今回は、Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の関係について調べてみました。
Microsoft Defender for Endpoint(MDE)の概要と機能
Microsoft Defender for Endpoint(MDE) は、エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたプラットフォームです。以前は、Microsoft Defender ATP(Advanced Threat Protection)と呼ばれていました。
MDE=EDRというわけではなく、EDRはMDEの機能の一部です。Microsoft Denfeder ウイルス対策もMDEの一部と理解しています(誤っていたらどなたかご指摘お願いします・・・)
MDEには、以下の機能が含まれます。
- 脅威と脆弱性の管理は、リアルタイムの可視性を提供し、セキュリティ体制を改善する方法を特定するのに役立ちます。
- 攻撃面の縮小により、危険または不要な対象領域が排除され、危険なコードの実行が制限されます。
- 次世代の保護機能は、機械学習と詳細分析を使用して、ファイルベースのマルウェアから保護します。
- エンドポイントの検出と応答は、高度な攻撃を検出して対応するための動作と攻撃者の手法を監視します。
- 人工知能を活用してアラートを自動的に調査し、複雑な脅威を数分で修復します。
- Microsoft 脅威エキスパートは、セキュリティ運用センターに深い知識とプロアクティブな脅威の捜索を提供します。
ただし、MDE P1, P2, Microsoft Defender for Businessなどのライセンスの違いによって利用できる機能が異なりますので、注意が必要です。例えば、MDE P1にはエンドポイントの検出と応答(EDR)は含まれません。また、自動調査と修復はMDE P2にしか含まれません。
MDAVとMDEの次世代の保護機能の関係
次に、次世代の保護機能について少し補足します。次世代の保護機能の主要なコンポーネントはMicrosoft Defender ウイルス対策(MDAV)です(参照)。MDAVには、次のものが含まれます(参照)。
- 新たに出現する脅威をほぼ瞬時に検出し、ブロックするためのクラウドによる保護。 機械学習やインテリジェント セキュリティ グラフに加えて、クラウドによる保護は Microsoft Defender ウイルス対策を強化する次世代テクノロジの一部です。
- 常時スキャン、高度なファイルおよびプロセスの動作監視と、その他のヒューリスティック (「リアルタイム保護」とも呼ばれる) を使用します。
- 機械学習、手動および自動のビッグデータ分析、徹底した脅威耐性調査に基づいた専用の保護の更新。
とここまで Microsoft Defender for Endpoint の概要 - Learn | Microsoft Docs の内容などを参照して書いてきたのですが、この内容からすると、ファイルレスマルウェアはMDAVでは検知できないということになりますかね・・・。また、こちらのDocsを見ると、クラウド保護やリアルタイム保護、更新プログラムなどはMDEの機能であることのように読み取れます(「 Microsoft Defender ウイルス対策に加えて、次世代保護サービスには以下の機能が含まれています」というところ)
うーん、MDAV単体でどんな機能が提供されるかがよく分かりません・・・。ただ、よくよく考えてみると、MDAVが単体で何をしてくれるのか?については考えても仕方ない気がしてきました。MDE+MDAVで何ができるのか?というのを考えたほうが良い気がしています。
1. 侵入は防ぎきれないものとし侵入後の検知を行うEDRは昨今は必須だよね、
2. MSでいうとEDRはMDE(P2)に含まれているよね、
3. MDEにはMDAVが含まれていて、MDEの主要コンポーネントとして色々やってくれるよね
くらいの感じで、MDAVは単体としてではなく、MDEの一部として考えるのが良さそうです。次回以降はこれを前提に、MDEの設定項目について調査して書いていきたいと思います。
