9.11 Microsoft Intune連携によるマルウェア感染機器制御の運用手順
MDMシステムとしてMicrosoft Intuneを使用し、管理対象の機器にエージェントを導入してMicrosoft IntuneとJP1/IT Desktop Management 2 - Managerの両方で管理する併用管理の場合、ウィルス対策製品(Microsoft Defender)がマルウェアの機器への侵入時や侵入済みのマルウェアを検出し、対処することで無効化できます。マルウェアに感染した状態では、外部に被害が拡大する恐れがあります
マルウェア感染機器制御のネットワーク接続遮断設定を有効にすると、環境にもよりますが、マルウェアに感染した機器は感染検知から15分〜30分程度でネットワークから自動的に遮断され、外部への被害の拡大を抑えられます。利用者がネットワーク接続を遮断された機器でマルウェアの対処を実施し脅威がないことを確認してから、管理者がネットワーク接続の遮断を解除します。
ウィルス対策製品(Microsoft Defender)は、誤ってマルウェアでない情報をマルウェアとして検出する場合があります。この場合、マルウェアに感染していないにもかかわらず機器がネットワークから遮断されてしまい、業務に支障をきたす恐れがあります。検出されたマルウェアについては、マイクロソフト社にマルウェアの検体を提出し、マルウェア分析を依頼することもできます。
ネットワーク接続遮断設定を無効にすると、マルウェアが誤って検出された場合であってもネットワーク接続が自動的には遮断されません。このため、業務への影響はなくなります。ただし、本当のマルウェアに感染した場合、手動でのネットワーク接続遮断の操作が必要となり、管理者への負担が増加します。また、ネットワーク接続遮断操作までに時間がかかる場合には、マルウェア被害が拡大する恐れがあります。マルウェアが検出された時に出力されるイベントには、マルウェアの名称・重要度・カテゴリ・URL情報などが出力されます。これらの情報からネットワーク接続を遮断するかどうかを判断してください。
マルウェア感染拡大被害をできるだけ抑えるため、ネットワーク接続遮断設定を有効として、自動的にネットワーク接続を遮断する運用をお勧めします。
自動的にネットワーク接続を遮断する運用の手順
-
ネットワーク接続制御の設定をします。
詳細は「8.1 ネットワークモニタを有効にする手順」を参照してください。
-
イベント番号が1188および1190のイベントが通知されるように、イベント通知の設定、またはJP1/IMとイベントを連携する設定をします。
この設定をすることで、マルウェア感染やネットワーク接続の遮断のイベントの通知を管理者が受け取れます。JP1/IMとイベントを連携する場合はJP1イベントとしてJP1/IMに出力されます。
イベント通知の設定の詳細は、「15.7.1 イベント通知の設定をする手順」を参照してください。JP1/IMとイベントを連携する場合は、マニュアル「JP1/IT Desktop Management 2 構築ガイド」のJP1/IM連携構成システムの構築の説明、およびJP1/IMのマニュアルを参照してください。
-
機器にエージェントをインストールします。また、この機器をMicrosoft Intuneで管理されている状態にし、JP1/IT Desktop Management 2 - Managerに機器情報を取り込みます。
-
機器をMicrosoft Intuneに登録し、MDM連携の設定画面で、Microsoft Intuneとの接続設定を行います。また、MDMサーバ情報の設定画面で次のように設定します。
-
マルウェア感染機器の制御を有効にする:チェックする
-
マルウェア感染を検知した場合、機器のネットワーク接続を遮断する:チェックする
-
-
マルウェアに感染した機器を検出すると、感染した機器は自動的にネットワーク接続が遮断されます。
利用者はマルウェアの対処およびウイルススキャンを実施し、機器が安全であることを確認してから、管理者に連絡してください。
-
利用者から連絡を受けた管理者は、管理画面またはネットワーク制御コマンドで、遮断されているネットワーク接続を解除します。
セキュリティ違反機器に対してネットワーク接続を遮断する運用をしている場合は、セキュリティ判定結果を確認してから、ネットワーク接続を解除するかどうかを判断してください。イベント画面で「イベント番号=1190」のフィルタを設定すると自動遮断した機器を確認できます。
手動でネットワーク接続を遮断する運用の手順
-
ネットワーク接続制御を設定します。
詳細は「8.1 ネットワークモニタを有効にする手順」を参照してください。
-
イベント番号が1188のイベントが通知されるように、イベント通知の設定、またはJP1/IMとイベントを連携する設定をします。
この設定をすることで、マルウェア感染やネットワーク接続の遮断のイベントの通知を管理者が受け取れます。JP1/IMとイベントを連携する場合はJP1イベントとしてJP1/IMに出力されます。
イベント通知の設定の詳細は、「15.7.1 イベント通知の設定をする手順」を参照してください。JP1/IMとイベントを連携する場合は、マニュアル「JP1/IT Desktop Management 2 構築ガイド」のJP1/IM連携構成システムの構築の説明、およびJP1/IMのマニュアルを参照してください。
-
機器にエージェントをインストールします。また、この機器をMicrosoft Intuneで管理されている状態にし、JP1/IT Desktop Management 2 - Managerに機器情報を取り込みます。
-
機器をMicrosoft Intuneに登録し、MDM連携の設定画面で、Microsoft Intuneとの接続設定を行います。また、MDMサーバ情報の設定画面で次のように設定します。
-
マルウェア感染機器の制御を有効にする:チェックする
-
マルウェア感染を検知した場合、機器のネットワーク接続を遮断する:チェックしない
-
-
マルウェアに感染した機器を検出すると、イベント番号が1188のイベントが出力されます。
イベント通知、またはJP1/IMとのイベントの連携によって、管理者にイベントが通知されます。
-
管理者はイベントを確認し、管理画面またはネットワーク制御コマンドで、対象機器のネットワーク接続を遮断します。
利用者はマルウェアの対処およびウイルススキャンを実施し、機器が安全であることを確認してから、管理者に連絡してください。
-
利用者から連絡を受けた管理者は、管理画面またはネットワーク制御コマンドで、遮断されているネットワーク接続を解除します。
セキュリティ違反機器に対してネットワーク接続を遮断する運用をしている場合は、セキュリティ判定結果を確認してから、ネットワーク接続を解除するかどうかを判断してください。
マルウェア誤検知時の回復手順
ウィルス対策製品が誤ってマルウェアとして検出する場合があります。マルウェア感染機器の自動遮断を有効にしている場合、マルウェアの誤検知によって自動的にネットワーク接続が遮断されてしまう恐れがあります。
マルウェア誤検知であると判断した場合は、画面またはネットワーク接続制御コマンドで、遮断された機器のネットワーク接続を解除し、Microsoft Defender for Endpointの管理画面でマルウェア誤検出の対応をしてください。
マルウェア誤検知によって大量の機器がネットワーク遮断された場合は、ネットワーク制御リストの設定画面の操作メニューから自動遮断回復用のネットワーク接続可否情報をダウンロードし、同じ画面の操作メニューからインポートしてネットワーク接続を回復してください。ダウンロードした自動遮断回復用のネットワーク接続可否情報のファイルはZIP形式で圧縮されています。ZIPファイル展開後のネットワーク接続可否情報のファイル名は「マルウェアID-ネットワーク接続遮断日時.csv」の形式です。イベント画面からイベント1188を参照し、詳細情報に出力されているマルウェアIDをファイル名に持つネットワーク接続可否情報のCSVファイルをインポートしてください。