Windows Defender Advanced Threat Protection と Azure Security CenterWindows Defender Advanced Threat Protection with Azure Security Center

Azure Security Center のクラウド ワークロード保護プラットフォーム オファリングは、Windows Defender Advanced Threat Protection (ATP) との統合によって拡張されています。Azure Security Center is extending its Cloud Workload Protection Platforms offering by integrating with Windows Defender Advanced Threat Protection (ATP). この変更により、包括的なエンドポイントの検出と対応 (EDR) 機能が実現されます。This change brings comprehensive Endpoint Detection and Response (EDR) capabilities. Windows Defender ATP の統合により、異常を見つけることができます。With Windows Defender ATP integration, you can spot abnormalities. また、Azure Security Center によって監視されているサーバー エンドポイントでの高度な攻撃を検出して対応することもできます。You can also detect and respond to advanced attacks on server endpoints monitored by Azure Security Center.

Security Center の Windows Defender ATP 機能Windows Defender ATP features in Security Center

Windows Defender ATP を使用すると、次の機能が得られます。When you use Windows Defender ATP you get:

  • 次世代の侵害後検出センサー:Windows サーバー用の Windows Defender ATP センサーは、ありとあらゆる動作の信号を収集します。Next-generation post breach detection sensors: Windows Defender ATP sensors for Windows servers collect a vast array of behavioral signals.

  • 分析に基づくクラウド利用の侵害後検出:Windows Defender ATP は、脅威の変化にすばやく適応します。Analytics-based, cloud-powered post breach detection: Windows Defender ATP quickly adapts to changing threats. 高度な分析とビッグ データを使用します。It uses advanced analytics and big data. Windows Defender ATP は、Windows、Azure、Office 全体の信号を使用したインテリジェント セキュリティ グラフによって強化され、未知の脅威を検出します。Windows Defender ATP is amplified by the power of the Intelligent Security Graph with signals across Windows, Azure, and Office to detect unknown threats. アクションにつながるアラートを提供し、迅速に対応できるようにします。It provides actionable alerts and enables you to respond quickly.

  • 脅威インテリジェンス:Windows Defender ATP は、攻撃者のツール、テクニック、およびプロシージャを識別します。Threat intelligence: Windows Defender ATP identifies attacker tools, techniques, and procedures. これらを検出すると、アラートを生成します。When it detects these, it generates alerts. Microsoft の脅威ハンターおよびセキュリティ チームによって生成され、パートナーによって提供されるインテリジェンスによって強化されたデータを使用します。It uses data generated by Microsoft threat hunters and security teams, augmented by intelligence provided by partners.

現在、Azure Security Center では次の機能を利用できます。These capabilities are now available in Azure Security Center:

  • 自動オンボード:Windows Defender ATP センサーは、Azure Security Center にオンボードされた Windows サーバーに対して自動的に有効になります。Automated onboarding: The Windows Defender ATP sensor is automatically enabled for Windows servers that are onboarded to Azure Security Center.

  • 1 つのウィンドウ:Azure Security Center コンソールには、Windows Defender ATP のアラートが表示されます。Single pane of glass: The Azure Security Center console displays Windows Defender ATP alerts.

  • マシンの詳細な調査:Azure Security Center のお客様は、Windows Defender ATP コンソールにアクセスして、詳細な調査を実行し、侵害の範囲を明らかにすることができます。Detailed machine investigation: Azure Security Center customers can access Windows Defender ATP console to perform a detailed investigation to uncover the scope of a breach.

アラートの一覧と各アラートに関する一般的な情報が表示されている Azure Security Center

Windows Defender ATP にピボットすることによって、アラートをさらに調査できます。You can further investigate the alert by pivoting to Windows Defender ATP. アラート プロセス ツリーやインシデント グラフなどの追加情報を表示できます。There you can see additional information such as the alert process tree and the incident graph. 最大 6 か月前まで遡って、すべての動作を示す詳細なマシン タイムラインを見ることもできます。You can also see a detailed machine timeline that shows every behavior for a historical period of up to six months.

アラートに関する詳細情報が表示された Windows Defender ATP ページ

プラットフォームのサポートPlatform support

Security Center の Windows Defender ATP は、Standard サービス サブスクリプションに属する Windows Server 2012 R2 および Windows Server 2016 オペレーティング システムでの検出をサポートしています。Windows Defender ATP in Security Center supports detection on Windows Server 2012 R2 and Windows Server 2016 operating systems belonging to a Standard service subscription.

注意

Azure Security Center を使用してサーバーを監視すると、Windows Defender ATP テナントが自動的に作成され、Windows Defender ATP データが既定ではヨーロッパに格納されます。When you use Azure Security Center to monitor servers, a Windows Defender ATP tenant is automatically created and the Windows Defender ATP data is stored in Europe by default. データを別の場所に移動する必要がある場合は、Microsoft サポートに連絡してテナントをリセットする必要があります。If you need to move your data to another location, you need to contact Microsoft Support to reset the tenant.

Security Center にサーバーをオンボードするOnboarding servers to Security Center

サーバーを Security Center にオンボードするには、Windows Defender ATP サーバーのオンボードから [Azure Security Center に移動] をクリックしてサーバーをオンボードします。To onboard servers to Security Center, click Go to Azure Security Center to onboard servers from the Windows Defender ATP server onboarding.

  1. [オンボード] ブレードで、データを保存するワークスペースを選択または作成します。In the Onboarding blade select or create a workspace in which to store the data.

  2. すべてのワークスペースが表示されない場合は、アクセス許可が不足している可能性があります。ワークスペースが Azure Security Standard レベルに設定されていることを確認してください。If you can’t see all your workspaces, it may be due to a lack of permissions, make sure your workspace is set to Azure Security Standard tier. 詳細については、「Azure Security Center を Standard レベルへアップグレードすることによるセキュリティ強化」を参照してください。For more information see Upgrade to Security Center's Standard tier for enhanced security.

  3. [サーバーの追加] を選択すると、Microsoft Monitoring Agent をインストールする手順が表示されます。Select Add servers to view instructions on how to install the Microsoft Monitoring Agent.

  4. オンボード後は、 [計算とアプリ] でマシンを監視できます。After onboarding, you can monitor the machines under Compute and apps.

    コンピューターをオンボードする

Windows Defender ATP の統合を有効にするEnable Windows Defender ATP integration

Windows Defender ATP の統合が有効になっているかどうか確認するには、 [セキュリティ センター] > [セキュリティ ポリシー] > [サブスクリプション] > [設定の編集] の順に選択します。To view if Windows Defender ATP integration is enabled, select Security center > Security policy > Subscription > Edit settings.

Azure Security Center のポリシー管理

ここでは、現在有効になっている統合を確認できます。Here you can see the integrations currently enabled.

Windows Defender ATP の統合が有効になっている Azure Security Center の脅威検出設定ページ

  • Azure Security Center の Standard レベルにサーバーを既にオンボードした場合は、何も行う必要はありません。If you've already onboarded the servers to Azure Security Center standard tier, you need take no further action. Azure Security Center によって、サーバーは Windows Defender ATP に自動的にオンボードされます。Azure Security Center will automatically onboard the servers to Windows Defender ATP. これには最大で 24 時間かかることがあります。This might take up to 24 hours.

  • Azure Security Center の Standard レベルにサーバーをオンボードしたことがない場合は、通常どおりにサーバーを Azure Security Center にオンボードします。If you've never onboarded the servers to Azure Security Center standard tier, onboard them to Azure Security Center as usual.

  • Windows Defender ATP からサーバーをオンボードした場合:If you've onboarded the servers through Windows Defender ATP:

Windows Defender ATP ポータルにアクセスするAccess to the Windows Defender ATP portal

ポータルへのユーザー アクセスの割り当て」の指示に従ってください。Follow the instructions in Assign user access to the portal.

ファイアウォールの構成を設定するSet the firewall configuration

匿名のトラフィックをブロックするプロキシまたはファイアウォールがある場合、Windows Defender ATP センサーはシステム コンテキストから接続するので、匿名のトラフィックが許可されていることを確認します。If you have a proxy or firewall that is blocking anonymous traffic, as a Windows Defender ATP sensor is connecting from the system context, make sure that anonymous traffic is permitted. Enable access to Windows Defender ATP service URLs in the proxy server」(プロキシ サーバーで Windows Defender ATP サービス URL へのアクセスを有効にする) の説明に従ってください。Follow the instructions in Enable access to Windows Defender ATP service URLs in the proxy server.

機能をテストするTest the feature

Windows Defender ATP で無害なテスト アラートを生成するには:To generate a benign Windows Defender ATP test alert:

  1. リモート デスクトップを使用して、Windows Server 2012 R2 VM または Windows Server 2016 VM にアクセスします。Use Remote Desktop to access either a Windows Server 2012 R2 VM or a Windows Server 2016 VM. コマンド プロンプト ウィンドウを開きます。Open a Command Prompt window.

  2. 次のコマンドをコピーし、プロンプトで実行します。At the prompt, copy and run the following command. コマンド プロンプト ウィンドウは自動的に閉じます。The Command Prompt window will close automatically.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe'); Start-Process 'C:\\test-WDATP-test\\invoice.exe'
    

    上記のコマンドが表示されているコマンド プロンプト ウィンドウ

  3. コマンドが成功した場合、Azure Security Center ダッシュボードと Windows Defender ATP ポータルに新しいアラートが表示されます。If the command is successful, you'll see a new alert on the Azure Security Center dashboard and the Windows Defender ATP portal. このアラートは、表示されるまでに数分かかることがあります。This alert might take a few minutes to appear.

  4. Security Center 内でアラートを確認するには、 [セキュリティ通知]  > [Suspicious Powershell CommandLine](疑わしい Powershell コマンド ライン) に移動します。To review the alert in Security Center, go to Security Alerts > Suspicious Powershell CommandLine.

  5. 調査ウィンドウで、リンクを選択して Windows Defender ATP ポータルに移動します。From the investigation window, select the link to go to the Windows Defender ATP portal.

次の手順Next steps