FAQ

Windows Defender/Microsoft Defender連携について教えてください(Defenderの管理)

目次

はじめに
Defender単独利用時の課題
 管理コンソールが標準で付属していない
 管理機能の導入ハードルやコストが高い
yaraiとDefenderが連携することによる課題の克服
他社ウイルス対策ソフトでは?
Defender連携機能の概要
 1. ステータス管理(リアルタイム保護の状態やシグネチャーバージョンなど)
 2. アラート管理(脅威検出アラート)
 3. イベント/ログ管理(脅威検出/シグネチャー/スキャンなど)
 4. シグネチャー管理(スケジュール/オンデマンド)
 5. スキャン管理(スケジュール/オンデマンド)
 6. 除外管理
シグネチャーアップデート元(シグネチャー配信サーバー)と通信について
デフォルト値と旧バージョン(yarai/AMC v3.4.0未満)からの変更点について
 管理コンソール側ポリシーの名称変更
 管理コンソール側ポリシーのデフォルト値の変更
 クライアント画面側への監視/出力対象イベントの変更
 管理コンソール画面側への通知/出力対象イベントの変更
 Defenderの検出通知メールの変更
独立したクライアントについて
他社ウイルス対策ソフトからDefenderへの移行の流れ
Defender連携機能の利用の流れ/動作確認方法
制限事項および注意事項

はじめに

Windows 10には、無料のマルウェア対策機能「Windows Defender/Microsoft Defender」(※Windows DefenderとMicrosoft Defenderは同義となり、以降「Defender」と表記します)がOS標準で付属しており、一般に販売されている有料のウイルス対策ソフトと遜色ないレベルに達していると言われています。

yaraiでは、Defenderと同居・連携することにより、コストを抑えながらセキュリティを高めることが可能となります。本ページでは、yarai/AMC v3.4.0以降のDefender連携機能についてご案内します。

‼ 重要

Defender連携については、yarai/AMC v3.4.0より大幅に機能強化されています。本FAQでは、強化されたDefender連携機能について記載しています。yarai/AMC v3.4.0自体については、以下のページを参照してください。

yarai/AMC v3.4.0未満のDefender連携(強化前)については、部分的な対応となります。新旧バージョンの比較については、後述を参照してください。


Defender単独利用時の課題

管理コンソールが標準で付属していない

専用の管理コンソールなどは標準で付属していないため、「管理機能」が不十分になってしまう可能性があります。

管理機能の導入ハードルやコストが高い

Defenderを管理したい場合、 Windows Defender ATP、Intune、グループポリシー、Windows Defender ATPをベースとしたマネージドサービスなどの幾つかの選択肢がありますが、構築や運用に専門の知識や技術が必要となり、マネージドサービスの場合は一般的に高コストとなる可能性があります。そのため、コストや導入ハードルが高くなる可能性があります。

yaraiとDefenderが連携することによる課題の克服

yaraiには、Defenderとの連携機能が標準で付属しており、追加コスト無しでDefenderとの連携/同居が可能となります。

yaraiとDefenderを組み合わせることにより、Defenderの「既知の脅威への防御(パターンマッチング技術をベースとした防御)」に、yaraiの「未知の脅威への防御」が追加され、セキュリティ防御力が一層高まります。

「Defenderの管理機能」も搭載されており、一般的なウイルス対策ソフトの運用に必要と考えられる以下のような管理機能が利用できます。

  1. ステータス管理(リアルタイム保護の状態やシグネチャーバージョンなど)
  2. アラート管理(脅威検出アラート)
  3. イベント/ログ管理(脅威検出/シグネチャー/スキャンなど)
  4. シグネチャー管理(スケジュール/オンデマンド)
  5. スキャン管理(スケジュール/オンデマンド)
  6. 除外管理

✔ 情報

yaraiでは、以下のような機能も標準で付属していますため、追加コスト無しでさらにセキュリティを高めることも可能です。

また、ユーザー様側での管理コンソールの用意が不要となる「クラウド型サービス(SaaSタイプ)」もありますため、さらにコストを抑えて導入することも可能です。詳細については、販売店までお問い合わせください。


他社ウイルス対策ソフトでは?

他社の多くの一般的なウイルス対策ソフトでは、製品仕様上、Defenderとの同居自体が不可能となります。
※正確な動作や仕様については、ご利用のウイルス対策ソフトのメーカー様へお問い合わせください。

Defender連携機能の概要

1. ステータス管理(リアルタイム保護の状態やシグネチャーバージョンなど)

リアルタイム保護の状態、シグネチャーのバージョン、シグネチャーアップデートやスキャンを実行した日時など、各クライアントのDefenderのステータスを管理コンソールから簡単に確認できます。


2. アラート管理(脅威検出アラート)

脅威検出アラートを管理者にメール送信できます。


3. イベント/ログ管理(脅威検出/シグネチャー/スキャンなど)

脅威検出、シグネチャーアップデート、スキャン実行などの主要なイベント/ログを管理コンソールから簡単に確認できます。


4. シグネチャー管理(スケジュール/オンデマンド)

スケジュールまたはオンデマンドで、Defenderのシグネチャーのアップデート命令を配布できます。


5. スキャン管理(スケジュール/オンデマンド)

スケジュールまたはオンデマンドで、 Defenderの各種スキャン命令(クイックスキャンやフルスキャンなど)を配布できます。


6. 除外管理

競合、パフォーマンストラブル、誤検出などが発生した場合のために、Defenderの検出除外設定(ファイルパスや拡張子など)を配布できます。


シグネチャーアップデート元(シグネチャー配信サーバー)と通信について

弊社製品の管理コンソール(AMC)自体がシグネチャーアップデート元(シグネチャー配信サーバー)にはなりません。そのため、シグネチャーアップデート元は別途用意していただく必要があります。なお、Microsoft社側で公開されている情報によると、シグネチャーアップデート元については、一般的には以下の何れかになると考えられます。

  • Microsoft Update(Windows Update)
  • Windows Server Update Services(WSUS)
  • ファイル共有


そのため、もし既に何れかの方法でOSセキュティパッチを配信されている場合、OSセキュティパッチと併せてシグネチャーアップデートが可能と考えられるため、別途シグネチャーアップデート元の用意は不要となる可能性があります。なお、こちらの正確な製品仕様や動作につきましては、Microsoft社様の以下の参考サイトをご確認いただくか、Microsoft社様へお問い合わせください。

Microsoft社様の参考サイト:Microsoft Defender ウイルス対策の更新プログラムのソースを管理する

また、シグネチャーアップデートに利用される通信については、ご利用のシグネチャーアップデート元やDefender側の仕様に依存します。弊社製品側ではシグネチャーアップデートの命令を実行するのみであり、シグネチャーアップデート元との通信(シグネチャーのダウンロードなど)は行いません。

デフォルト値と旧バージョン(yarai/AMC v3.4.0未満)からの変更点について

yarai/AMC v3.4.0では、大幅な機能強化と併せて、旧バージョンとの互換性の維持も考慮されています。そのため、以下のような変更点があるため、ご注意ください。必要に応じて、ポリシーの設定をお願いします。
また、完全なDefender連携の機能を利用されたい場合には、管理コンソール側のみではなく、クライアント側もアップデートをお願いします。

管理コンソール側ポリシーの名称変更

AMC v3.4.0未満 AMC v3.4.0以降
Windows Defenderの適用 リアルタイム保護の有効化
クライアントによるWindows Defenderの制御 yarai GUIでのリアルタイム保護の制御
Windows Defender連携の適用 AMCおよびyaraiによる監視対象イベント - 脅威の検出イベント(正常)

管理コンソール側ポリシーのデフォルト値の変更

以下に、管理コンソールを新規インストールした場合の、ポリシーのデフォルト値を記載します。 なお、管理コンソールを旧バージョンからアップデートした場合は、上記の旧バージョンのポリシー名称に対応した設定を引き継ぎますため、ご注意ください。

ポリシー名称(yarai/AMC v3.4.0以降) AMC v3.4.0未満 AMC v3.4.0以降
リアルタイム保護の有効化(※1) 既定 既定
yarai GUIでのリアルタイム保護の制御(※1) 禁止 禁止
AMCおよびyaraiによる監視対象イベント - 脅威の検出イベント(正常)(※1) 有効 無効(「全ての情報を収集しない」が有効)

(※1)上記にも記載がありますが、ポリシー名称はAMC v3.4.0以降では変更になっています。


クライアント画面側への監視/出力対象イベントの変更

監視対象イベント yarai v3.4.0未満 yarai v3.4.0以降
脅威の検出イベント(正常) △(※1)(※2)
シグネチャーアップデートイベント(正常) △(※1)(※2)
スキャンイベント(正常) △(※1)(※2)
脅威の検出イベント(異常)
シグネチャーアップデートイベント(異常)
スキャンイベント(異常)

(※1)yarai/AMC v3.4.0以降と完全に同一の情報とはなりませんが、イベントとして監視/出力は行われます。

⚠ 注意

(※2)AMC v3.4.0以降で、yarai v3.4.0未満のクライアントを管理した場合は、上記3種類のみ監視/出力されます。また、その場合は、互換性維持により「脅威の検出イベント(正常)」の設定単独で、上記3種類のイベントの出力可否が制御されます。


管理コンソール画面側への通知/出力対象イベントの変更

監視対象イベント AMC v3.4.0未満 AMC v3.4.0以降
脅威の検出イベント(正常) △(※1) ◯(※2)
シグネチャーアップデートイベント(正常)
スキャンイベント(正常)
脅威の検出イベント(異常)
シグネチャーアップデートイベント(異常)
スキャンイベント(異常)

(※1)yarai/AMC v3.4.0以降と完全に同一の情報とはなりませんが、イベントとして通知/出力は行われます。

⚠ 注意

(※2)AMC v3.4.0以降で、yarai v3.4.0未満のクライアントを管理した場合は、「脅威の検出イベント(正常)」のみ管理コンソール(AMC)側に通知/出力されます。


Defenderの検出通知メールの変更

Defender連携機能と併せてアラートメール機能(通知設定)も強化されており、AMC v3.4.0より前の環境からアップデートした場合、再設定が必要となる場合があります。詳細については、以下のFAQを参照してください。
参考FAQ:AMC v3.4.0へアップデート後、Windows Defenderの検出通知が行われません

独立したクライアントについて

⚠ 注意

独立したクライアントの場合は、管理コンソールが存在しないため、ポリシーではなくクライアント画面またはレジストリによる制御となります。また、デフォルト値も上記とは異なります。詳細はクライアント側(yarai)のユーザーマニュアルを参照してください。


他社ウイルス対策ソフトからDefenderへの移行の流れ

以下のFAQを参照してください。

参考FAQ:他社ウイルス対策ソフトからWindows Defender/Microsoft Defenderへの移行の流れ(Defender連携機能の利用の流れ)

Defender連携機能の利用の流れ/動作確認方法

以下のFAQを参照してください。

参考FAQ:他社ウイルス対策ソフトからWindows Defender/Microsoft Defenderへの移行の流れ(Defender連携機能の利用の流れ)

制限事項および注意事項

‼ 重要

本機能は、Defenderの管理を補助・支援するための機能であり、 Defender自体を弊社がサポートするわけでありません。そのため、Defender自体の動作や仕様または検出に関するお問い合わせについては、Microsoft社様へお問い合わせください。

また、Defender側の仕様とも関連して、複数の制限事項および注意事項があります。そのため、必ず導入前にシステム要件ならびにマニュアルを参照してください。



この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop