日本マイクロソフトの「Microsoft Defender for Endpoint(旧Microsoft Defender Advanced Threat Protection/Microsoft Defender ATP)」は、クラウド型のEDR(エンドポイントによる検知と対処)ソフトである。マルウエアに侵入された後でも、マルウエアによる不正な行動をエンドポイント上で検知し、これに対処できる。別途エージェントを導入することなく、OS標準ログを利用して脅威を検知する。

Microsoft Defender for Endpointの画面
Microsoft Defender for Endpointの画面
(出所:日本マイクロソフト)
[画像のクリックで拡大表示]

特徴

 OS標準ログを利用して脅威を検知するので、エージェントをインストールすることなく使える。

提供形態

 OSに組み込まれた挙動センサーが、セキュリティ関連のイベントやエンドポイントの挙動をログに詳しく記録する。エンドポイントのログ情報として、プロセス、ファイル、レジストリ、ネットワークなどのデータをクラウドに送信する。

 クラウド上では、Microsoftコミュニティの脅威インテリジェンスを利用することで、異常な挙動や攻撃者の手法を検出し、既知の攻撃との類似点を特定する。脅威を検知できるだけでなく、攻撃の予兆まで認識できる。

仕組み

 OSに組み込まれた挙動センサーが、セキュリティ関連のイベントやエンドポイントの挙動を、ログに詳しく記録する。

主な機能

マルウエア対策

 機械学習エンジンを使って未知のマルウエアや不正な攻撃を検知して対処する。

EDR

 クライアント端末のアクティビティログと脅威インテリジェンスを組み合わせて、異常な挙動や攻撃を検出し、対処する。

脆弱性管理

 システムの脆弱性を検出し、優先順位を付けて、1クリックで修復できるようにする。

使い方

 ユーザー企業の管理者は、クラウドのダッシュボードを通じて、分析したデータに脅威があるかどうかを確認できる。

 アラートが発生し対処を行いたい場合には、管理コンソールからエンドポイントに命令を出せる。クライアント端末に対するアクションとして、プログラムを停止させたり、ネットワークから切り離したりできる。

 管理画面上では、インシデントの根本原因の特定もできる。インシデントがどのような経路で広がったか、どのような影響があるかなどを、180日前までさかのぼって調査できる。

稼働環境

 対応したライセンスが必要になる。Microsoft Defender for Endpointを利用できるのは「Microsoft 365 E5」「Windows 10 Enterprise E5」「Microsoft Defender for Endpoint単体プラン」の3種類。

価格・料金(税別)

 販売代理店がKDDIやBBソフトサービスなどの場合、Microsoft Defender for Endpoint単体プランは月額570円(消費税10%込みで月額627円)。