Cloud Service
Microsoft Defender for Endpoint
端末への攻撃を検知し自動で封じ込める。Microsoft Defender for Endpoint は EDR を中核に、攻撃面の縮小から脆弱性管理まで一体提供するエンドポイント防御。AWS では GuardDuty のエージェント検知や外部 EDR 相当。
- 1.端末上の不審な振る舞いを検知し、調査と自動対応まで行う EDR が中核。
- 2.攻撃面の縮小・脆弱性管理・次世代アンチウイルスを1つのエージェントで提供。
- 3.Defender XDR や Sentinel と連携し、端末の検知を組織横断の相関に乗せられる。
解決する課題
- 従来型アンチウイルスでは捕まらない、ファイルレス攻撃や正規ツールの悪用(LotL)をエンドポイントで検知したい
- 端末で起きた攻撃の全体像(プロセス・通信・ファイル変更の連鎖)を後追いで調査したい
- 検知から隔離・封じ込めまでの初動を自動化し、対応時間を短縮したい
- 端末の脆弱性や設定不備を継続的に棚卸しし、リスクの高い順に是正したい
- Windows だけでなく macOS・Linux・モバイルも含めて、同じ基準で守りたい
- エンドポイントの検知を ID・メール・クラウドの検知と相関させ、攻撃の全貌を掴みたい
主要概念と用語
Microsoft Defender for Endpoint は、エンドポイント保護プラットフォーム(EPP)と EDR を統合したサービスです。
- EDR(Endpoint Detection and Response): 端末上の振る舞いを継続的に記録・分析し、攻撃を検知して調査・対応につなげる中核機能
- 次世代アンチウイルス(NGAV): Microsoft Defender ウイルス対策によるリアルタイム保護。クラウド連携の保護やふるまい検知を含む
- 攻撃面の縮小(ASR: Attack Surface Reduction): マクロからの実行や資格情報窃取など、悪用されやすい挙動をルールでブロックして攻撃の入り口を減らす機能
- 脆弱性管理(Defender Vulnerability Management): 端末上のソフトウェアやOS構成を評価し、脆弱性・設定不備を継続的に可視化・是正する機能
- 自動調査と修復(AIR: Automated Investigation and Remediation): アラートを起点に調査を自動展開し、悪性と判定した成果物を自動で修復する仕組み
- オンボード(Onboarding): 端末に Defender センサーを有効化し、サービスへ接続する作業
- デバイスの分離(Device Isolation): 感染が疑われる端末をネットワークから切り離して封じ込める対応操作
- インシデント / アラート: 関連するアラートを束ねた調査単位がインシデント。エンティティ(プロセス・ファイル・ユーザーなど)を含む
- 脅威インテリジェンス: Microsoft が収集する大規模なシグナルに基づく検知・分類の基盤
- デバイスタイムライン: 端末で発生したイベントを時系列で並べ、攻撃の連鎖を遡って調査するビュー
仕様・制限・クォータ
- **対応プラットフォームは幅広く、Windows・Windows Server・macOS・Linux・モバイル(iOS / Android)**をカバーする。OS ごとに利用できる機能の範囲は異なる
- オンボード方式は複数あり、Intune などの MDM、Microsoft Configuration Manager、グループポリシー、スクリプトなどから対象に合わせて選ぶ
- オンプレや他クラウドのサーバーは Azure Arc 経由で取り込むと、Defender for Servers と組み合わせて保護を適用しやすい
- ライセンスはプラン(Plan 1 / Plan 2)で機能差があり、EDR・自動調査・脆弱性管理などの高度機能は上位プランに含まれる。具体的な含有範囲は提供形態により変わるため公式情報を参照する
- データ保持期間にはサービス側の上限があり、長期保管が必要なら Sentinel など外部基盤への連携を検討する
- ロールアウト時はセンサーの動作モード(アクティブ / パッシブ)や既存アンチウイルスとの共存を考慮する必要がある
EDR・自動調査と修復・脅威分析・高度な脆弱性管理などは、上位プランで提供される機能です。「アラートが浅い」「自動修復が動かない」場合、想定する機能が現在のプランに含まれていないことがあります。導入前にプランと機能対応を確認してください。
内部の仕組み
Microsoft Defender for Endpoint は、端末に組み込まれたセンサーと、クラウド側の分析・脅威インテリジェンス基盤の組み合わせで動作します。
センサーは OS に統合された形で、プロセス起動・ファイル操作・レジストリ変更・ネットワーク通信などの振る舞いシグナルを継続的に収集します。収集したシグナルはクラウドへ送られ、Microsoft の脅威インテリジェンスや機械学習・ふるまい分析と突き合わせて、悪性の可能性が高い挙動をアラート化します。検知ロジックはマネージドで提供され、利用者がエンジンを保守する必要はありません。
- アラートは関連するもの同士が1つのインシデントに束ねられ、プロセスツリーやデバイスタイムラインで攻撃の連鎖を遡れる
- **自動調査と修復(AIR)**が、検知を起点に影響範囲を自動で調べ、悪性と判定した成果物を隔離・削除する
- 攻撃面の縮小ルールや次世代アンチウイルスが入口での予防を担い、EDR が検知・対応を担うという多層構成になっている
Defender for Endpoint は Microsoft Defender XDR を構成するワークロードの1つです。ID(Defender for Identity)・メール(Defender for Office 365)・クラウドアプリなどの検知と統合ポータルで相関させると、エンドポイント単体では見えない攻撃の全体像を捉えられます。
設計パターン / ベストプラクティス
- Intune などの MDM で一元オンボードし、端末の追加時に自動でセンサーが有効化される状態を作る
- 攻撃面の縮小ルールはまず監査モードで影響を測り、業務への副作用を確認してからブロックモードへ移行する
- 次世代アンチウイルスはクラウド保護を有効化し、最新の脅威インテリジェンスに即応できるようにする
- 自動調査と修復の自動化レベルを段階的に引き上げ、定型的な封じ込めを人手から外していく
- 脆弱性管理を継続運用し、露出度の高い端末・ソフトから優先的に是正する
- 重要端末にはデバイス分離やライブレスポンスなどの対応手段を、権限分離とともに準備しておく
- Sentinel や既存 SIEM へアラートを連携し、組織横断の調査・対応プロセスに乗せる
運用・監視
- インシデントキューを SOC の起点にし、重大度・状態・担当でトリアージする
- デバイスのオンボード状況とセンサーの健全性を監視し、未保護や接続断の端末を早期に発見する
- 攻撃面の縮小ルールの検知ログをレビューし、誤ブロックの調整と新規ルールの展開を回す
- 脅威分析(Threat Analytics)で話題の脅威に対する自社の露出を確認し、対策の優先度づけに使う
- 高深刻度アラートは即時通知するよう、メール通知や自動化ワークフローを構成する
- 対応操作(分離・調査)の実行履歴を監査し、誰が何をしたかの追跡可能性を確保する
コスト
ユーザーまたはデバイス単位のサブスクリプションライセンスが基本で、プランによって含まれる機能が異なります。サーバー端末は Defender for Servers と組み合わせて課金される構成もあります。
| 項目 | 課金の考え方 | 向いている用途 |
|---|---|---|
| Plan 1 | ユーザー / デバイス単位の定額 | 次世代AVと基本的なEDR・攻撃面縮小 |
| Plan 2 | ユーザー / デバイス単位の定額 | 高度なEDR・自動調査修復・脅威分析 |
| 脆弱性管理アドオン | 追加ライセンス | より広い脆弱性・構成評価 |
| サーバー保護 | Defender for Servers と連動 | VMやオンプレサーバーの端末保護 |
端末の役割や機密度に応じてプランを使い分け、まず重要端末から上位プランを適用すると費用対効果を管理しやすくなります。サーバー端末は Defender for Servers 側のプランに含まれる場合があるため、二重課金にならないよう適用範囲を整理してください。
セキュリティ
- 最小権限: 操作は RBAC(デバイスグループとロール)で限定し、閲覧者・調査担当・対応実行者を分離する
- 多層防御の一部として位置づける: 予防(攻撃面縮小・NGAV)と検知・対応(EDR)を、ID 管理やネットワーク制御と組み合わせる
- 改ざん防止(Tamper Protection)を有効化し、保護設定が攻撃者やマルウェアに無効化されないようにする
- マネージド検知ロジックを活用し、Microsoft の脅威インテリジェンスで継続更新される検知に乗る
- 対応操作の証跡を保全し、インシデント調査に必要なタイムラインと実行履歴を確保する
センサーをオンボードしたまま、アラートも脆弱性も誰も見ていない状態は危険です。攻撃面の縮小ルールを長期間ずっと監査モードのまま放置したり、自動修復を一切有効化せず手作業に依存したりすると、検知できても封じ込めが遅れます。検知・調査・対応の運用プロセスをセットで設計してください。
関連サービス・比較
Defender for Endpoint はエンドポイントに特化した防御層で、組織横断の相関は Defender XDR や Sentinel が担います。最も近い比較対象として、態勢と脅威をクラウド資産側で見る Defender for Cloud との役割分担を整理します。
| 観点 | Defender for Endpoint | Defender for Cloud |
|---|---|---|
| 主な保護対象 | 端末(PC・モバイル・サーバーOS) | クラウドリソースとワークロード |
| 中核機能 | EDRと端末の予防・対応 | 態勢管理(CSPM)と脅威検知(CWPP) |
| 検知の起点 | 端末上の振る舞いシグナル | リソース構成とワークロードのシグナル |
| 対応操作 | デバイス分離・自動調査修復 | 推奨事項の是正・アラート対応 |
| 横断連携 | Defender XDR / Sentinel | Sentinel / Defender for Endpoint |
端末そのものを守るのが Defender for Endpoint、クラウド上のリソースの態勢と脅威を見るのが Defender for Cloud です。両者は補完関係にあり、サーバーでは Defender for Servers を介して連携し、最終的な相関・自動対応は Sentinel に集約するのが定石です。
ハンズオン / CLI例
Defender for Endpoint のオンボードや運用は主にポータルや Intune、専用スクリプトで行います。ここでは関連するサーバー保護を有効化する Defender for Cloud 側の az CLI 例を示します。
# サーバー保護(Defender for Servers)を有効化
# サーバー端末への Defender for Endpoint 連携を含むプランに切り替える
az security pricing create --name VirtualMachines --tier Standard
# 各 Defender プランの有効状態を一覧で確認
az security pricing list -o table
# 端末由来も含むセキュリティアラートを確認
az security alert list -o table
# 高深刻度アラートのメール通知先(セキュリティ連絡先)を設定
az security contact create \
--name default \
--email "soc@example.com" \
--alert-notifications "On" \
--alerts-admins "On"
Azure Service
Microsoft Defender for Endpointを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: Azure / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
攻撃面の縮小・脆弱性管理・次世代アンチウイルスを1つのエージェントで提供。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Azure
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「端末上の不審な振る舞いを検知し、調査と自動対応まで行う EDR が中核。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。