Microsoft Defender for Endpointを使ってクライアントPCの脆弱性を通知してみた

最終更新日:2021-12-23

MDMを使って会社の端末を管理している方が多いと思います。弊社もMDMを導入していますがアプリケーションの完全な自動更新までまだ手を回っておらず、せめて緊急度の高い脆弱性だけでも把握できる様にしたいと思い設定してみました。

1.前提条件

この機能をMicrosoft Defender for Endpointを使用するため事前に以下環境をご準備下さい。

- ライセンス契約があること
- クライアントに配布されていること

2.設定手順

2-1 設定メニューの表示

1. Microsoft Defenderのポータルへログイン

2. 左側メニューより「設定」＞「エンドポイント」クリック

2-2アラートの設定

デバイスがウイルス（マルウェア）を検知した場合の通知設定を行います。

1. 左メニュー　”メール通知　＞　”アラート”タブにて「＋アイテムを追加」クリック

2. 設定ウィザードが表示されるので以下の通り設定

 - ルール名 ： 任意（わかりやすい名前）
-  組織名を含む ： ON
-  組織固有のポータル リンクを含みます ： ON
-  デバイス情報を含む ： ON
-  アラート野重要度 ： すべてON

 3. ”受信者”タブにて通知したいメールアドレスを追加して保存

2-3 脆弱性の設定

・デバイスのOS及びインストールソフトで脆弱性が出た場合の通知設定を行います。

1. 左メニュー”メール通知　＞　”脆弱性”にて「＋通知ルールを追加」クリック

2. 設定ウィザードが表示されるので以下の通り設定して「次へ」

 - 名前 ： 任意（わかりやすい名前）※日本語不可
-  説明 ： 任意（わかりやすい説明）

 3. 通知の設定にて以下の通り設定

 - 新しい脆弱性が見つかりました ： ON
-  重大度のしきい値： 高　※あまり低すぎてもたくさん来るので「高」で
- 組織名をメールに含む：任意

 4.受信者設定にて通知したいメールアドレスを追加して次へ
 5.確認画面が出るので問題なければ「ルールを作成」クリック

3.メールの通知内容

正常に登録するとこんな感じでメールが届きます。
※Exposed devicesには対象台数が表示されます。

4.Slack通知（おまけ）

公式手順を参考にメールアドレスを発行してそのアドレスを上記手順で設定するだけです(笑)

Slack にメールを送信する

5.課題

ただしこの設定だと以下２つの課題が残ります。

①「管理端末の何台がこのアプリの脆弱性に該当する」までしかわからず端末別やユーザ別の状況を把握することが出来ない。

②Slack通知メールもHTMLメールで届くだけで見づらい。

この課題は解決したいのでもし良い方法をご存知の方いれば教えて下さい。