GPOによるMicrosoft Defender ATP(Microsoft Defender for Endpoint)のオンボードとリモートスキャン

こんにちは。前回はSCCMを使ってMicrosoft Defender ATP(今では名前が変わり、Microsoft Defender for Endpoint )にコンピューターをオンボード(登録)を行いました。
今回は、SCCM管理下にないコンピューターをオンボードする方法の1つとして、GPOによるオンボード構成手順を本記事に記載していきます。

前回のおさらい

前回の記事でMicrosoft Defender ATP(Microsoft Defender for Endpoint )について、少し触れさせていただきました。

Microsoft Defender ATPは強力な脅威インテリジェンスにより、調査や高度な脅威への対応をこれまで以上に素早く正確に実現する機能です。
サイバーセキュリティはいたちごっこの世界であり、企業が攻撃者への対策手段を身に付ければ攻撃者はさらに高度な技術を身に付けます。

https://jin-kuro.com/defenderatp-sccm-onboard/

今ではMicrosoft Defender ATP(Microsoft Defender for Endpoint )もいろいろ機能が追加されたため、一部の機能となってしまいましたが、特にウイルスに侵入された後の対策を実施するEDR機能は是非とも導入しておきたい機能になるかと思います。

EDR(Endpoint Detection and Response)とは以下4つの機能を備えます。ウイルス対策ソフトが侵入を防御することを前提に考えているのに対し、EDRは侵入されたことを前提に考えられています。

EDR(Endpoint Detection and Response)とは以下4つの機能を備えます。ウイルス対策ソフトが侵入を防御することを前提に考えているのに対し、EDRは侵入されたことを前提に考えられています。

EDR(Endpoint Detection and Response)とは以下4つの機能を備えます。ウイルス対策ソフトが侵入を防御することを前提に考えているのに対し、EDRは侵入されたことを前提に考えられています。
①セキュリティ インシデントの検出
② セキュリティ インシデントの調査
③ インシデントを封じ込める
④ エンドポイントを修復する

https://jin-kuro.com/defenderatp-sccm-onboard/

利用するためには対象のコンピューターをMicrosoft Defender ATPにオンボード(登録)する必要があります。登録方法や前提条件は前回の記事を参考にしてください。

GPOでオンボードをやってみた

早速、試していきます。
まずはGPOオンボード用の構成ファイルをダウンロードしましょう。

ダウンロードしたファイルをADにコピーしてファイルを展開します。

グループポリシーの管理を起動します。

任意のポリシー名でグループポリシーを作成し、[コンピューターの構成]-[基本設定]-[コントロールパネルの設定]-[タスク]をクリックし、[新規作成]-[タスク]-[即時タスク(Windows7以降)]を選択します。

タスク実行時に使うアカウントを指定します。
[ユーザーまたはグループの変更(U)]をクリックし、検索する画面でビルトインアカウントである”SYSTEM”を入力します。

”SYSTEM”はパスワードいらずの管理者権限を持つアカウントです。Windows標準で設定されているタスクはほとんどこの”SYSTEM”アカウントになります。
Administratorなどはアカウント無効およびパスワードの変更が行われた場合、タスク実行にエラーが生じます。DefenderATPのオンボードタスクはMicrosoft公開情報にも”SYSTEM”アカウントで入力するように記載されていますので、その通りに設定します。

「ユーザーがログオンしているかどうかにかかわらず実行する(W)」にチェックし、「最上位の特権で実行する(I)」にチェックをします。

「操作」タブをクリックし、「新規」をクリックします。
プログラム/スクリプトの「参照」をクリックし、前述でダウンロードしたDefenderATPの構成ファイルのバッチファイルを選択します。

あとは対象のコンピューターオブジェクトが格納されているOUに作成したGPOを適用します。
「DESKTOP-AS0CS6Q」がDefenderATPに登録されているかを確認します。

DefenderATPの管理画面にログインし、「Machines list」を選択します。
対象のコンピューターが登録されていることを確認しました。

対象のコンピューターにログインし、タスクマネージャーからプロセスを確認すると、DefenderATPのプロセスが動作していることがわかります。

MDATP管理センターからのリモートスキャン

試しに、登録したコンピューターをDefnderATPの管理画面からリモートでスキャンしておきましょう。
対象のコンピューターをクリックして「Run antivirus scan」をクリックします。

クイックスキャンを選択し、「Confirm」を選択します。

対象のコンピューターのWindowsセキュリティ画面を見ると、最新の日付でスキャンが実行されていることを確認します。

スキャンが開始されると「Windowsログ」-「アプリケーションとサービスログ」-「Microsoft」-「Windows」-「Windows Defnder」上にも”Windows Defender ウイルス対策 スキャン”が開始されているログが表示されます。
また、スキャンが終了するとログ上にもスキャンが完了した旨、ログ上に記録されます。

イベント内容ソースイベントID
Windows Defender ウイルス対策
スキャンが開始されました
Windows Defender1000
Windows Defender ウイルス対策
スキャンが終了しました
Windows Defender1001