次の方法で共有

Defender for Endpoint 統合を有効にする

  • [アーティクル]

Microsoft Defender for Cloud は、Microsoft Defender for Endpoint とネイティブに統合されており、Defender for Endpoint と Microsoft Defender の脆弱性の管理機能を Defender for Cloud で提供します。

  • Defender for Cloud で Defender for Servers プランを有効にすると、Defender for Endpoint 統合が既定で有効になります。
  • 統合により、Defender for Endpoint エージェントがマシンに自動的にデプロイされます。

この記事では、必要に応じて Defender for Endpoint 統合を手動で有効にする方法について説明します。

前提条件

要件 詳細
Windows のサポート Windows マシンが Defender for Endpoint によってサポートされていることを確認します。
Linux のサポート Linux サーバーの場合は、Python がインストールされている必要があります。 Python 3 はすべてのディストリビューションに推奨されますが、RHEL 8.x および Ubuntu 20.04 以降では必須です。

Linux マシンが fanotify を使用するサービスを実行する場合、Linux マシンでの Defender for Endpoint センサーの自動展開が想定どおりに動作しない可能性があります。 これらのマシンには Defender for Endpoint センサーを手動でインストールします。
Azure VM VM が Defender for Endpoint サービスに接続できることを確認します。

マシンで直接アクセスができない場合は、プロキシ設定またはファイアウォール規則で Defender for Endpoint URL へのアクセスを許可する必要があります。 Windows および Linux マシンのプロキシ設定を確認します。
オンプレミスの VM オンプレミスのマシンを Azure Arc 対応 VM としてオンボードすることをお勧めします。

オンプレミスの VM を直接オンボードする場合、Defender Server プラン 1 の機能は利用できますが、ほとんどの Defender for Servers プラン 2 の機能は利用できません。
Azure テナント Azure テナント間でサブスクリプションを移動した場合は、手動による準備手順も必要になります。 詳細については、Microsoft サポートにお問い合わせください。
Windows Server 2016、2012 R2 Defender for Endpoint センサーがプレインストールされている新しいバージョンの Windows Server とは異なり、Defender for Cloud では、統合された Defender for Endpoint ソリューションを使用して、Windows Server 2016/2012 R2 を実行しているマシンにセンサーがインストールされます。 統合によって Defender for Servers プランを有効にした後は、ロールバックできません。 プランを無効にしてから再度有効化した場合でも、統合は再び有効化されます。

サブスクリプションで有効にする

Defender for Servers プランを有効にすると、Defender for Endpoint 統合が既定で有効になります。 サブスクリプションで Defender for Endpoint 統合を無効にした場合は、次の手順を使用して、必要に応じて手動で再度有効にすることができます。

  1. Defender for Cloud で [環境設定] を選択し、Defender for Endpoint 統合をデプロイするマシンを含むサブスクリプションを選択します。

  2. [Settings and monitoring]\(設定と監視\)>[Endpoint Protection] で、[状態] 列の設定を [オン] に切り替えます。

    Microsoft Defender for Endpoint を有効にする [状態] トグルのスクリーンショット。

  3. [続行][保存] を選んで設定を保存します。

  4. Defender for Endpoint センサーは、選択したサブスクリプション内のすべての Windows および Linux マシンにデプロイされます。

    オンボードには最大で 1 時間かかることがあります。 Linux マシンでは、Defender for Cloud は以前の Defender for Endpoint インストールを検出し、Defender for Cloud と統合するように再構成します。

Linux マシンへのインストールを確認する

次のように、Linux マシンへの Defender for Endpoint センサーのインストールを確認します。

  1. 各マシンで次のシェル コマンドを実行します: mdatp health。 Microsoft Defender for Endpoint がインストールされている場合は、その正常性状態が表示されます。

    healthy : true

    licensed: true

  2. さらに、Azure portal で、Linux マシンに MDE.Linux という新しい Azure 拡張機能があることを確認できます。

Windows Server 2016/2012 R2 で Defender for Endpoint 統合ソリューションを有効にする

Defender for Servers が既に有効になっていて、Defender for Endpoint の統合がサブスクリプションでオンになっている場合は、サブスクリプションで Windows Server 2016 または Windows Server 2012 R2 を実行しているマシンの統合ソリューションの統合を手動で有効にすることができます。

  1. Defender for Cloud で、[環境設定] を選び、Defender for Endpoint を受け取る Windows マシンでサブスクリプションを選びます。

  2. Defender for Servers プランの [監視対象] 列で、[設定] を選択します。

    Endpoint Protection コンポーネントの状態が [Partial](部分的) の場合は、コンポーネントの一部が有効ではありません。

  3. [修正] を選択すると、有効になっていないコンポーネントが表示されます。

    Microsoft Defender for Endpoint のサポートを有効にする [修正] ボタンのスクリーンショット。

  4. [不足しているコンポーネント]>[Unified solution]\(統合ソリューション\) で、[有効化] を選択して、Microsoft Defender for Cloud に接続されている Windows Server 2012 R2 および 2016 マシンに Defender for Endpoint エージェントを自動的にインストールします。

    Windows Server 2012 R2 および 2016 マシン向けに Defender for Endpoint 統合ソリューションの使用を有効にする操作のスクリーンショット。

  5. 変更内容を保存するには、ページの上部にある [保存] を選択します。 [設定と監視] ページで、[続行] を選択します。

    Defender for Cloud は、既存のマシンと新しいマシンを Defender for Endpoint にオンボードします。

    このオンボードには最大で 12 時間かかることがあります。 統合を有効にした後に作成された新しいマシンの場合、オンボードには最大 1 時間かかります。

Linux マシンで有効にする (プラン/統合が有効)

Defender for Servers が既に有効になっていて、サブスクリプションで Defender for Endpoint 統合がオンになっている場合は、サブスクリプション内の Linux マシンの統合を手動で有効にできます。

  1. Defender for Cloud で、[環境設定] を選び、Defender for Endpoint を受け取る Linux マシンを含むサブスクリプションを選びます。

  2. Defender for Server プランの [監視対象] 列で、[設定] を選択します。

    エンドポイント保護コンポーネントの状態は [部分] で、コンポーネントの一部が有効ではないことを意味します。

  3. [修正] を選択すると、有効になっていないコンポーネントが表示されます。

    Microsoft Defender for Endpoint のサポートを有効にする [修正] ボタンのスクリーンショット。

  4. [不足しているコンポーネント]>[Linux machines]\(Linux マシン\) で、[有効] を選択します。

    Defender for Cloud と Microsoft の EDR ソリューションである Microsoft Defender for Endpoint for Linux の間の統合を有効にする操作のスクリーンショット。

  5. 変更内容を保存するには、ページの上部にある [保存] を選択します。 [設定と監視] ページで、[続行] を選択します。

    • Defender for Cloud は、Linux マシンを Defender for Endpoint にオンボードします。
    • Defender for Cloud は、Linux マシン上の以前の Defender for Endpoint インストールを検出し、Defender for Cloud と統合するように再構成します。
    • このオンボードには最大で 12 時間かかることがあります。 統合を有効にした後に作成された新しいマシンの場合、オンボードには最大 1 時間かかります。

  6. Linux マシンへの Defender for Endpoint センサーのインストールを確認するには、次のシェル コマンドを各マシンで実行します。

    mdatp health

    Microsoft Defender for Endpoint がインストールされている場合は、その正常性状態が表示されます。

    healthy : true

    licensed: true

  7. Azure portal で、Linux マシンに MDE.Linux という新しい Azure 拡張機能があることを確認できます。

Note

Linux マシンで Defender for Endpoint 統合を有効にする操作は 1 回限りのアクションです。 プランを無効にして再度有効にした場合、統合は有効なままになります。

複数のサブスクリプションで Linux での統合を有効にする

  1. Defender for Cloud で、[ワークロード保護] ダッシュボードを開きます。

  2. ダッシュボードで分析情報パネルを確認し、Linux マシンに対して Defender for Endpoint が有効になっていないサブスクリプションとリソースを確認します。

    • 分析情報パネルには、Windows マシンでは統合が有効になっているが、Linux マシンでは有効になっていないサブスクリプションに関する情報が表示されます。
    • Linux マシンがないサブスクリプションでは、影響を受けるリソースは表示されません。

  3. 分析情報パネルで、Linux マシンの Defender for Endpoint 統合を有効にするサブスクリプションを選択します。

  4. [有効にする] を選択して、Linux マシンのエンドポイント保護を有効にします。 Defender for Cloud には、次のような働きがあります。

    • 選択したサブスクリプションで、Linux マシンを Defender for Endpoint に自動的にオンボードします。
    • Defender for Endpoint の以前のすべてのインストールを検出し、それらを再構成して Defender for Cloud と統合します。

Defender for Servers のデプロイ状態ブックを使用します。 このブックの中でも特に、Linux マシン上の Defender for Endpoint のインストールとデプロイの状態を確認できます。

Linux の自動更新を管理する

Windows では、Defender for Endpoint バージョンの更新プログラムは、継続的なナレッジ ベース更新プログラムを介して提供されます。 Linux では、Defender for Endpoint パッケージを更新する必要があります。

  • MDE.Linux 拡張機能と共に Defender for Servers を使用する場合は、Microsoft Defender for Endpoint の自動更新が既定で有効になります。

  • バージョン更新プログラムを手動で管理する場合は、マシンで自動更新を無効にすることができます。 これを行うには、MDE.Linux 拡張機能を使用して、オンボードされたマシンに対して次のタグを追加します。

    • タグ名: 'ExcludeMdeAutoUpdate'
    • タグの値: 'true'

この構成は、MDE.Linux 拡張機能によって自動更新が開始される Azure VM と Azure Arc マシンでサポートされています。

複数のサブスクリプションで PowerShell との統合を有効にする

複数のサブスクリプションに含まれる、Linux マシンと Windows Server 2016/2012 R2 を実行している Windows マシンでエンドポイント保護を有効にするには、Defender for Cloud GitHub リポジトリの PowerShell スクリプトを使用します。

統合を大規模に有効にする

Defender for Endpoint 統合は、提供されている REST API バージョン 2022-05-01 を通じて大規模に有効にすることができます。 詳しくは、API ドキュメントを参照してください。

Defender for Endpoint 統合を有効にする PUT 要求の要求本文の例を次に示します。

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Defender for Endpoint のデプロイの状態を追跡する

Defender for Endpoint デプロイ状態ブックを使用して Azure VM と Azure Arc 対応 VM の Defender for Endpoint デプロイの状態を追跡できます。 対話型ブックには、Microsoft Defender for Endpoint 拡張機能のデプロイ状態を示す環境内のマシンの概要が表示されます。

Defender ポータルにアクセスする

  1. ポータルにアクセスするための適切なアクセス許可があることを確認します。

  2. 匿名トラフィックをブロックしているプロキシまたはファイアウォールがあるかどうかを確認します。

  3. Microsoft Defender ポータルを開きます。 Microsoft Defender XDR での Microsoft Defender for Endpoint について確認します。

Defender for Endpoint からテスト アラートを送信する

Defender for Endpoint から無害なテスト アラートを生成するには、エンドポイントの関連するオペレーティング システムのタブを選択します。

Windows でテストする

Windows を実行しているエンドポイント:

  1. フォルダー「C:\test-MDATP-test」を作成します。

  2. リモート デスクトップを使用してコンピューターにアクセスします。

  3. コマンド ライン ウィンドウを開きます。

  4. 次のコマンドをコピーし、プロンプトで実行します。 コマンド プロンプト ウィンドウは自動的に閉じます。

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    テスト アラートを生成するコマンドを含むコマンド プロンプト ウィンドウ。

    コマンドが成功した場合、ワークロード保護ダッシュボードと Microsoft Defender for Endpoint ポータルに新しいアラートが表示されます。 このアラートは、表示されるまでに数分かかることがあります。

  5. Defender for Cloud でアラートを確認するには、 [セキュリティ警告]>[Suspicious PowerShell CommandLine](疑わしい PowerShell コマンド ライン) に移動します。

  6. 調査ウィンドウで、リンクを選択して Microsoft Defender for Endpoint ポータルに移動します。

    ヒント

    アラートは、 [情報] の重要度を使用してトリガーされます。

Linux でテストする

Linux を実行しているエンドポイント:

  1. テスト アラート ツールを https://aka.ms/LinuxDIY からダウンロードします。

  2. zip ファイルの内容を抽出し、次のシェル スクリプトを実行します。

    ./mde_linux_edr_diy

    コマンドが成功した場合、ワークロード保護ダッシュボードと Microsoft Defender for Endpoint ポータルに新しいアラートが表示されます。 このアラートは、表示されるまでに数分かかることがあります。

  3. Defender for Cloud でアラートを確認するには、 [セキュリティ警告]>[Enumeration of files with sensitive data](機密データを含むファイルの列挙) に移動します。

  4. 調査ウィンドウで、リンクを選択して Microsoft Defender for Endpoint ポータルに移動します。

    ヒント

    アラートは [低] の重要度でトリガーされます。

Defender for Endpoint をマシンから削除する

Defender for Endpoint ソリューションをマシンから削除するには、次のようにします。

  1. 統合を無効にするには、Defender for Cloud >[環境設定] で、関連するマシンを含むサブスクリプションを選択します。
  2. [Defender プラン] ページで、[設定と監視] を選びます。
  3. Endpoint Protection コンポーネントの状態で、[オフ] を選んで、サブスクリプションに対して Microsoft Defender for Endpoint との統合を無効にします。
  4. [続行][保存] を選んで設定を保存します。
  5. MDE.Windows/MDE.Linux 拡張機能をマシンから削除します。
  6. Microsoft Defender for Endpoint サービスからデバイスをオフボードします