Microsoft Defender for Endpoint(MDE)には、多機能で便利な一方、実際のセキュリティ運用フェーズにおける役割がわかりづらい機能名もあります。
この記事では、防御 → 検知 → 対応 → 可視化 というアラート発生の流れに沿って、MDEの用語を整理します。
Threat Protection:リアルタイムに脅威を検出・ブロックする
フェーズ:防御・検知(多層防御の中核)
概要
Threat Protectionは、既知・未知のマルウェア、悪意のあるスクリプト、Exploit、ネットワーク攻撃などをリアルタイムで検出・防御する機能群です。
ユースケース
- マクロやスクリプト型攻撃のブロック
- 標的型攻撃やゼロデイ攻撃のリアルタイム検知
- 攻撃の進行を阻止し、被害の拡大を防止
具体例
悪意のあるOfficeファイルがPowerShellを起動しようとした際、MDEがそれをリアルタイムで検知してブロック。関連するプロセスも自動で停止する。
📘 Microsoft Docs - Threat protection overview
Indicator:攻撃の兆候をもとに検知・制御を行う
フェーズ:検知・制御(プロアクティブな防御)
概要
Indicatorは、ファイルハッシュ、IPアドレス、URL、証明書などのIoC(Indicator of Compromise)を登録し、MDEがそれに基づいて脅威を検知・ブロックする拡張機能です。
ユースケース
- マルウェアのハッシュ値を登録し、該当ファイルを自動ブロック
- 攻撃に使われたIPやURLを通信制御対象に追加
- 盗用・悪用された証明書を使用するプロセスを遮断
具体例
SHA-256のハッシュをindicatorに登録し、そのファイルが実行された場合に自動でブロックとユーザー通知を行う。
📘 Microsoft Docs - Create indicators in Microsoft 365 Defender
Alert Notification Rule:アラート発生後の自動通知を実現する
フェーズ:対応(初動対応・通知の自動化)
概要
Alert Notification Ruleは、MDE上で発生したアラートに対して、条件に応じて関係者へメール通知を送るための自動化設定です。
ユースケース
- 高リスクアラートをSOCチームへ即時通知
- TeamsやSIEMとの連携によるリアクション強化
- アラートの種類やデバイスグループごとに通知対象を分ける
具体例
重大度が「High」のアラートのみを対象にした通知ルールを設定し、セキュリティチームにメールを自動送信する。
📘 Microsoft Docs - Manage alert notification rules
Vulnerable Device Report:端末の脆弱性を可視化・優先順位付けする
フェーズ:可視化・分析(リスクの把握と対策計画)
概要
Vulnerable Device Reportでは、組織内のデバイスに存在するソフトウェアやOSの脆弱性を一覧化し、CVE情報や修正優先度などをもとにリスクを可視化します。
ユースケース
- パッチ未適用端末の洗い出し
- 修正すべき脆弱性の影響度と優先順位の確認
- セキュリティ監査や報告用レポートの作成
具体例
複数の端末で旧バージョンのAdobe Readerが使用されており、CVE-ID、重大度、対応状況を含めたレポートとして可視化される。
📘 Microsoft Docs - Vulnerability management dashboard