質問者
[Microsoft Defender Advanced Threat Protection] FAQ

全般的な情報交換
-
皆さま、こんにちは。サポートの望月と申します。
今回は Microsoft Defender Advanced Threat Protection の FAQ をご紹介致します。- 編集済み ECM BlogMicrosoft employee, Owner 2019年6月17日 3:54
2019年5月15日 15:53所有者
すべての返信
-
目次:
Q1. どのようなことができる製品か
Q2. 利用料金について
Q3. 利用開始までの流れについて
Q4. お問い合わせ方法について
Q5. ポータル サイト (Microsoft Defender Security Center) の日本語対応はしているか
Q6. Windows 以外の OS の対応状況について
Q7. プロキシ サーバーを経由する環境に対応しているか
Q8. オンボードが失敗する
Q9. ポータル サイト (Microsoft Defender Security Center) のアクセスに失敗する
Q10. オフボード後にも端末の情報が Machines list に表示される
Q11. 特定のユーザーにポータル サイト (Microsoft Defender Security Center) のアクセス権を与えることは可能か
Q12. 端末から配信されるデータの通信量について
Q13. 端末から収集されるデータの内容や保管先、保持期間、プライバシー ポリシーについて
Q14. データの格納先を指定していないのにヨーロッパになっている
Q15. 脅威が検知された時に何をしたらよいかわからない
Q16. アラートを複数の宛先に通知することが可能か
Q1. どのようなことができる製品か
Microsoft Defender Advanced Threat Protection (ATP) は予防的な保護、侵害後の検知、自動化された調査と対応を備えた統一されたプラットフォームです。主に下記のような機能を提供いたします。
エンドポイントへの攻撃検知およびアクション実行
プロセスの行動を監視し、機械学習と分析によって自動的に攻撃を見つけ出します。また、それらの調査と対処が可能なツールを提供します。自動調査と修復
検出されたアラートに対して自動的に調査を行い、対処方法を決定し、複雑な脅威を短時間で修復します。蓄積された情報から事後調査
次世代保護技術
最大 6 か月の履歴データに対してクエリを使用し、事後からも原因を調査・分析する方法を提供します。
インテリジェント セキュリティ グラフ (ISG) によって、最新の ransomware や fileless などの攻撃から守るための方法を提供します。
各機能の詳細な仕様やご利用方法に関しましては、以下サイトをご確認ください。
・ Microsoft Defender Advanced Threat Protection (製品概要)
・ Microsoft Defender Advanced Threat Protection (技術情報)
また、ご利用の検討にあたり、参考となる資料を下記サイトに纏めております。併せてご確認いただけますと幸いです。
・ Microsoft Defender Advanced Threat Protection (ATP)
※ どのような製品かは、下記 PDF ファイルをご参照ください。
・ Microsoft Defender ATP のセキュリティ担当者向け概要 (日本語)
※ トライアルから開始する場合の一連の手順は以下に紹介されております。
・ Microsoft Defender ATP 体験版セットアップ方法 (日本語)
その他、最新情報の調査に参考となるサイトをご紹介いたします。
・ 日本の Microsoft セキュリティブログ - Defender ATP 記事
・ Microsoft セキュリティブログ - Defender ATP 記事
・ 技術コミュニティ - Microsoft Defender ATP 記事
Q2. 利用料金について
利用開始には次のマイクロソフト ボリューム ライセンス製品のいずれかが必要となります。
・ Windows 10 Enterprise E5
・ Windows 10 Enterprise E5 が含まれている Microsoft 365 E5 (M365 E5)
- 公開情報
・ Microsoft Defender ATP の最小要件
サーバー OS の監視を行う場合、別途ライセンスが必要となります。ご利用環境に応じてご案内させていただくため、以下サイトより見積もりをご依頼いただけますようお願い申し上げます。
・ Microsoft Defender Advanced Threat Protection
少し古いブログとなりますが、サーバー OS に関するライセンスに関する情報がございますので、ご紹介いたします。
・ Protecting Windows Server with Windows Defender ATP
Q3. 利用開始までの流れについて
(1) Microsoft Defender ATP サービスを利用するためのライセンス要件を満たす必要がございます。上述の Q2 を参照し、ライセンスをご購入下さい。
(2) ライセンスご購入後、お客様専用テナントを作成いただく必要がございます。ライセンスの状態の確認および Microsoft Defender Security Center への初回アクセスを、以下サイトに従って実施ください。
・ Microsoft Defender ATP のライセンス プロビジョニングの検証とセットアップの完了
(3) 管理対象に含めるマシンを作成したテナントにオンボードいたします。以下サイトの手順を参考に、オンボードを実施ください。
・ Microsoft Defender ATP サービスを使ったコンピューターのオンボーディング
例 (Windows 10 端末の場合):
幾つか方法がございますが、最も簡易な方法としては、ローカル スクリプトを使用したオンボードとなります。ドメイン参加している端末の場合、グループ ポリシーを使用したオンボードも可能です。
・ Windows 10 コンピューターのオンボーディング
・ ローカル スクリプトを使用して Windows 10 コンピューターのオンボーディング
・ グループ ポリシーを使用して Windows 10 コンピューターのオンボーディング
Q4. お問い合わせ方法について
有償のサポート契約が必要となります。専用のテナントを開設後は、専用サイトアクセス後、右上の 「?」 マークよりサポートへのリクエストを選択可能です。テナント開設前は、ユニファイド サポートまたはプレミア サポートより有償にてサポートをご利用いただけます。
また、以下サイトからインシデント購入によってもお問い合わせいただくことが可能です。
・ 新しいサポート要求
------
(以下の順で選択ください)
製品グループ: Security
製品の選択: Windows Defender
製品バージョンの選択: Microsoft Defender Advanced Threat Protection
※ 以降はお問い合わせ内容に合わせて選択ください。
------
Q5. ポータル サイト (Microsoft Defender Security Center) の日本語対応はしているか
恐れ入りますが、現時点で日本語に対応しておりません。
Q6. Windows 以外の OS の対応状況について
Linux ディストリビューションや macOS 、モバイルデバイス (iOS および Android) に対応しています。 各端末にオンボードするエージェントは、サードパーティ製品をご利用いただく必要がございます。 以下サイトの "注目のパートナー" に紹介されております Bitdefender / Lookout / SentinelOne / Ziften のサイトをご確認ください。
・ Microsoft Defender Advanced Threat Protection
※ 各サイトの URL
・ Bitdefender / Lookout / SentinelOne / Ziften
※ Ziften につきましては、WDATP 連携手順を以下の通り公開しています。 2 つめの手順は現在非対応ですが、検出テストの手順部分はご利用いただけるようです。
・ Ziften for Windows Defender ATP (WDATP) Quick Start Guide
・ Quick Start Guide for Integrating Ziften Zenith and Microsoft Windows Defender ATP (検出テストのみ対応)
Q7. プロキシ サーバーを経由する環境に対応しているか
対応しています。
透過型プロキシまたは Web プロキシ自動検出プロトコル (WPAD) を使用したプロキシ アクセス環境では、特に対処は不要です。 当該機能を使用していない環境では、レジストリ ベースの静的プロキシ サーバー設定をグループ ポリシーによって登録、または Microsoft Windows HTTP サービス (WinHTTP) のプロキシ サーバー設定を netsh winhttp コマンドを使用して登録する必要があります。
具体的な方法につきましては、以下サイトをご確認ください。
・ プロキシとインターネット接続の設定の構成
注意事項:
自動構成スクリプト (PAC ファイル) や、Internet Explorer から設定可能な Windows Internet (WinINet) プロキシ設定は使用できません。
Q8. オンボードが失敗する
以下サイトを参考に対処をご検討ください。
・ Microsoft Defender Advanced Threat Protection のオンボードの問題のトラブルシューティング
また、プロキシ接続環境である場合には、 Q7 の設定が行われているか併せてご確認ください。
対処方法が不明な場合、上述の Q4 を参考にサポートへお問い合わせいただけますようお願いいたします。Windows OS 以外に対してサードパーティ製エージェントを使用している場合、各サードパーティ製品ベンダーへお問い合わせくださいますようお願いいたします。
Q9. ポータル サイト (Microsoft Defender Security Center) のアクセスに失敗する
以下サイトを参考に対処をご検討ください。
・ サブスクリプションとポータル アクセスの問題のトラブルシューティング
対処方法が不明な場合、上述の Q4 を参考にサポートへお問い合わせいただけますようお願いいたします。 その際に、テナント名 (xxxxx.onmicrosoft.com) と表示されたエラー画面のスクリーンショットを併せてご提供ください。
Q10. オフボード後にも端末の情報が Machines list に表示される
オフボードによって、コンピューターはポータルへのセンサー データの送信を停止しますが、コンピューターのすべてのアラートへの参照を含む、コンピューターからのデータは最大 6 か月間保持されます。
以下サイトのに上記と同様の記載がございます。
・ ローカル スクリプトを使ったコンピューターのオンボーディング
※ オフボード スクリプトを使用したオフボードが失敗する場合、以下の点をご確認ください。
・ 使用するオフボード スクリプトの有効期限が切れていないか (ダウンロード後 30 日間)
・ オンボードしているテナントで作成したスクリプトかどうか
Q11. 特定のユーザーにポータル サイト (Microsoft Defender Security Center) のアクセス権を与えることは可能か
役割ベースのアクセス制御機能を使用することによって実現が可能です。 後述に具体的な手順をご紹介いたします。
- 公開情報
・ ロールを作成して管理する
- 手順
(1) Azure ポータルにサインインし、[Azure Active Directory] - [グル―プ] を選択、新しいグループを作成します。 Microsoft Defender Security Center で操作権限を与えたいメンバーを [選択] し、[作成] ボタンをクリックします。
(2) Microsoft Defender Security Center に管理者用アカウントでログインし、[Settings] - [Roles] - [+Add role] を選択、与えたい権限を付与した Role を作成します。 [Next] ボタンをクリックし、手順 (1) で作成したグループを選択、[↑Add selected groups] ボタンをクリックして追加し、[Save] ボタンをクリックします。
※ 既定で存在する Microsoft Defender ATP administrator (default) にグル―プを追加することで管理者権限を与えることも可能です。但し、Role の編集権限も与えてしまうため、必要に応じて上述の手順で権限を割り当てる方法と使い分けいただけますと幸いです。
Q12. 端末から配信されるデータの通信量について
Microsoft Defender ATP センサーは、Microsoft Defender ATP クラウド サービスとの通信とサイバー データのレポートのために、1 日平均 5 MB の帯域幅を使用します。 ファイルのアップロードのように 1 回限りのアクティビティと、この 1 日あたりの平均帯域幅の調査パッケージの収集は含まれていません。
以下サイトに上記と同様の記載がございます。
・ Microsoft Defender ATP の最小要件
Q13. 端末から収集されるデータの内容や保管先、保持期間、プライバシー ポリシーについて
収集される情報には、ファイル データ (ファイルの名前、サイズ、ハッシュなど)、プロセス データ (実行中のプロセス、ハッシュ)、レジストリ データ、ネットワーク接続データ (ホスト IP、ポート)、コンピューターに関する詳細 (コンピューター ID、名前、オペレーティング システムのバージョンなど) が含まれます。
保管先は、英国、米国、欧州連合 (ヨーロッパ) の 3 つから選ぶことができます。 いったん構成すると、データの保管場所を変更することはできません。 保存期間は 1 か月から 6 か月の範囲で設定が可能です。
以下サイトのに上記と同様の記載がございます。
・ Microsoft Defender ATP のデータ ストレージとプライバシー
プライバシー ポリシーやセキュリティ管理に関する遵守に関する情報は、以下サイトをご参照ください。
・ Microsoft のプライバシーに関する声明
・ ISO/IEC 27001:2013 情報セキュリティ管理基準
GDPR に関する内容は以下サイトより参照いただけます。
Microsoft Defender ATP の取り扱いにつきましても記載がございます。
・ Windows Privacy
Q14. データの格納先を指定していないのにヨーロッパになっている
Azure Security Center を使用すると Windows Defender ATP のテナントが自動的に作成され、データの保管先は既定で欧州連合 (ヨーロッパ) が選択されます。
・ サービスの問題のトラブルシューティング
保管先を変更する必要がある場合、Q4 を参考にお問い合わせいただければサポート担当にてご支援させていただきます。
Q15. 脅威が検知された時に何をしたらよいかわからない
Micorosoft Defender ATP は、脅威を検知した際には迅速に通知を行います。検知した脅威に対してどのような処置が必要かどうかを瞬時に解析し、提供するといった機能ではありません。 脅威の検出された端末に対する初動につきましては、影響を最小化するために以下のような汎用的な行動指針を設け、運用として実施いただくことをお勧めいたします。
例:
1. 端末をネットワークから分離
2. セキュリティ管理者へ報告
3. オフライン状態でのフル スキャン実行
通常、脅威が検知されると端末にインストールされているマルウェア対策ソフトによって、脅威の検出されたファイルおよびプロセスの検疫が実行されます。 当該機能は Micorosoft Defender ATP のものではなく、製品によって誤差がございますので、検疫が行われただけでは安全であることの保証にはならないことを、ご理解いただけますと幸いです。
Q16. アラートを複数の宛先に通知することが可能か
可能です。任意のメール アドレスを複数設定できます。
以下サイトを参考に対処をご検討ください。
・ Microsoft Defender ATP のアラートの通知を構成します。
- 編集済み ECM BlogMicrosoft employee, Owner 2019年9月4日 14:57
2019年5月15日 16:04所有者