Microsoft 365 E5 が追加できるサブスクリプションに試用版が追加されてます。

ずっと、追加されると思っていたので、契約しているテナントで、サブスクリプション一覧を見ていたら、12月10日ごろに追加されていることに気づきました。 ※試用版は、Microsoft 365 E5 電話会議なしパターンにはありません。 早速、私が使用している個人テ…

Defender ATP API が新しくなっている!

Defender ATP API URL がリニュアルされているので、使用されている方は、注意して使ってください。 こちら、非推奨となった APIとなります。 先月のはじめくらいに変わってます。docs.microsoft.com はい。じゃぁ、これからは?って思うと思います。 こちら…

Windows Server 2019 Defender ATP 登録

Windows Server 2019 で、Defender ATP 登録ができるようになりました。 docs.microsoft.com Windows Server 2019 には、Windows 10 と同じ Defender ATP のセンサーが内蔵 されています。 docs.microsoft.com 実装方法は、Windows 10 と同じと記載されてい…

Microsoft Cloud App Security and Windows Defender ATP (プレビュー)1809

Defender ATP で収集したログを Microsoft Cloud App Security に連携を行い 送ることで、Defender ATP の情報がMicrosoft Cloud App Security に伝わり 可視化するといった機能がプレビューですが、実装されました。 docs.microsoft.com techcommunity.micr…

Defender ATP Advanced Hunting を学ぼう

Defender ATP の公式サイトに紹介されている参考URLを記載します。 Getting Started with Windows Defender ATP Advanced Hunting techcommunity.microsoft.com サンプルクエリがある Github も公開されていたので、記載します。 WindowsDefenderATP-Hunting…

Defender ATP Remove app restrictions (制限解除)

[Windows Defender Security Center] に ログイン を行い、 [Machines] - [Actions] - [Remove app restrictions] をクリックします。 コメントを入れて、[Yes, remove restriction] をクリックします。

Defender ATP Restrict app execution(制限)

[Windows Defender Security Center] に ログイン を行い、 [Machines] - [Actions] - [Restrict app execution] をクリックします。 Microsoft さんが承認および署名しているアプリ以外に対して、アプリケーションを実行できないように制限できるようです。…

Defender ATP で 対象 machine に対して、ネットワーク遮断

Defender ATP で 対象 machine に対して、ネットワーク遮断ができます。 実際に試してみました。 ※この機能は、Windows 10 1709 以降でなければ、Defender ATP から指示不可(仕様) でわ、やってみましょう。 Machines リストから、対象の machine を 選んで…

Defender ATP Permissions Roles ①

[Windows Defender Security Center] に ログイン します。 ※この Permissions Roles 開始作業は、1度きりとなります。 要検討の上で、実施願います。 Start using roles?Role-based access control provides granular options for regulating permissions t…

Office 365 Analytics 有効化

Defender ATP との連携でも必要なので。 Office 365 Analytics を 有効化します。 [Office 365 Analytics を使い始める] をクリックする。 [次へ] をクリックする。 [次へ] をクリックする。 [Office 365 Analytics の有効化] をクリックする。

Defender ATP Windows 8.1 試してみた。結果 (preview)

Defender ATP で、Windows 8.1 を 登録 してみました。 登録できました。時間がたたないと Active にはならないのは、仕様です。 登録の流れを記載します。 ワークスペース IDと ワークスペースキー を入力して、次へ ※Defender ATP の Onboarding に ワーク…

Defender ATP Windows 7 SP1 試してみた。結果 (preview)

待っていたら、Health が Active になりました。 端末をクリックすると、うーんやっぱり、 Actions から動かせるのは、タグだけですね。 ↑ログは、出力されていますね。

Defender ATP Windows 7 SP1 試してみた。(preview)

Windows7 に入れてみましたよ。 普通に OMS エージェント入れて、登録するだけでした。 実行の仕方は、Windows Server の時と一緒です。 有効化しましたが、Health が Unavailable ってなってますね。 実は、起動してるんだけど・・・・ ちょっと待ってみま…

Azure Advanced Threat Protection (Azure ATP) と Microsoft Advanced Threat Analytics (ATA)

これから、お話をしますのは、私の現在の見解です。 ※変わる可能性あると思っています。 Azure ATP と ATA がありますよね。 私の理解では、こうです。 ATA = オンプレミス向け Azure ATP = ATA の クラウド 版 (オンプレミスにも展開可能) ライセンスで言…

Defender ATP 試用版は、30日延長可能

Defender ATP試用版 は、 Office 365 管理センター から、試用期間を 30日間 延長可能 です。 ※更新処理には、必ずクレジットカードの登録は必要となります。 試用版サブスクリプションの延長

Defender ATP Windows 7 SP1 and 8.1 に対して対応 (preview)エージェント

やっぱり、Windows 7 SP1 and 8.1 に対して対応は、 Microsoft Monitoring Agent でした。 予想していましたが、Windows 10 と違って、エージェント 投入ですね。 Windows Server も Microsoft Monitoring Agent ですから、 そうなるのも仕方がないと思いま…

Defender ATP Windows 7 SP1 and 8.1 に対して対応 (preview)

Defender ATP の機能で、ついに Windows 7 SP1 and 8.1 に対しての対応が パブリックプレビューとなりました。 出ましたね。 これは、さっそく検証せねば。 preview だから、早く GA してほしいね。

Defender ATP が構成できる場所に UK が追加されました。

[US] と [Europe] しかなかったんですが、最近 UK(英国)が追加されました。 ※以下の画面は、変更されていなかったときの画面です。 現在では、上記選択肢に UK(英国)が追加されています。

Defender ATP 連携 Intune デバイス脅威レベルに関して

Defender ATP と Intune とで、脅威レベルが認識できない場合というかおそらくですが、Intune 側がクライアントから来る情報を受けていない場合は、以下のような表示になります。 日本語だと、非アクティブ化 と表示されます。

Defender ATP 既にアカウントがある場合のメッセージ

Defender ATP Trial 実施時に、既に Office 365 にログインしている場合は、以下のような画面が表示されます。 紐づけは、Microsoft さんの仕様で、通常アカウントでもできてしまうことがありますので、注意してください。

Defender ATP 条件付きアクセス を制御する場合

Defender ATP で 条件付きアクセス を制御する場合で、コンプライアンスポリシー での準拠判断で制御を検証しました。 ここで、問題があります。 Defender ATP から Intune への伝達は、遅くとも30分程度の範囲で反映されていることが確認とれてます。(環…

Defender ATP で 検知した脅威を Intune で検知できるかテスト

Defender ATP 検知した脅威レベルが、Intune に 伝わっているかどうかを確認しました。 結果は、確認できました。 反映は、即時ではないんだなということがわかってきました。 条件付きアクセス のテストが可能となりましたので、次回で実施していこうと思い…

Defender ATP & Microsoft Intune 連携 デバイス脅威レベルの伝達に関して

ずっとうまくいかなかったんですが、本日成功しました。 条件がいろいろと見えてきました。 こちらに関しては、整理した上でブログに記載したいと考えています。 条件付きアクセス の連携は、これからですが、デバイス脅威が Intune に伝達ができなかったの…

Defender ATP 無償トライアル 申し込み方法に関して

Windows Defender Advanced Threat Protection 略して、WDATPなんですが、 試用版の申し込み方法がわからない人もいるかと思いまして、このタイミングとはなりましたが、現時点での試用版の申し込み方法を記載します。 そのあと、ブログにありますテナント構…

Defender ATP 分析参考 ①

Defender ATP で分析していて、面白いなっと思ったんで 結構前だから、今更感あります・・ 備忘って目的もあります。 挙動監視と機械学習で大規模な「Dofoil」によるコイン マイニング攻撃を阻止 – 日本のセキュリティチーム 元記事がこれですね。 cloudblog…

Defender ATP Advanced Hunting

Defender ATP では、Advanced Hunting という 素晴らしい機能 を利用して、Query を書いて、まさに実際に ハンティング するかのように、ログを検索して、条件にあった端末を探し出すことができます。 脅威が発見された際などに、同じように脅威を見つけて、…

Defender ATP Windows Server 2016 登録 (プレビュー機能)

プレビュー機能ですが、設定してみました。 Windows Server 2016 の登録が以下の手順で実施できます。 docs.microsoft.com これ見るとわかるんですが、サーバーは、OMSエージェントで接続するようになっています。 プレビュー機能 をOnにすることで、手順 1.…

Defender ATP 検知テスト

テスト ファイル を使用して、Defender ATP で検知してみましょう。 EICAR ウイルス対策テスト ファイルを使用した展開の検証 ※実際にテストだとしても、テストウィルスとして、Defender で 検知されてしまうので実施するときは、試す際は、検証環境や自身の…

Defender ATP 日本語 コンソール化 希望

Defender ATP 日本語 コンソール にしてほしいんですが、現状は、英語のみです。 こちらに関しては、日本での利用が多くなれば、現実化するのではないかと推測しています。 なぜ、そう推測できるのか? 幾つかの Microsoft 製品 でよくある 先進的な製品は、…

Defender ATP アラート

Defender ATP の 標準アラート は、以下の画面で構成ができます。 でわ、構成してみましょう。 今回の設定としましては、私の場合は、端末に対して 脅威レベル High (高)が発生した場合は、メール を アラート するように構成します。 [Settings] 画面で、[…