Microsoft Defender for Endpoint (旧 Defender ATP) がいくつかのライセンスに分かれ、E5相当のライセンスを持ってなくても一部機能を利用できるようになりました。新しいライセンス分けは以下のようになっています。

  • Microsoft Defender for Endpoint P1
  • Microsoft Defender for Endpoint P2 ※従来の Defender for Endpoint と同じ
  • Microsoft Defender for Business

今回は「P1」と「Business」が付くライセンスや機能差について説明します!

※現時点の公開情報に基づいた記載であるため更新される可能性があります。
※P2 の説明は割愛しますが、結論から言うと Business とほぼ同じ機能を持つため、知りたい方は Business の情報をご覧ください!

目次

Microsoft Defender for Endpoint P1

Microsoft Defender for Endpoint P1 は、Microsoft 365 E3 と A3 で利用可能な機能です。また、個別にライセンスを購入することも可能です。

利用できる機能はかなり限定的な印象です。特にEDR(未知のマルウェア検知したり、自動的に処理する機能)が無いため、既知のマルウェアを検知しても、自動的に処理してくれない点がネックです。

特出する機能は、既知のマルウェアの検知状態が管理ポータルで確認できたり、手動でスキャン/検疫等のアクションができるという点です。また、ファイルハッシュ値やURLを指定したブロック/許可設定を行う Indicator 機能の利用可能な点が挙げられます。

☑ Defender for Endpoint P1 の機能差ポイント

  • 既知のマルウェアの検知状況を可視化し、管理者によるアクションができる
    ※スキャンやネットワーク分離、ファイル検疫など
  • Indicator という機能を使ってハッシュ値に合致するファイルの実行を止めたり、URLへのアクセスをブロックすることができる
  • EDR は利用できないため、未知のマルウェア対策には不十分
  • その他の機能は Microsoft 365 E3 に元々あった機能群(Windows Defender Application Control など)

参考情報:Microsoft Defender for Business と他のプランをMicrosoft 365する | Microsoft Docs — Microsoft Defender for Business と Microsoft Defender for Endpoint Plans 1 および 2 を比較する

Microsoft Defender for Business(プレビュー)

Microsoft Defender for Business は、Microsoft 365 Business Premium で利用可能な機能です。また、個別にライセンスを購入することも可能です。 (2022年1月時点ではプレビュー版で提供されています。)

P1 とは打って変わって、for Business は利用できる機能が一気に広がります。端的に言えば、Advanced Hunting というクエリを書いて、企業独自の検索ルールやアクションルールを作ること以外は、Defender for Endpoint P2 と同じことができます。
(一応、Microsoft の技術エンジニアが万一のサポートをしてくれる「脅威エキスパート」が for Business では利用できないんですが、P2 でも利用できるものの有償対応でほぼ利用するケースが無いため割愛しています。)

[参考] Advanced Hunting 利用例(P2 のみ利用可能)

  • Windows Defender のスキャン対象外としたディレクトリを一覧化する(過去90日)
  • USBメモリの接続があった場合に管理者にアラート通知を行う/スキャンを実施する

☑ Defender for business の機能差ポイント

  • Advanced Hunting 以外の機能は P2 同等の機能が利用できる!
    ※未知のマルウェア検知や対処(EDR)や、脆弱性管理(利用しているアプリケーションのバージョン管理)、PC上のログ把握/リモート接続 など
    ※for Business だけの機能もありますが、特筆するほどの内容でもないため割愛してます
  • Microsoft 365 Business Premium ライセンスが必要なため、必然的に利用できるユーザーは300名以内

参考情報:Microsoft Defender for Business と他のプランをMicrosoft 365する | Microsoft Docs — Microsoft Defender for Business と Microsoft Defender for Endpoint Plans 1 および 2 を比較する

最後に

いかがでしたでしょうか。 Microsoft 365 Business Premium をお持ちの企業様は Defender for business の利用は必須ですね!
なお、ライセンスを有効化するだけでは利用できません。細かな設定が必要となります。
ポータル画面にも少々癖があるため、アラート調査には慣れが必要です。

当社の導入支援サービスでは初期設定を含めた構築はもちろん、運用サービスでも慣れたエンジニアが調査を代行いたします。もしよろしければご検討くださいませ。

導入支援サービス内容を確認する
運用支援サービス内容を確認する