シナリオ例: Endpoint Protection を使用してマルウェアからコンピューターを保護するExample scenario: Use Endpoint Protection to protect computers from malware

適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

この記事では、Configuration Manager で Endpoint Protection を実装して、組織のコンピューターをマルウェアによる攻撃から保護する方法に関するサンプル シナリオを示します。This article provides an example scenario for how you can implement Endpoint Protection in Configuration Manager to protect computers in your organization from malware attacks.

シナリオの概要Scenario overview

ウッドグローブ銀行では、System Center Configuration Manager がインストールされ、使用されています。System Center Configuration Manager is installed and used at Woodgrove Bank. 現在この銀行は System Center Endpoint Protection を使用して、マルウェアによる攻撃からコンピューターを保護しています。The bank currently uses System Center Endpoint Protection to protect computers against malware attacks. また、Windows グループ ポリシーによって、社内のすべてのコンピューターで Windows ファイアウォールが有効になっていること、Windows ファイアウォールが新しいプログラムをブロックする場合にはユーザーに通知することが確認されています。Additionally, the bank uses Windows Group Policy to ensure that the Windows Firewall is enabled on all computers in the company and that users are notified when Windows Firewall blocks a new program.

Configuration Manager 管理者は、ウッドグローブ銀行のマルウェア対策ソフトウェアを System Center Endpoint Protection にアップグレードするよう依頼されています。これにより、この銀行は、最新のマルウェア対策機能の恩恵を受け、Configuration Manager コンソールからマルウェア対策ソリューションを一元管理できるようになります。The Configuration Manager administrators have been asked to upgrade the Woodgrove Bank antimalware software to System Center Endpoint Protection so that the bank can benefit from the latest antimalware features and be able to centrally manage the antimalware solution from the Configuration Manager console.

業務要件Business requirements

この実装を行うには、以下の要件があります。This implementation has the following requirements:

  • Configuration Manager を使用して、現在グループ ポリシーによって管理されている Windows ファイアウォール設定を管理します。Use Configuration Manager to manage the Windows Firewall settings that are currently managed by Group Policy.

  • Configuration Manager ソフトウェア更新プログラムを使用して、マルウェア定義をコンピューターにダウンロードします。Use Configuration Manager software updates to download malware definitions to computers. ソフトウェア更新プログラムが利用できない場合 (たとえば、コンピューターが企業ネットワークに接続されていない場合など)、コンピューターによって Microsoft Update から定義の更新プログラムのダウンロードが行われる必要があります。If software updates aren't available, for example if the computer isn't connected to the corporate network, computers must download definition updates from Microsoft Update.

  • ユーザーのコンピューターでは、毎日マルウェアのクイック スキャンを実行する必要があります。Users' computers must perform a quick malware scan every day. ただしサーバーは、業務時間外の毎週土曜日午前 1 時に、フル スキャンを実行する必要があります。Servers, however, must run a full scan every Saturday, outside business hours, at 1 A.M.

  • 次のいずれかのイベントが発生するたびに電子メール アラートを送信します。Send an email alert whenever any one of the following events occurs:

    • いずれかのコンピューターでマルウェアが検出される。Malware is detected on any computer

    • 5% を超えるコンピューターで同じマルウェアの脅威が検出されるThe same malware threat is detected on more than 5 percent of computers

    • 任意の 24 時間以内に同じマルウェアの脅威が 6 回以上検出されるThe same malware threat is detected more than 5 times in any 24-hour period

    • 任意の 24 時間以内に 4 つ以上の異なる種類のマルウェアが検出されるMore than 3 different types of malware are detected in any 24-hour period

    管理者は、Endpoint Protection を実装するために次の手順を行います。The admins then do the following steps to implement Endpoint Protection:

Endpoint Protection を実装する手順を実行します。Steps to implement Endpoint Protection

プロセスProcess 参照先Reference
管理者は、Configuration Manager での Endpoint Protection の基本概念に関して、提供されている情報を確認します。The admins review the available information about the basic concepts for Endpoint Protection in Configuration Manager. Endpoint Protection の詳細については、「System Center Configuration Manager での Endpoint Protection」を参照してください。For overview information about Endpoint Protection, see Endpoint Protection in System Center Configuration Manager.
管理者は Endpoint Protection を使用するために必要な前提条件を確認して実装します。The admins review and implement the required prerequisites to use Endpoint Protection. Endpoint Protection の前提条件の詳細については、「Endpoint Protection の導入計画」を参照してください。For information about the prerequisites for Endpoint Protection, see Planning for Endpoint Protection.
管理者は、ウッドグローブ銀行の最上位階層にある 1 つのサイト システム サーバーにのみ Endpoint Protection サイト システムの役割をインストールします。The admins install the Endpoint Protection site system role on one site system server only, at the top of the Woodgrove Bank hierarchy. Endpoint Protection サイト システムの役割をインストールする方法について詳しくは、「Configure Endpoint Protection」(Endpoint Protection の構成) の「前提条件」を参照してください。For more information about how to install the Endpoint Protection site system role, see "Prerequisites" in Configure Endpoint Protection.
管理者は、SMTP サーバーを使用して電子メール アラートを送信するように Configuration Manager を構成します。The admins configure Configuration Manager to use an SMTP server to send the email alerts.

注: SMTP サーバーを構成する必要があるのは、Endpoint Protection アラートが生成されるときに電子メールで通知する場合のみです。Note: You must configure an SMTP server only if you want to be notified by email when an Endpoint Protection alert is generated.
詳細については、「Endpoint Protection のアラートを構成する」を参照してください。For more information, see Configure alerts in Endpoint Protection.
管理者は、Endpoint Protection クライアントをインストールするすべてのコンピューターとサーバーが含まれるデバイス コレクションを作成します。The admins create a device collection that contains all computers and servers to install the Endpoint Protection client. 管理者は、このコレクションに「Endpoint Protection によって保護されるすべてのコンピューター」という名前を付けます。They name this collection All Computers Protected by Endpoint Protection.

ヒント: ユーザーのコレクションに対してアラートを構成することはできません。Tip: You can't configure alerts for user collections.
コレクションを作成する方法については、「System Center Configuration Manager でコレクションを作成する方法」を参照してください。For more information about how to create collections, see How to create collections in System Center Configuration Manager
管理者は、コレクションに対して次のアラートを構成します。The admins configure the following alerts for the collection:

1) マルウェアが検出された場合: 管理者はアラートの重要度 [重大] を構成します。1) Malware is detected: The admins configure an alert severity of Critical.

2) 多数のコンピューターで同じ種類のマルウェアが検出された場合: 管理者はアラートの重要度 [重大] を構成し、5% を超えるコンピューターでマルウェアが検出された場合にこのアラートが生成されることを指定します。2) The same type of malware is detected on a number of computers: The admins configure an alert severity of Critical and specify that the alert will be generated when more than 5 percent of computers have malware detected.

3) 同種類のマルウェアが指定時間内に特定のコンピューター上で繰り返し検出される場合: 管理者はアラートの重要度 [重大] を構成し、マルウェアが 24 時間以内に 5 回を超えて検出された場合にこのアラートが生成されることを指定します。3) The same type of malware is repeatedly detected within the specified interval on a computer: The admins configure an alert severity of Critical and specify that the alert will be generated when malware is detected more than 5 times in a 24-hour period.

4) 複数の種類のマルウェアが指定時間内に同じコンピューター上で検出される場合: 管理者はアラートの重要度 [重大] を構成し、3 種類を超えるマルウェアが 24 時間以内に検出された場合にこのアラートが生成されることを指定します。4) Multiple types of malware are detected on the same computer within the specified interval: The admins configure an alert severity of Critical and specify that the alert will be generated when more than 3 types of malware are generated in a 24-hour period.

[アラートの重要度] の値は、Configuration Manager コンソールに、および電子メール メッセージで受信するアラートに表示されるアラート レベルを示します。The value for Alert Severity indicates the alert level that will be displayed in the Configuration Manager console and in alerts that they receive in an email message.

さらに、Configuration Manager コンソールでアラートを監視できるように、オプション [このコレクションを Endpoint Protection ダッシュボードに表示する] を選択します。They additionally select the option View this collection in the Endpoint Protection dashboard so that they can monitor the alerts in the Configuration Manager console.
System Center Configuration Manager での Endpoint Protection の構成」の「Endpoint Protection のアラートを構成する」を参照してください。See "Configure Alerts for Endpoint Protection" in Configuring Endpoint Protection in System Center Configuration Manager.
管理者は、Configuration Manager ソフトウェア更新プログラムを、自動展開ルールを使用して 1 日に 3 回、定義の更新プログラムをダウンロードして展開するように構成します。The admins configure Configuration Manager software updates to download and deploy definition updates three times a day by using an automatic deployment rule. 詳細については、「Use Configuration Manager software updates to deliver definition updates」(Configuration Manager ソフトウェア更新プログラムを使用して定義の更新プログラムを配信する) の「Configuration Manager ソフトウェア更新プログラムにより定義の更新プログラムを配信する」を参照してください。For more information, see the "Using Configuration Manager Software Updates to Deliver Definition Updates" section in Use Configuration Manager software updates to deliver definition updates.
管理者は、Microsoft によって推奨されているセキュリティ設定が含まれる、既定のマルウェア対策ポリシーの設定を調べます。The admins examine the settings in the default antimalware policy, which contains recommended security settings from Microsoft. 毎日のクイック スキャンを実行するコンピューターに関しては、次の設定を変更します。For computers to perform a quick scan every day to, they change the following settings:

1) クライアント コンピューターでクイック スキャンを毎日実行する: はい1) Run a daily quick scan on client computers: Yes.

2) 日次クイック スキャンの実行予定時刻: 午前 9:002) Daily quick scan schedule time: 9:00 AM.

管理者は、定義の更新のソースとして [Microsoft Update から配信される更新プログラム] が既定で選択されていることに注意します。The admins note that Updates distributed from Microsoft Update is selected by default as a definition update source. この選択項目は、Configuration Manager ソフトウェアの更新プログラムを受信できない場合に、コンピューターによる Microsoft Update からの定義のダウンロードする、というビジネス要件と合致します。This fulfills the business requirement that computers download definitions from Microsoft Update when they can't receive Configuration Manager software updates.
System Center Configuration Manager で Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法」を参照してください。See How to create and deploy antimalware policies for Endpoint Protection in System Center Configuration Manager.
管理者は、「Woodgrove Bank のサーバー」という名前の Woodgrove Bank のサーバーのみが含まれるコレクションを作成します。The admins create a collection that contains only the Woodgrove Bank servers named Woodgrove Bank Servers. 「System Center Configuration Manager でコレクションを作成する方法」を参照してくださいSee How to create collections in System Center Configuration Manager
管理者は、「Woodgrove Bank のサーバー ポリシー」という名前のカスタム マルウェア対策ポリシーを作成します。The admins create a custom antimalware policy named Woodgrove Bank Server Policy. [スケジュールされたスキャン] の設定のみを追加し、次の変更を行います。They add only the settings for Scheduled scans and make the following changes:

スキャンの種類: 完全Scan type: Full

スキャンの実行: 土曜日Scan day: Saturday

スキャン時刻: 午前 1:00Scan time: 1:00 AM

クライアント コンピューターでクイック スキャンを毎日実行する: いいえRun a daily quick scan on client computers: No.
System Center Configuration Manager で Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法」を参照してください。See How to create and deploy antimalware policies for Endpoint Protection in System Center Configuration Manager.
管理者は、「Woodgrove Bank のサーバー ポリシー」カスタム マルウェア対策ポリシーを「Woodgrove Bank のサーバー」コレクションに展開します。The admins deploy the Woodgrove Bank Server Policy custom antimalware policy to the Woodgrove Bank Servers collection. Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法」の「マルウェア対策ポリシーをクライアント コンピューターに展開するには」を参照してください。See "To deploy an antimalware policy to client computers" How to create and deploy antimalware policies for Endpoint Protection article.
管理者は Endpoint Protection の新しいカスタム クライアント デバイス設定セットを作成し、「ウッドグローブ銀行の Endpoint Protection 設定」という名前を付けます。The admins create a new set of custom client device settings for Endpoint Protection and names these Woodgrove Bank Endpoint Protection Settings.

注: 階層内のすべてのクライアントに対し、Endpoint Protection をインストールして使用可能にする必要がない場合には、 [クライアント コンピューターの Endpoint Protection クライアントを管理する][Endpoint Protection クライアントをクライアント コンピューターにインストールする] のどちらのオプションも既定のクライアント設定で [いいえ] に構成されていることを確認してください。Note: If you don't want to install and enable Endpoint Protection on all clients in your hierarchy, make sure that the options Manage Endpoint Protection client on client computers and Install Endpoint Protection client on client computers are both configured as No in the default client settings.
詳しくは、の「Endpoint Protection のカスタム クライアント設定を構成する」を参照してください。For more information, see Configure Custom Client Settings for Endpoint Protection.
Endpoint Protection に関して以下の設定を構成します。They configure the following settings for Endpoint Protection:

[クライアント コンピューターの Endpoint Protection クライアントを管理する] を実装するために次の手順を実行します。 はいManage Endpoint Protection client on client computers: Yes

この設定と値を使用すると、インストールされている既存のすべての Endpoint Protection クライアントが Configuration Manager によって管理されます。This setting and value ensures that any existing Endpoint Protection client that is installed becomes managed by Configuration Manager.

Endpoint Protection クライアントをクライアント コンピューターにインストールする: はいInstall Endpoint Protection client on client computers: Yes.

: Configuration Manager 1802 以降では、Windows 10 デバイスに Endpoint Protection エージェントをインストールする必要がありません。Note Starting in Configuration Manager 1802, Windows 10 devices don't need to have the Endpoint Protection agent installed. それが Windows 10 デバイスに既にインストールされている場合は、Configuration Manager によって削除されることはありません。If it's already installed on Windows 10 devices, Configuration Manager won't remove it. 管理者は、少なくとも 1802 クライアント バージョンで実行されている Windows 10 デバイス上の Endpoint Protection エージェントを削除できます。Administrators can remove the Endpoint Protection agent on Windows 10 devices that are running at least the 1802 client version.
詳しくは、の「Endpoint Protection のカスタム クライアント設定を構成する」を参照してください。For more information, see Configure Custom Client Settings for Endpoint Protection.
管理者は、「Woodgrove Bank の Endpoint Protection 設定」クライアント設定を「Endpoint Protection によって保護されたすべてのコンピューター」コレクションに展開します。The admins deploy the Woodgrove Bank Endpoint Protection Settings client settings to the All Computers Protected by Endpoint Protection collection. Configuration Manager の Endpoint Protection の構成」の「Endpoint Protection のカスタム クライアント設定を構成する」を参照してください。See "Configure Custom Client Settings for Endpoint Protection" in Configuring Endpoint Protection in Configuration Manager.
管理者は、Windows ファイアウォール ポリシーの作成ウィザードを使用して、ドメイン プロファイル用の次の設定を構成してポリシーを作成します。The admins use the Create Windows Firewall Policy Wizard to create a policy by configuring the following settings for the domain profile:

1) Windows ファイアウォールを有効にする: はい1) Enable Windows Firewall: Yes

2)2)
Windows ファイアウォールが新しいプログラムをブロックしたときにユーザーに通知する: はいNotify the user when Windows Firewall blocks a new program: Yes
System Center Configuration Manager の Endpoint Protection 用 Windows ファイアウォール ポリシーを作成および展開する方法」を参照してください。See How to create and deploy Windows Firewall policies for Endpoint Protection in System Center Configuration Manager
管理者は新しいファイアウォール ポリシーを、先に作成した「Endpoint Protection によって保護されたすべてのコンピューター」コレクションに展開します。The admins deploy the new firewall policy to the collection All Computers Protected by Endpoint Protection that they created earlier. System Center Configuration Manager の Endpoint Protection 用 Windows ファイアウォール ポリシーを作成および展開する方法」を参照してください。See "To deploy a Windows Firewall policy" in the How to create and deploy Windows Firewall policies for Endpoint Protection in System Center Configuration Manager
管理者は Endpoint Protection に関して利用可能な管理タスクを使用して、マルウェア対策および Windows ファイアウォールのポリシーの管理、必要に応じたオンデマンドのコンピューター スキャンの実行、コンピューターでの最新の定義の強制ダウンロード、マルウェアが検出されたときに追加実行する操作の指定を行います。The admins use the available management tasks for Endpoint Protection to manage antimalware and Windows Firewall policies, perform on-demand scans of computers when necessary, force computers to download the latest definitions, and to specify any further actions to take when malware is detected. System Center Configuration Manager での Endpoint Protection のためのマルウェア対策ポリシーとファイアウォール設定の管理方法」を参照してください。See How to manage antimalware policies and firewall settings for Endpoint Protection in System Center Configuration Manager
管理者は次の方法を使って、Endpoint Protection の状態および Endpoint Protection によって実行されるアクションを監視します。The admins use the following methods to monitor the status of Endpoint Protection and the actions that are taken by Endpoint Protection:

1) [監視] ワークスペースの [セキュリティ][Endpoint Protection のステータス] ノードを使用する。1) By using the Endpoint Protection Status node under Security in the Monitoring workspace.

2) [資産とコンプライアンス] ワークスペースの [Endpoint Protection] ノードを使用する。2) By using the Endpoint Protection node in the Assets and Compliance workspace.

3) Configuration Manager の組み込みレポートを使用する。3) By using the built-in Configuration Manager reports.
System Center Configuration Manager で Endpoint Protection を監視する方法」を参照してください。See How to monitor Endpoint Protection in System Center Configuration Manager

管理者は、Endpoint Protection が正常に実装されたことを上司に報告し、Woodgrove Bank のコンピューターが、指示されたビジネス要件に従ってマルウェアから保護されていることを確認します。The admins report a successful implementation of Endpoint Protection to their manager, and confirms that the computers at Woodgrove Bank are now protected from antimalware, according to the business requirements that they were given.

次のステップNext steps

詳細については、Endpoint Protection の構成方法に関するページを参照してください。For more information, see How to Configure Endpoint Protection