このレポジトリの目的
このレポジトリは Defender for Servers / MDE for Linux を運用する方向けに、ロジックアプリで定期的なクイックスキャンを実行するテンプレートを提供しています。
なぜこのようなレポジトリを提供しているのか
Defender for Servers (Linux) および MDE for Linux の構成管理では、クイックスキャンの設定はパラメータによる配布が出来ず、crond による設定がドキュメントに掲載されています。
- サーバー台数が多く、個々の Linux 毎に
crondを設定して回るのが大変である - 個々のサーバーに対して、OS のアカウント権限を払い出し出来ていない
このため、ロジックアプリでスケジュール実行を行い、Defender for Endpoint API を起動することで、スケジュールされたクイックスキャンを行うテンプレートになります。
どのようなテンプレートなのか
Microsoft Defender for Endpoint API を利用して、定期的に runAntivirusScan をターゲットの Linux OS に実行します。API を用いることで、OS のアカウントログインや crond の設定が不要になります。
お客様側でのカスタマイズ範囲を記載しています
本テンプレートでは、対象となるマシンを抽出するため、ODATA クエリーによるフィルターを設定しています。
現在のフィルター条件は以下になります。対象の OS やデバイスタグなどを設定いただき、チューニング下さい。
- Defender XDR デバイスのオンボード状況が
Onboardedであること - Defender XDR デバイスのステータスが
Activeであること - OS 種別に Windows が含まれていないこと (Linux マシンを想定)
- デバイスタグとして
LinuxScanが設定されていること
onboardingStatus eq 'Onboarded' and healthStatus eq 'Active' and not (startswith(がosPlatform,'Windows')) and machineTags/any(t: t eq 'LinuxScan')
以下 button より、Azure 環境に ARM テンプレートを導入しましょう
Deploytoazure 後の設定
- ロジックアプリの「API接続」-> 「wdatp」をクリックし、API 接続画面の「API接続編集」から Dender XDR に接続できるユーザー権限で承認して下さい
