Q1. どのようなことができる製品か。
利用開始には次のマイクロソフト ボリューム ライセンス製品のいずれかが必要となります。
・ Windows 10 Enterprise E5
・ Windows 10 Enterprise E5 が含まれている Microsoft 365 E5 (M365 E5)
(1) Microsoft Defender ATP サービスを利用するためのライセンス要件を満たす必要がございます。上述の Q2 を参照し、ライセンスをご購入下さい。
(2) ライセンスご購入後、お客様専用テナントを作成いただく必要がございます。ライセンスの状態の確認および Microsoft Defender Security Center への初回アクセスを、以下サイトに従って実施ください。
例 (Windows 10 端末の場合):
幾つか方法がございますが、最も簡易な方法としては、ローカル スクリプトを使用したオンボードとなります。ドメイン参加している端末の場合、グループ ポリシーを使用したオンボードも可能です。
有償のサポート契約が必要となります。専用のテナントを開設後は、専用サイトアクセス後、右上の 「?」 マークよりサポートへのリクエストを選択可能です。テナント開設前は、ユニファイド サポートまたはプレミア サポートより有償にてサポートをご利用いただけます。
また、以下サイトからインシデント購入によってもお問い合わせいただくことが可能です。
新しいサポート要求
------
(以下の順で選択ください)
製品グループ: Security
製品の選択: Windows Defender
製品バージョンの選択: Microsoft Defender Advanced Threat Protection
※ 以降はお問い合わせ内容に合わせて選択ください。
------
Q5. ポータル サイト (Microsoft Defender Security Center) の日本語対応はしているか。
恐れ入りますが、現時点で日本語に対応しておりません。
Q6. Windows 以外の OS の対応状況について。
Linux ディストリビューションや macOS 、モバイルデバイス (iOS および Android) に対応しています。 各端末にオンボードするエージェントは、サードパーティ製品をご利用いただく必要がございます。 以下サイトの "注目のパートナー" に紹介されております Bitdefender / Lookout / SentinelOne / Ziften のサイトをご確認ください。
※ 各サイトの URL
※ Ziften につきましては、WDATP 連携手順を以下の通り公開しています。 2 つめの手順は現在非対応ですが、検出テストの手順部分はご利用いただけるようです。
Q7. プロキシ サーバーを経由する環境に対応しているか。
対応しています。
透過型プロキシまたは Web プロキシ自動検出プロトコル (WPAD) を使用したプロキシ アクセス環境では、特に対処は不要です。 当該機能を使用していない環境では、レジストリ ベースの静的プロキシ サーバー設定をグループ ポリシーによって登録、または Microsoft Windows HTTP サービス (WinHTTP) のプロキシ サーバー設定を netsh winhttp コマンドを使用して登録する必要があります。
具体的な方法につきましては、以下サイトをご確認ください。
注意事項:
自動構成スクリプト (PAC ファイル) や、Internet Explorer から設定可能な Windows Internet (WinINet) プロキシ設定は使用できません。
以下サイトを参考に対処をご検討ください。
また、プロキシ接続環境である場合には、 Q7 の設定が行われているか併せてご確認ください。
対処方法が不明な場合、上述の Q4 を参考にサポートへお問い合わせいただけますようお願いいたします。
Windows OS 以外に対してサードパーティ製エージェントを使用している場合、各サードパーティ製品ベンダーへお問い合わせくださいますようお願いいたします。
Q9. ポータル サイト (Microsoft Defender Security Center) のアクセスに失敗する。
以下サイトを参考に対処をご検討ください。
対処方法が不明な場合、上述の A4 を参考にサポートへお問い合わせいただけますようお願いいたします。 その際に、テナント名 (xxxxx.onmicrosoft.com) と表示されたエラー画面のスクリーンショットを併せてご提供ください。
Q10. オフボード後にも端末の情報が Machines list に表示される。
オフボードによって、コンピューターはポータルへのセンサー データの送信を停止しますが、コンピューターのすべてのアラートへの参照を含む、コンピューターからのデータは最大 6 か月間保持されます。
以下サイトのに上記と同様の記載がございます。
※ オフボード スクリプトを使用したオフボードが失敗する場合、以下の点をご確認ください。
・ 使用するオフボード スクリプトの有効期限が切れていないか (ダウンロード後 30 日間)
・ オンボードしているテナントで作成したスクリプトかどうか
Q11. 特定のユーザーにポータル サイト (Microsoft Defender Security Center) のアクセス権を与えることは可能か。
役割ベースのアクセス制御機能を使用することによって実現が可能です。 後述に具体的な手順をご紹介いたします。
- 手順
(1) Azure ポータルにサインインし、[Azure Active Directory] - [グル―プ] を選択、新しいグループを作成します。 Microsoft Defender Security Center で操作権限を与えたいメンバーを [選択] し、[作成] ボタンをクリックします。
(2) Microsoft Defender Security Center に管理者用アカウントでログインし、[Settings] - [Roles] - [+Add role] を選択、与えたい権限を付与した Role を作成します。 [Next] ボタンをクリックし、手順 (1) で作成したグループを選択、[↑Add selected groups] ボタンをクリックして追加し、[Save] ボタンをクリックします。
※ 既定で存在する Microsoft Defender ATP administrator (default) にグル―プを追加することで管理者権限を与えることも可能です。但し、Role の編集権限も与えてしまうため、必要に応じて上述の手順で権限を割り当てる方法と使い分けいただけますと幸いです。
Q12. 端末から配信されるデータの通信量について。
Microsoft Defender ATP センサーは、Microsoft Defender ATP クラウド サービスとの通信とサイバー データのレポートのために、1 日平均 5 MB の帯域幅を使用します。 ファイルのアップロードのように 1 回限りのアクティビティと、この 1 日あたりの平均帯域幅の調査パッケージの収集は含まれていません。
以下サイトに上記と同様の記載がございます。
Q13. 端末から収集されるデータの内容や保管先、保持期間、プライバシー ポリシーについて。
収集される情報には、ファイル データ (ファイルの名前、サイズ、ハッシュなど)、プロセス データ (実行中のプロセス、ハッシュ)、レジストリ データ、ネットワーク接続データ (ホスト IP、ポート)、コンピューターに関する詳細 (コンピューター ID、名前、オペレーティング システムのバージョンなど) が含まれます。
保管先は、英国、米国、欧州連合 (ヨーロッパ) の 3 つから選ぶことができます。 いったん構成すると、データの保管場所を変更することはできません。 保存期間は 1 か月から 6 か月の範囲で設定が可能です。
以下サイトのに上記と同様の記載がございます。
プライバシー ポリシーやセキュリティ管理に関する遵守に関する情報は、以下サイトをご参照ください。
GDPR に関する内容は以下サイトより参照いただけます。
Microsoft Defender ATP の取り扱いにつきましても記載がございます。
Windows Privacy
Q14. データの格納先を指定していないのにヨーロッパになっている。
Azure Security Center を使用すると Windows Defender ATP のテナントが自動的に作成され、データの保管先は既定で欧州連合 (ヨーロッパ) が選択されます。
保管先を変更する必要がある場合、A4 を参考にお問い合わせいただければサポート担当にてご支援させていただきます。
Q15. 脅威が検知された時に何をしたらよいかわからない。
Micorosoft Defender ATP は、脅威を検知した際には迅速に通知を行います。検知した脅威に対してどのような処置が必要かどうかを瞬時に解析し、提供するといった機能ではありません。 脅威の検出された端末に対する初動につきましては、影響を最小化するために以下のような汎用的な行動指針を設け、運用として実施いただくことをお勧めいたします。
例:
1. 端末をネットワークから分離
2. セキュリティ管理者へ報告
3. オフライン状態でのフル スキャン実行
通常、脅威が検知されると端末にインストールされているマルウェア対策ソフトによって、脅威の検出されたファイルおよびプロセスの検疫が実行されます。 当該機能は Micorosoft Defender ATP のものではなく、製品によって誤差がございますので、検疫が行われただけでは安全であることの保証にはならないことを、ご理解いただけますと幸いです。
Q16. アラートを複数の宛先に通知することが可能か。
可能です。任意のメール アドレスを複数設定できます。
以下サイトを参考に対処をご検討ください。
