1. 運用の基本方針(最初にこれだけ理解する)
- 毎日張り付く必要はありません
- Defender for Business は「自動調査・自動修復」が前提
- 管理者は 判断と最終確認 に集中する
結論
「すべてを見る」ではなく
「見るべき画面だけを見る」のが正解です。
2. 管理コンソールで最初に見るべき画面
2.1 Defender 管理コンソール
https://security.microsoft.com
- インシデントとアラート(最重要)
- デバイス(状態確認)
- 脆弱性管理(月次確認)
注意
Sentinel / XDR / Cloud Apps の案内は
今の構成では無視してOKです。
3. インシデントとアラートの正しい見方
3.1 まず見るのは「インシデント」
- アラート単体ではなく インシデント単位で確認
- Defender が自動で関連付け・整理してくれる
3.2 重要度の考え方
- 高:必ず内容を確認
- 中:自動修復済みなら経過観察
- 低:基本的に無視してOK
ポイント
インシデントが「0件」でも
EDRが動いていないわけではありません。
4. EDR / 自動調査が動いているかの確認
4.1 デバイス詳細で見る
- デバイス → 対象端末をクリック
- MDE センサー:有効
- デバイス状態:アクティブ
4.2 自動調査の確認
- インシデント詳細に「自動調査:完了 / 実行中」表示
- 表示がない=脅威が発生していないだけ
5. 無視していい表示・気にしなくていい項目
- MDE 登録の状態:N/A
- エンドポイント DLP:無効
- Cloud Apps:OFF
- Sentinel / Defender XDR 接続案内
重要
これらは Business では正常表示 です。
6. 露出レベル・脆弱性管理の付き合い方
- 露出レベル=「攻撃されやすさ」
- 感染しているかどうかとは別
6.1 実務ルール
- 「高」「非常に高」だけ対応
- 「低」「中」は原則スルー
- 月1回確認で十分
7. 週次・月次の最小運用ルール(おすすめ)
週1回(5分)
- インシデント一覧を確認
- 未対応の「高」がないか
月1回(15分)
- 脆弱性管理 → 優先度「高」を確認
- 不要ソフトがあれば削除・更新
結論
情シス1人でも回る運用が Defender for Business の強みです。
8. インシデント発生時の基本対応フロー
- インシデントを開く
- 自動調査の結果を確認
- 必要に応じて端末隔離
- 再発防止(更新・設定見直し)
注意
いきなり隔離せず、自動調査の結果を見るのが基本です。
9. まとめ(運用編の結論)
- 全部見なくていい
- 「インシデント」「デバイス」だけ押さえる
- 自動調査を信じる
- 高リスクだけ人が判断
最終結論
Defender for Business は
「導入より運用が簡単」な EDR です。