-----------------------------------------------------------------------------------------------
■Microsoft Defender ウイルス対策の管理方法
------------------------------------------------------------------------------------------------
第1回の記事では、Microsoft Defender ウイルス対策の品質が高いこと、また利用に必要な機能が備わっていることがわかりました。
ところが一方で、組織におけるPC全体の動向を把握するには課題がある、ということもご説明してきました。
それではどのようにすればよいのでしょうか。
Microsoft Defender ウイルス対策を利用するにあたり必要となるステップと共に、組織でMicrosoft Defender ウイルス対策を活用する上で課題となっている点を説明します。
【1】ポリシーの設定
まずは、スキャンのタイミングや更新のタイミングを設定します。
このポリシーの設定はグループポリシー、PowerShell、SCCM、intuneなどMicrosoft社のPC管理製品でも設定することが可能です。
【2】定義ファイルの更新定義ファイルの更新には次の2つの方法があります。
【3】レポート作成・アラート通知利用状況把握のための管理レポート作成、アラート通知の設定方法には下記の3つがあります。
①のUpdate Complianceを使うと、無償でレポートを利用することができます。
しかし、この方法ではレポートしか利用できず、ウイルスを検知した際などインシデント発生時に必要となるアラート通知が提供されていません。
アラート機能を設定するためには、②のWindows Defender ATP、または③SCCMサーバを利用する必要がありますが、どちらも追加のコストが発生してしまいます。
②のWindows Defender ATPを利用するにはMicrosoftのE5のライセンスが必要ですし、③のSCCMサーバを利用する場合には、SCCMのライセンス費のほかに、サーバ構築費、保守運用費も別途必要となってしまいます。
------------------------------------------------------------------------------------------------
■Sumo Logicで可視化してみた
------------------------------------------------------------------------------------------------
Microsoft Defender ウイルス対策でレポート作成・アラート通知を実現するためには、そのためのライセンス費用、サーバ構築・運用費用が別途必要になることがわかりました。
追加の費用をかけずに、Microsoft Defender ウイルス対策を活用する方法はないのでしょうか?
あります。
それは「Sumo Logic」でMicrosoft Defender ウイルス対策を可視化する方法です。
Sumo Logicは、セキュリティソフトをはじめ、ネットワーク機器やストレージなどのクラウドサービス、オンライン会議システムなど、オンプレミスかクラウドかに関わらず、ログデータを集約し一元化することができるクラウドSIEMソリューションです。
Sumo Logicを利用することで追加コストを抑え、レポート、アラート通知を実現し、組織全体でのMicrosoft Defender ウイルス対策の利用状況を可視化することができるのです。
というわけで、Sumo Logicを使ってWindows Defender ウイルス対策の利用状況を実際に可視化してみました。
Sumo LogicでMicrosoft Defender ウイルス対策の利用状況を可視化するためにまず、Microsoft Defender ウイルス対策のログはどのように確認することができるのか、どのような情報が入っているのか説明します。
WindowsにはOS、アプリケーション、セキュリティなどの動作を記録・表示するイベントログと呼ばれる機能があります。
このイベントログは、テキスト形式ではなくバイナリ形式で保存されており、管理ツールのイベントビューアーで見ることができます。
ログインやインストールなどの動作は全てこのイベントログに記録され、Microsoft Defender ウイルス対策に関する動作も同様に、このイベントログから確認することができます。
つまりこのイベントログをSumo Logicに取り込むことでMicrosoft Defender ウイルス対策の利用状況を可視化することが可能です。
では実際にMicrosoft Defender ウイルス対策のイベントログがどのようなものか見てみましょう。
Microsoft Defender ウイルス対策のイベントログは、イベントビューアーであれば、「アプリケーションとサービス ログ」フォルダで見ることができます。
イベントログにはMicrosoft Defender ウイルス対策に限らず、様々なアプリケーションの動作が記録されているので、Sumo Logicを利用する際には、上のようにイベントログにある項目「Logfile」に「"Microsoft-Windows-Windows Defender/Operational"」が入っているログを指定することで、Microsoft Defender ウイルス対策のログに絞って分析することができます。
また「EventCode」によって、スキャンの開始/一時停止/再開/終了/失敗、マルウェアの検出、定義の更新成功/更新失敗など、イベントの種類を識別したり、マルウェア対策エンジンのバージョンを確認したりすることができます。
具体的なEventCodeは下記リンクを確認してみてください。
それでは、Microsoft Defender ウイルス対策のログを使いSumo Logicでダッシュボードを作成してみましょう。
Sumo Logicでダッシュボードを作成することで、アクティブデバイス数、定義ファイルのアップデート状況、イベントID毎の集計、ウイルスの検知状況などを一面的に可視化することができました。
これで組織にあるすべてのPCのWindows Defender ウイルス対策の利用状況を簡単に把握することができるようになりました。
続いて、ウイルスが検知された場合にアラートメールを管理者に通知する設定もしてみましょう。
ここでは詳しい設定の方法は記載しませんが、Sumo Logicではウイルスを検知した際、リアルタイムでアラート通知をメール送信することができます。
今回は、イベントログにある項目:重大度で「重大」と判定されたウイルスを15分間のうちに1件以上検知した場合にアラート通知をメール送信する設定をしてみました。
次の画像は実際に送られてくるアラートメールです。
このように、Sumo Logicを活用してダッシュボートを作成し、Microsoft Defender ウイルス対策の可視化を実現することができました。
またアラート通知を設定することで、インシデントが発生した場合にはシステム管理者が即座に対処することもできるようになります。
Microsoft Defender ウイルス対策を活用する上で課題となっていた、レポート作成・アラート通知をSumo Logicで実現できることがわかりましたね。
さて、肝心のコストはどうでしょうか?
Sumo Logicのライセンス費用は、インジェストするログの量とログの保管期間で決まります。
そこで、Sumo Logicを活用することでどのくらいのコスト削減を実現できるのか、次の2つの場合のライセンス費用を比べてみました。
①Microsoft E5ライセンスで利用できるMicrosoft Defender ATPを使って管理する場合
②Microsoft E3ライセンス+Sumo Logicで可視化する場合
【前提条件】
・社内に1,000台のパソコンを所有(1台あたりのログ量は500KB/日⇒1,000台あたりのログ量0.5GB/月)
・年間のライセンスコストを比較(初期導入コストは除く)
いかがでしたでしょうか?
この記事では、Microsoft Defender ウイルス対策のダッシュボードを作るためのクエリは紹介しませんでしたが、弊社アルプス システム インテグレーション株式会社でSumo Logicをご契約いただいたお客様には、無償でMicrosoft Defender ウイルス対策のダッシュボードを提供しています。
もちろん、アラートの設定、ダッシュボードのカスタマイズも支援いたしますので、興味のある方はぜひ、お気軽にご相談ください。
※本記事はアルプス システム インテグレーション株式会社の独自の調査により作成したものです。
正確な情報は、日本マイクロソフト社のウェブサイトでご確認ください。
2023年12月にMicrosoft Defender ウイルス対策に関するWebセミナーを実施いたしました。
ぜひご視聴ください。