてMicrosoft Defender for Endpointを体験する

複数のデバイスをサービスにオンボードする前に、Defender for Endpoint を体験したい場合があります。 これを行うには、いくつかのテスト デバイスで制御された攻撃シミュレーションを実行できます。 シミュレートされた攻撃を実行した後、Defender for Endpoint が悪意のあるアクティビティを表示する方法を確認し、効率的な応答を可能にする方法を調べることができます。

提供されたシミュレーションのいずれかを実行するには、少なくとも 1 つのオンボード デバイスが必要です

  1. チュートリアルにアクセスします。 Microsoft 365 Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウの [エンドポイント] で [チュートリアル] を選択します

  2. 各攻撃シナリオに関するチュートリアル ドキュメントを参照してください。 各ドキュメントには、OS とアプリケーションの要件と、攻撃シナリオに固有の詳細な手順が含まれています。

  3. シミュレーションを実行します

手順 7: Microsoft Defender for Endpoint評価ラボを設定する

Microsoft Defender for Endpoint評価ラボは、デバイスと環境の構成の複雑さを排除するように設計されており、プラットフォームの機能の評価、シミュレーションの実行、予防、検出、修復機能の動作の確認に集中できます。 評価ラボの簡略化されたセットアップ エクスペリエンスを使用して、独自のテスト シナリオと事前に作成されたシミュレーションを実行することに重点を置いて、Defender for Endpoint のパフォーマンスを確認できます。

関連項目