SaaS

会社の端末をWindowsもMacもまとめてMicrosoft Defender ATPでセキュリティ管理するとちょー便利になるよって話

こんにちは、臼田です。

みなさん、端末のセキュリティ管理してますか?

今回は会社の端末のセキュリティを確保するのに非常に便利なMicrosoft Defender ATP(MDATP)を紹介します。

タイトルの通りWindowsだけでなくMacも一緒にセキュリティを確保できるところは何よりも魅力的です。そのあたりも含めて、MDATPとはなんぞやというところから説明していきます。

Microsoft Defender ATP(MDATP)とは

MDATPは端末を統合管理するセキュリティプラットフォームです。前述の通りWindowsだけでなくMacも一緒に管理できます。

機能としてはEDR(Endpoint Detection and Response)も持っていますが、そこだけにフォーカスを当てることは適切ではありません。MDATPはEDRも含む様々なセキュリティ管理の機能を備えており、それらを繋げて利用できるところが非常に強いです。

主な機能の一覧はこちらに書いてあり、下記にも画像で貼ります。

様々な機能があるということが、この画像だけでも伝わるかと思います。

MDATPのいいところ

機能についてはそのままだと分かりづらいところもあるので、言葉を変えつつ主要なものを下記リストに上げたので簡単に説明します。

  • EDR
  • 脆弱性管理 / 資産(インベントリ)管理
  • 対応の優先度付け
  • インベントリ/ログ自動収集
  • 他の機能との協調
  • Macでも同じように管理

EDR

EDRは前述の通りEndpoint Detection and Responseの略ですが、その具体的な機能は製品によりまちまちです。MDATPではエンドポイントで発生した脅威を様々な角度で扱うことができますが、特に強力なのは自動検知・修復です。

一般的なセキュリティ系のアラートは、問題が発生すると沢山アラートが上がってどう確認したらいいか非常に分かりづらかったりします。しかしMDATPでは、検知した脅威について複数のアラートを1つのインシデントとしてまとめて管理することが可能です。これは自動的に関連するものをMDATPがまとめます。そして、インシデントの調査が自動的に行われて修復アクションが作成されます。

利用者はインシデントの調査結果を確認して修復アクションの実行を押すだけで、インシデントの対応が完了し自動修復されます。もちろん修復アクションを自動的に実行することも可能です。

これらの脅威の検知から自動修復までの流れは「Microsoft Defender ATPの無料トライアルを始めてバックドア設置を検知・自動修復してみた」の記事を見ていただくとわかりやすいです。

他にもsandbox機能も優秀です。インシデントの原因となったマルウェアと思われるファイルなどを自動的に収集し、詳細分析に送ることができます。Microsoftがファイルの挙動を分析して、攻撃の挙動や外部への通信などがレポートされるので、安全な環境で未知のファイルの動作を確認できます。

また、Threat Analyticsは流行している脆弱性やマルウェアなどの脅威や重要な影響を与える脅威を一覧で確認できます。この流行している脅威については常にメンテナンスされており、自社の環境でその影響を受けていないかを確認することができるのもいいですが、影響を受けていないと報告できるのも大きなメリットです。

脆弱性管理 / 資産(インベントリ)管理

エンドポイントを管理していて大変なことの1つに脆弱性とインベントの管理があります。例えばAdobe Acrobat Readerに新しい脆弱性が発見されたとして(他意はありません)、そのソフトウェアがどの端末にインストールされているのか、実際に脆弱性にあたるバージョンが動いている環境はどれなのかを調査しなくてはなりません。

MDATPではインベントリ情報が自動的に収集されており、どの端末でどのソフトがどのバージョンで利用されているかすぐに確認できます。

また、脆弱性情報のデータベースも持っているので、新しい脆弱性が発見されたらアラートを上げ、そこからMicrosoft Intuneと連携してバージョンアップ(脆弱性対応)が可能です。

対応の優先度付け

セキュリティインシデントが常時発生するような環境ではどこから手を付けていいか判断することが難しいです。

MDATPではそもそもある程度の脅威の検知や分析は自動的に行なってくれる上、対応したほうがいいインシデントや、リスクについて各種ダッシュボードで上位に挙げられるため対応は上から順番に行っていけばいいです。簡単ですね。

イベント/ログ自動収集

収集できるのはインシデントの情報だけではありません。端末上のイベントやログも自動的に収集されます。自動的にというところが非常に重要です。込み入った設定をする必要はありません。自動的に取り込まれて、パースされて分析できるようになっています。

そして、クエリ言語を活用してより高度な分析に活用することができます。

他の機能との協調

MDATPは先程ソフトウェアの更新でIntuneと連携したように各種Microsoftソリューションと連携します。脅威情報を連携したりアクセス制御に活用したりします。

  • Intune
  • Office 365 ATP
  • Azure ATP
  • Azure Security Center
  • Skype for Business
  • Microsoft Cloud App Security

Macでも同じように管理

ここでタイトル回収ですが、WindowsだけでなくMac端末も同じように管理できることが何よりも嬉しいポイントです。

もちろん完全にすべての機能が同じように利用できるということでは現状ありませんが、アラートやインシデントの検知・グラフによる可視化、Windowsと一緒のダッシュボードで可視化・優先順位付け、イベント/ログの自動収集などができる他、配布もIntuneから行うことができるため、Windows端末と同じようなオペレーションに乗せることができます。

まとめ

MDATPの様々な機能とそのメリットを説明しました。非常に便利な機能が沢山あって、使っていてもなかなか使い切れている感じがしないレベルに色々できるソリューションです。

特にWindowsとMacが両方管理できることは運用のコストをかなり下げることができる要素です。Intuneと合わせてMacも統合的に管理してみてはいかがでしょうか?

臼田 佳祐

AWSとセキュリティやってます。普段はクラスメソッドで働いてます。クラウドネイティブでは副業としてセキュリティサービスの検証とかやってます。