[MECM/SCCM]Windows Defenderのマルウェア検出メールの修復措置「NoAction」の詳細を確認したい!

MCM(MECM)
[MECM/SCCM]WindowsDefenderのマルウェア検出メールのNoActionとは?

MECM機能のEndpoint Protectionを設定すると、Windows Defenderと関連付けてマルウェア検出アラートをメール通知できるようになります。しかし、「修復措置」の欄に「NoAction」と表示されていて具体的な処理が分からない場合があります。

今回の記事ではMECMのマルウェア検出アラートメールで表示される「NoAction」と、その詳細を確認する方法について説明します。

MECMでマルウェア検出アラートメールを送るようにする仕組み

メール
MECMでは機能の一つであるEndpoint Protectionの設定を行うことにより、Windows DefenderをMECMで扱うことができるようになります。

MECMにWindows Defenderを関連させることによって、「MECM Configuration Managerメールアラート機能」を実装することが可能です。この機能によって、Endpoint Protectionがマルウェアの検出や削除などの処理をした場合に設定したアドレスにメールを送信させることができるようになります。

修復措置に「NoAction」と表示されるわけ

「NoAction」とは書いてあるけど、メールが送信されたなら何もないわけないんじゃないの?と思いますよね。メール内容の詳細が分からないと不安になるばかりです。

「NoAction」が意味する処理

「NoAction」とは一体どのような修復措置なのでしょうか?

▼実際のマルウェア検出メールの画面
ノーアクション

Endpoint Protectionは、マルウェアに対して何のアクションも実行しませんでした。 これは、マルウェアが検出された後にコンピューターが再起動され、マルウェアが検出されなくなった場合に発生する可能性があります。 たとえば、マルウェアが検出されたマッピングされたネットワークドライブが、コンピューターの再起動時に再接続されない場合です。

マイクロソフトの説明だとこのように書かれています。「一度マルウェアが検出されたものの、クライアントの再起動などの理由でマルウェアとの接続が切れたため、何も行わなかった」という意味のようです。

docs.microsoft.com
 
https://docs.microsoft.com/en-us/mem/configmgr/protect/deploy-use/monitor-endpoint-protection#malware-alert-levels
Monitor Endpoint Protection status - Configuration Manager
Learn how monitor Endpoint Protection in your Configuration Manager hierarchy.

「NoAction」の詳細情報を表示するようにする設定はないの?

これだけだと流石に情報量が少なすぎると思います。しかし、メールの文章に詳細を表示させる設定がそもそもありません。

メールアラートの処理内容の詳細情報を見る方法

マルウェアの詳細レポートを見る

Endpoint Protectionの処理内容については「マルウェアの詳細レポート」で確認できる可能性が高いです。

▼メール内容にも「マルウェアの状況をさらに詳しく確認するには、マルウェアの詳細レポートを実行します」という表記があります。
詳細レポート

マルウェアの詳細レポートの表示方法

マルウェア検出メールに書かれた情報を参考にして値を入力し、範囲を絞って詳細を表示させます。

▼①、②で発生した期間を絞ります。メールの「検出時刻」を見て入力します。(ここでは「5/18」に検出されているので、終了日を「5/18」に設定します。)

▼③該当するクライアントの所属するコレクション名を入力します。(ここではClient2というコレクション名です。)

▼④メールで表示されたコンピュータ名を入力します。(ここでは「NoAction」の処理を行ったPC「CLIENT2」を設定しています。)
マルウェアの詳細レポート選択

クライアントの所属するコレクションは Configuration Managerコンソール>資産とコンプライアンス>概要>デバイスコレクションから確認できます

▼「CLIENT2」のマルウェアの詳細レポートを表示できました。

▼Endpoint Protectionによって「NoAction(何もしない)」と処理されたマルウェアはメールの検出時刻(5/18 4:21:33)と一致する赤線のマルウェアだと特定することができます。
マルウェアの詳細レポート表示

このようにマルウェアの詳細レポートを確認することで、メールに書かれていない「脅威の名前」や「重要度」、「削除ソース」についての情報を確認することができます。

終わりに

「NoAction」の具体的な処理を確認したい場合はマルウェアの詳細レポートに表示されている場合があるので、確認してみてはいかがでしょうか。

しかし、マルウェアの詳細レポートで確認したい情報が見つからないこともありえます。あくまでも情報量を増やすための方法として参考程度に留めて下さい。