LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@nico2chin2(Kadota Kota)

Windows Defender ATP の検証 ~下準備編

Last updated at Posted at 2019-12-26

備忘録的な投稿です。
検証の目的としては、Windows Defender ATPでウイルスを検知した際のアラート画面を見たい

まず用意するもの
・仮想マシン(Azure のIaaSで構築)
 OSはWindows 10 Enterprise Ver.1909
 サイズ:Standard DS2 v2 (2 vcpu 数、7 GiB メモリ)
・Microsoft 365 E5 ライセンス
 試用版を利用
・ウイルス(EICARのテスト用ウイルスを使用)
https://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB

・神の思し召しサイト様
■ライセンスのプロビジョニングを検証し、Microsoft Defender ATP のセットアップを完了する
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/licensing
■動画3部作
https://www.bing.com/videos/search?q=windows+defender+atp&&view=detail&mid=89C15D87CD7334BCED9F89C15D87CD7334BCED9F&&FORM=VRDGAR&ru=%2Fvideos%2Fsearch%3Fq%3Dwindows%2Bdefender%2Batp%26FORM%3DHDRSC3

■チュートリアルの概要: ATP セキュリティ アラート ラボ
https://docs.microsoft.com/ja-jp/azure-advanced-threat-protection/atp-playbook-lab-overview

スタート
1.Azure上に仮想マシンを作成する
メモ
 Adminユーザーとパスワードは控えておく
 RDPで接続できるようにネットーワークからポート3389を開けておく
 自動シャットダウンを設定しておく
 IPを静的に変更しておく
 Windows Updateをする

2.AzureADに参加させる
 参加させなくてもいいかもしれない・・・
→参加させなくても大丈夫でした

3.Microsoft Defender セキュリティセンターに初めてアクセスする
下記にアクセス
https://securitycenter.windows.com/
データセンターのリージョンを設定する
とりあえず全てイエスで進める

次はPCにデータセンターに投げられてる情報はこのPCですよーって設定をする
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/configure-endpoints
ローカルスクリプトを使用した Windows 10 マシンのオンボード
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/configure-endpoints-script

Microsoft Defender セキュリティセンターからオフボードパッケージを取得する。

a. ナビゲーションウィンドウで、[設定 > オフボード] を選択する。

b. オペレーティングシステムとして Windows 10 を選択する。

c. [展開方法] フィールドで、[ローカルスクリプト] を選ぶ。

d. [パッケージのダウンロード] をクリックして、.zip ファイルを保存。

.Zip ファイルのコンテンツを、コンピューターからアクセスできる共有の読み取り専用の場所に抽出します。 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが抽出されます。

コンピューターで管理者特権のコマンドラインプロンプトを開き、次のスクリプトを実行する。

a. [スタート] に移動し、「cmd」と入力します。

b. [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします。

スクリプト ファイルの場所を入力する。 デスクトップにコピーしている場合は、「%userprofile%\Desktop\WindowsDefenderATPOnboardingScript.cmd」と入力します。

Enter キーを押すか、[OK] をクリックします。

コンピューターの構成を監視する
Microsoft Defender セキュリティセンターに移動する。

[Machines list] (コンピューター一覧) をクリックする。

マシンが表示されていることを確認する。
→マシンリストに上がってこない・・・191226
今回はここまで、次回に続く

200108追記
上記手法でコマンドを実行してもマシン一覧に上がってこなかったので別の方法を実施

ダウンロードしたパッケージファイルを展開し、右クリック→ [管理者として実行] をクリックする
コマンドが実行されるので [Y] キー→Enterを押下

これでマシンリストに上がってくるようになりました。

Windows Defender ATP 画面の見方については追々・・・

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?