PowerShellでWindows Defenderログをメール通知する方法

Windows Defenderは、Windowsシステムに標準搭載されている信頼性の高いセキュリティツールです。しかし、複数のシステムを管理する環境では、各デバイスから検出ログを個別に確認するのは非効率です。そこで、PowerShellを利用して検出ログを収集し、システム管理者へ自動的にメール通知する仕組みを構築することで、セキュリティイベントの即時対応が可能になります。本記事では、Windows Defenderの検出ログをPowerShellで取得し、それをフィルタリングしてメール送信するプロセスを分かりやすく解説します。システムのセキュリティ管理を効率化したい方に最適な方法を紹介します。

Windows Defenderのログ収集の重要性
1. ログ収集のメリット
2. 手動管理の課題
Windows Defenderの検出ログの確認方法
ログデータのフィルタリングと整理
PowerShellでのメール送信の準備
PowerShellスクリプトの全体構成
スクリプトの実装例と応用
まとめ

Windows Defenderのログ収集の重要性

システム管理において、Windows Defenderの検出ログを定期的に収集・確認することは、セキュリティ対策の基盤となります。検出ログには、ウイルスやマルウェアの検出履歴、不審な動作の警告情報など、システムの安全性を維持するために重要な情報が記録されています。

ログ収集のメリット

セキュリティイベントの即時対応

検出ログを定期的に監視することで、システム内のセキュリティ脅威を早期に特定し、迅速な対応が可能になります。

トラブルシューティングの効率化

ログには問題発生時の詳細な情報が記録されており、問題の原因を特定するための貴重な手がかりとなります。

コンプライアンス遵守

特定の業界規制や基準では、セキュリティログの記録と管理が義務付けられています。検出ログの収集は、これらの要件を満たすための重要なステップです。

手動管理の課題

ログ収集を手動で行う場合、以下のような課題が生じる可能性があります。

人的リソースの負担：複数のデバイスやシステムを個別にチェックするのは非効率です。
即時対応の困難さ：手動での確認では、重要なセキュリティイベントを見逃すリスクがあります。

PowerShellを活用した自動化は、これらの課題を解消し、より効率的かつ正確なログ管理を実現します。

Windows Defenderの検出ログの確認方法

Windows Defenderの検出ログは、セキュリティイベントの監視やトラブルシューティングにおいて重要な情報源です。PowerShellを活用すれば、これらのログを効率的に取得し、必要な情報を抽出することが可能です。本節では、PowerShellを使った検出ログの確認方法を解説します。

PowerShellで使用するコマンドレット

Windows Defenderの検出ログを取得するには、以下のコマンドレットを使用します。

Get-MpThreatDetection

このコマンドは、Windows Defenderが検出した脅威に関する詳細情報を表示します。結果には、以下のような情報が含まれます。

ThreatID：検出された脅威の一意の識別子
ThreatName：脅威の名前（例: Trojan:Win32/Emotet）
Severity：脅威の深刻度
ActionTaken：実行されたアクション（例: Quarantine）
DetectionTime：脅威が検出された日時

ログ取得の具体例

以下のコマンドで、すべての検出ログを取得し、詳細を確認できます。

Get-MpThreatDetection | Format-Table -AutoSize

このコマンドは、結果を表形式で見やすく出力します。

フィルタリングの例

検出ログが多い場合は、必要な情報だけを抽出するためにフィルタリングを行います。以下は、特定の深刻度（High）に絞り込む例です。

Get-MpThreatDetection | Where-Object {$_.Severity -eq 'High'}

ログの保存

ログを後で参照するために、CSVファイルにエクスポートすることも可能です。以下は、検出ログをCSV形式で保存する例です。

Get-MpThreatDetection | Export-Csv -Path "C:\DefenderLogs\DetectionLogs.csv" -NoTypeInformation

イベントビューアとの統合

Windows Defenderのログは、Windowsイベントログにも記録されています。これらのログは、PowerShellで以下のコマンドを使用して取得できます。

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational"

このコマンドにより、Defenderに関連する詳細なログ情報が取得可能です。

これらの手法を活用して、Windows Defenderの検出ログを効率的に確認し、システムのセキュリティ状態を管理しましょう。

ログデータのフィルタリングと整理

Windows Defenderの検出ログには、多くの情報が含まれていますが、システム管理者に必要な情報だけを整理して通知することが重要です。本節では、PowerShellを用いてログデータをフィルタリングし、メール通知に適した形式で整理する方法を解説します。

必要な情報の抽出

検出ログには、すべての脅威情報が記録されていますが、以下のような情報に絞り込むことで効率的な管理が可能になります。

Severity（深刻度）が “High” または “Critical” のみ
DetectionTime（検出日時）が最近のもの
ActionTaken（実行されたアクション）が “No Action” のみ

以下のPowerShellコマンドで、これら条件に基づいてデータを抽出できます。

Get-MpThreatDetection | Where-Object {
    $_.Severity -in @("High", "Critical") -and
    $_.DetectionTime -gt (Get-Date).AddDays(-1) -and
    $_.ActionTaken -eq "No Action"
}

抽出結果の整形

抽出したデータをメール通知に適した形式に整形します。たとえば、検出ログを簡潔な表形式で作成します。

Get-MpThreatDetection | Where-Object {
    $_.Severity -in @("High", "Critical") -and
    $_.DetectionTime -gt (Get-Date).AddDays(-1)
} | Select-Object ThreatName, Severity, DetectionTime, ActionTaken | Format-Table -AutoSize

CSV形式での保存

ログデータをファイルとして保存する場合は、CSV形式が便利です。以下の例は、整理したログをファイルにエクスポートする方法です。

Get-MpThreatDetection | Where-Object {
    $_.Severity -in @("High", "Critical") -and
    $_.DetectionTime -gt (Get-Date).AddDays(-1)
} | Select-Object ThreatName, Severity, DetectionTime, ActionTaken |
Export-Csv -Path "C:\DefenderLogs\FilteredLogs.csv" -NoTypeInformation

フォーマットされた出力例

メール通知に含めるためのデータ形式として、以下のようなテキスト形式を作成するのも有効です。

$logData = Get-MpThreatDetection | Where-Object {
    $_.Severity -in @("High", "Critical") -and
    $_.DetectionTime -gt (Get-Date).AddDays(-1)
} | Select-Object ThreatName, Severity, DetectionTime, ActionTaken

$logData | ForEach-Object {
    "Threat: $($_.ThreatName), Severity: $($_.Severity), Detected: $($_.DetectionTime), Action: $($_.ActionTaken)"
}

このようにフィルタリングと整理を行うことで、必要な情報だけを効率的に管理・通知できるようになります。次に、メール送信の準備方法について説明します。

PowerShellでのメール送信の準備

PowerShellを使用して検出ログをメールで通知するには、SMTPサーバーの設定と送信に必要な準備を行う必要があります。本節では、必要なモジュールの準備とSMTPサーバーの設定方法について解説します。

SMTPサーバーの概要

メール送信には、SMTP（Simple Mail Transfer Protocol）を利用します。以下の情報を事前に用意しておきます。

SMTPサーバーのアドレス（例: smtp.gmail.com）
SMTPポート番号（通常は587または465）
送信元メールアドレス
送信元アカウントの認証情報（ユーザー名とパスワード）

PowerShellで必要なモジュールの確認

メール送信には、PowerShellのSend-MailMessageコマンドレットを使用します。このコマンドレットは、Windows環境でデフォルトで利用可能ですが、以下の手順で確認しておくとよいでしょう。

Get-Command Send-MailMessage

このコマンドでSend-MailMessageがリストされれば準備完了です。存在しない場合は、必要なモジュールをインストールするか、後述する代替手法を使用します。

SMTPサーバー設定の例

以下の例では、GmailのSMTPサーバーを使用してメールを送信する方法を示します。

$SmtpServer = "smtp.gmail.com"
$SmtpPort = 587
$EmailFrom = "your-email@gmail.com"
$EmailTo = "admin@example.com"
$Username = "your-email@gmail.com"
$Password = "your-email-password"

$SecurePassword = ConvertTo-SecureString $Password -AsPlainText -Force
$Credential = New-Object System.Management.Automation.PSCredential $Username, $SecurePassword

メール送信のサンプルコード

以下は、準備したSMTP設定を使ってメールを送信する簡単なスクリプト例です。

Send-MailMessage -From $EmailFrom -To $EmailTo -Subject "Windows Defender Threat Log" `
-Body "This is a test email with Windows Defender logs." -SmtpServer $SmtpServer `
-Port $SmtpPort -Credential $Credential -UseSsl

重要なオプションの説明

-UseSsl：メール送信時にSSL/TLSを使用します。
-Credential：SMTPサーバーにアクセスするための認証情報を指定します。
-Body：メール本文の内容を指定します。

セキュリティ対策

パスワードの暗号化：スクリプト内で直接パスワードを記述しないように注意し、暗号化された形式で保存・使用します。
セキュアな通信：-UseSslオプションを必ず有効化して、通信内容を暗号化します。

代替手法：SendGridなどのメールサービス

システムによっては、SendGridやAWS SESなどのクラウドメールサービスを使用する方法も検討できます。これにより、認証やポート設定の簡素化が可能です。

これで、PowerShellでメール送信する準備が整いました。次は、検出ログの自動メール通知を実装するスクリプト全体の構成を解説します。

PowerShellスクリプトの全体構成

Windows Defenderの検出ログをメールで通知するためのPowerShellスクリプトの全体構成を解説します。このスクリプトは、以下のプロセスを順に実行するよう設計されています。

スクリプトの全体構成

スクリプトは以下のステップに分かれています：

必要なパラメータと設定の定義
検出ログの収集
ログデータのフィルタリングと整形
メール送信の実行
ログの保存（オプション）

以下に、それぞれのステップを解説します。

1. 必要なパラメータと設定の定義

スクリプトの冒頭で、SMTPサーバーの設定や送信元・送信先のメールアドレス、認証情報を定義します。

# SMTP設定
$SmtpServer = "smtp.gmail.com"
$SmtpPort = 587
$EmailFrom = "your-email@gmail.com"
$EmailTo = "admin@example.com"
$Username = "your-email@gmail.com"
$Password = "your-email-password"

# 認証情報の作成
$SecurePassword = ConvertTo-SecureString $Password -AsPlainText -Force
$Credential = New-Object System.Management.Automation.PSCredential $Username, $SecurePassword

2. 検出ログの収集

Windows Defenderの検出ログを取得します。

# 検出ログを取得
$DetectionLogs = Get-MpThreatDetection

3. ログデータのフィルタリングと整形

取得したログをフィルタリングし、必要な情報だけを抽出して整形します。

# 深刻度が"High"または"Critical"で過去24時間以内のログをフィルタリング
$FilteredLogs = $DetectionLogs | Where-Object {
    $_.Severity -in @("High", "Critical") -and
    $_.DetectionTime -gt (Get-Date).AddDays(-1)
} | Select-Object ThreatName, Severity, DetectionTime, ActionTaken

# 整形したログをテキスト形式に変換
$LogContent = $FilteredLogs | ForEach-Object {
    "Threat: $($_.ThreatName), Severity: $($_.Severity), Detected: $($_.DetectionTime), Action: $($_.ActionTaken)"
} -join "`n"

4. メール送信の実行

整形したログをメール本文に含めて送信します。

# メール送信
Send-MailMessage -From $EmailFrom -To $EmailTo -Subject "Windows Defender Threat Log Notification" `
-Body $LogContent -SmtpServer $SmtpServer -Port $SmtpPort -Credential $Credential -UseSsl

5. ログの保存（オプション）

必要に応じて、フィルタリングしたログをファイルに保存します。

# フィルタリングしたログをCSV形式で保存
$FilteredLogs | Export-Csv -Path "C:\DefenderLogs\FilteredLogs.csv" -NoTypeInformation

スクリプト全体の流れ

上記の各ステップを1つのスクリプトにまとめると、以下のようになります。

# SMTP設定と認証情報
$SmtpServer = "smtp.gmail.com"
$SmtpPort = 587
$EmailFrom = "your-email@gmail.com"
$EmailTo = "admin@example.com"
$Username = "your-email@gmail.com"
$Password = "your-email-password"

$SecurePassword = ConvertTo-SecureString $Password -AsPlainText -Force
$Credential = New-Object System.Management.Automation.PSCredential $Username, $SecurePassword

# 検出ログを取得
$DetectionLogs = Get-MpThreatDetection

# ログデータのフィルタリング
$FilteredLogs = $DetectionLogs | Where-Object {
    $_.Severity -in @("High", "Critical") -and
    $_.DetectionTime -gt (Get-Date).AddDays(-1)
} | Select-Object ThreatName, Severity, DetectionTime, ActionTaken

# フィルタリングしたログをテキスト形式に変換
$LogContent = $FilteredLogs | ForEach-Object {
    "Threat: $($_.ThreatName), Severity: $($_.Severity), Detected: $($_.DetectionTime), Action: $($_.ActionTaken)"
} -join "`n"

# メール送信
Send-MailMessage -From $EmailFrom -To $EmailTo -Subject "Windows Defender Threat Log Notification" `
-Body $LogContent -SmtpServer $SmtpServer -Port $SmtpPort -Credential $Credential -UseSsl

# ログの保存（オプション）
$FilteredLogs | Export-Csv -Path "C:\DefenderLogs\FilteredLogs.csv" -NoTypeInformation

このスクリプト構成を基に、システム管理者への自動通知を実現できます。次は、スクリプトの実装例と応用について詳しく説明します。

スクリプトの実装例と応用

ここでは、Windows Defender検出ログをメール通知するためのPowerShellスクリプトの完全な実装例を示し、その応用方法について解説します。このスクリプトをカスタマイズすることで、さらに多様なシナリオに対応できます。

スクリプトの完全実装例

以下は、前述のスクリプトを1つに統合した完全な実装例です。

# SMTP設定と認証情報
$SmtpServer = "smtp.gmail.com"
$SmtpPort = 587
$EmailFrom = "your-email@gmail.com"
$EmailTo = "admin@example.com"
$Username = "your-email@gmail.com"
$Password = "your-email-password"

$SecurePassword = ConvertTo-SecureString $Password -AsPlainText -Force
$Credential = New-Object System.Management.Automation.PSCredential $Username, $SecurePassword

# 検出ログを取得
$DetectionLogs = Get-MpThreatDetection

# ログデータのフィルタリング
$FilteredLogs = $DetectionLogs | Where-Object {
    $_.Severity -in @("High", "Critical") -and
    $_.DetectionTime -gt (Get-Date).AddDays(-1)
} | Select-Object ThreatName, Severity, DetectionTime, ActionTaken

# フィルタリングしたログをテキスト形式に変換
$LogContent = $FilteredLogs | ForEach-Object {
    "Threat: $($_.ThreatName), Severity: $($_.Severity), Detected: $($_.DetectionTime), Action: $($_.ActionTaken)"
} -join "`n"

# メール送信
Send-MailMessage -From $EmailFrom -To $EmailTo -Subject "Windows Defender Threat Log Notification" `
-Body $LogContent -SmtpServer $SmtpServer -Port $SmtpPort -Credential $Credential -UseSsl

# ログの保存（オプション）
$FilteredLogs | Export-Csv -Path "C:\DefenderLogs\FilteredLogs.csv" -NoTypeInformation

スクリプトの応用例

1. スケジュールタスクとしての設定

このスクリプトを定期的に実行するには、Windowsのスケジュールタスクに設定します。以下の手順で設定します：

スクリプトを「DefenderLogNotifier.ps1」として保存します。
タスクスケジューラで新しいタスクを作成します。
「操作」タブで、「プログラム/スクリプト」にpowershell.exeを指定し、「引数の追加」に以下を入力します。

   -ExecutionPolicy Bypass -File "C:\Path\To\DefenderLogNotifier.ps1"

2. 複数の通知先を設定

管理者が複数いる場合、送信先を複数指定できます。

$EmailTo = "admin1@example.com, admin2@example.com"

3. ログ形式の変更

CSV以外に、JSON形式でログを保存する場合は以下を使用します。

$FilteredLogs | ConvertTo-Json | Set-Content -Path "C:\DefenderLogs\FilteredLogs.json"

4. 追加のセキュリティ対策

スクリプト内の認証情報をセキュアに管理するため、PowerShellの資格情報管理ツール（Get-Credential）を活用します。

$Credential = Get-Credential

5. 独自のアラート条件の追加

必要に応じてフィルタリング条件を追加できます。例として、特定の脅威名を含むログを通知対象にする方法です。

$FilteredLogs = $DetectionLogs | Where-Object {
    $_.ThreatName -like "*Trojan*" -and
    $_.Severity -eq "High"
}

このスクリプトの利点

効率性：自動化により、管理者の手間を大幅に削減。
拡張性：条件や出力形式の変更が容易。
セキュリティ強化：リアルタイムに近いログ監視と通知が可能。

これにより、システム管理者は迅速かつ効率的にセキュリティイベントに対応できるようになります。次は、本記事のまとめを行います。

まとめ

本記事では、PowerShellを使用してWindows Defenderの検出ログを収集し、フィルタリングしてシステム管理者にメールで通知する方法を解説しました。具体的には、検出ログの取得方法、必要な情報の整理、SMTP設定を利用したメール送信、そしてスクリプトの応用例について詳しく説明しました。

このプロセスを自動化することで、管理者はセキュリティインシデントに迅速に対応でき、効率的なシステム運用が可能になります。また、スケジュールタスクの設定やログ形式の変更など、スクリプトのカスタマイズによって、さらに多様なニーズに対応できます。

PowerShellの活用は、セキュリティ管理の効率化だけでなく、全体の業務プロセスを最適化する一歩となるでしょう。今回紹介した方法を参考に、システム管理をより強化してください。