ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026)

 

ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026)

ในฐานะ IT Admin หรือ System Engineer การมี Tools ดีๆ อย่าง Microsoft Defender for Endpoint (MDE) อยู่ในมือก็เหมือนมีเกราะป้องกันชั้นยอด แต่จะใช้งานอย่างไรให้ "คุ้มค่า" และ "อุดช่องโหว่" ได้จริง? วันนี้ผมสรุปเทคนิคเด็ดๆ ที่จะช่วยให้การจัดการความปลอดภัยง่ายขึ้นและแม่นยำกว่าเดิมมาฝากครับ

1. เลิกเดาด้วย "Effective Settings" Tab (New!)

ฟีเจอร์ใหม่ที่เพิ่ง GA (General Availability) เมื่อต้นปี 2026 นี้เลยครับ ปัญหาโลกแตกของ Admin คือ "เซ็ต Policy ไปแล้ว แต่มัน Apply จริงไหม?"

  • Trick: ให้ไปที่หน้า Device Inventory > เลือกเครื่องที่ต้องการ > คลิกแถบ Configuration Management > Effective Settings * หน้าจอนี้จะบอกเลยว่า Setting ตัวไหน "ใช้งานจริง" อยู่ และมาจาก Source ไหน (Intune, GPO หรือ Local) ช่วยให้แก้ปัญหา Policy ตีกันได้ในพริบตา!

2. ยกระดับการป้องกันด้วย "EDR in Block Mode"

หลายคนอาจยังใช้ Antivirus ยี่ห้ออื่นควบคู่ไปด้วย และตั้ง MDE เป็นแค่ Passive mode

  • Tip: อย่าลืมเปิด EDR in Block Mode ในหน้า Settings ของ Microsoft Defender Portal ครับ ฟีเจอร์นี้จะช่วยให้ MDE สามารถ "กระโดดเข้าไปบล็อก" พฤติกรรมอันตรายได้ทันทีที่ EDR ตรวจเจอ แม้ว่า Antivirus ตัวหลักจะตรวจไม่พบก็ตาม เป็นการสร้างความปลอดภัยชั้นที่สองที่สำคัญมาก

3. ลด Noise ด้วย Advanced Hunting (KQL)

ถ้าคุณต้องไล่ดู Alert เป็นร้อยทุกวัน คุณจะเหนื่อยมาก ลองใช้ Advanced Hunting เพื่อหาต้นตอแบบ Pro

  • Sample Query: ลองใช้ Query นี้เพื่อหาว่ามี Process ไหนแปลกๆ ที่พยายามเขียนไฟล์ลงใน Folder สำคัญในช่วง 24 ชม. ที่ผ่านมา:

    Code snippet
    DeviceFileEvents
| where Timestamp > ago(24h)
| where FolderPath contains @"C:\Windows\System32"
| summarize Count=count() by FileName, DeviceName, InitiatingProcessFileName
| order by Count desc

  • Tip: บันทึก Query ที่ใช้บ่อยไว้ใน "Favorites" เพื่อเรียกใช้งานได้ทันทีครับ

4. จัดระเบียบด้วย Device Tagging & Groups

การบริหารจัดการเครื่องเป็นพันเครื่องจะง่ายขึ้นถ้าคุณใช้ Tags

  • Trick: นอกจากการ Tag แบบ Manual แล้ว คุณสามารถใช้ Registry Key หรือ Intune Policy ในการฝัง Tag ลงไปในตัวเครื่องได้เลย เมื่อเครื่อง Onboard เข้ามา MDE จะจัดกลุ่ม (Device Groups) ให้ตาม Tag นั้นอัตโนมัติ ช่วยให้เราแยก Policy ของ Server, Workstation หรือ VIP ได้อย่างแม่นยำ

5. อย่ามองข้าม "Tamper Protection"

Hacker สมัยนี้ฉลาดครับ สิ่งแรกที่เขาจะทำเมื่อเข้าเครื่องได้คือ "ปิด Antivirus"

  • Must Do: ตรวจสอบให้มั่นใจว่าเปิด Tamper Protection ทั้งในระดับ Tenant และใน Intune Protection Profile ฟีเจอร์นี้จะป้องกันไม่ให้ใคร (แม้แต่ Admin ท้องถิ่น หรือ Malware) เข้าไป Stop Service หรือเปลี่ยนค่า Registry ของ Defender ได้

เพิ่มส่วน: 💡 Proactive Hunting ด้วย KQL Queries (ฉบับคัดลอกไปใช้ได้เลย)

การมี Dashboard สวยๆ ก็ดีครับ แต่การเขียน Query ไล่ล่าหาความผิดปกติเองนั้น "คม" กว่าเยอะ นี่คือ 2 เคสยอดฮิตที่ Admin ต้องเจอ:

Case A: ตรวจสอบการเสียบ USB และไฟล์ที่ถูก Copy (Removable Media)

ป้องกันข้อมูลรั่วไหลหรือการนำ Malware เข้ามาผ่าน Thumb drive ด้วย Query นี้:

 // 1. หาว่ามีเครื่องไหนเสียบ USB บ้าง และเป็นรุ่นอะไร
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "UsbDriveMounted"
| extend DriveData = parse_json(AdditionalFields)
| project Timestamp, DeviceName, Manufacturer = tostring(DriveData.Manufacturer), Model = tostring(DriveData.Model), DriveLetter = tostring(DriveData.DriveLetter)
| order by Timestamp desc

// 2. (Advance) ดูว่ามีการ Copy ไฟล์ลง USB หรือไม่
DeviceFileEvents
| where Timestamp > ago(7d)
| where ActionType == "FileCreated"
| where FolderPath startswith "E:" or FolderPath startswith "F:" // ปรับ Drive Letter ตามสภาพแวดล้อม
| project Timestamp, DeviceName, FileName, FolderPath, InitiatingProcessAccountName

 

Case B: ตรวจสอบการ Login ที่ผิดปกติ (Brute Force / Lateral Movement)

เฝ้าระวังการพยายามสุ่มรหัสผ่าน หรือการ Login ในเวลาที่ไม่ควรจะเป็น:

// หาการ Login ที่ล้มเหลว (Failed Logons) แยกตามรายชื่อ User
DeviceLogonEvents
| where Timestamp > ago(24h)
| where ActionType == "LogonFailed"
| summarize FailedCount = count() by RemoteIP, LogonType, DeviceName, UserPrincipalName
| where FailedCount > 10  // กรองเฉพาะที่มีการลองเกิน 10 ครั้งใน 24 ชม.
| order by FailedCount desc

// ตรวจสอบการใช้ Local Admin Login (ซึ่งปกติไม่ควรใช้บ่อย)
DeviceLogonEvents
| where Timestamp > ago(7d)
| where IsLocalAdmin == true
| where AccountName != "System" 
| project Timestamp, DeviceName, AccountName, LogonType, RemoteIP 

 

เทคนิคเพิ่มเติมสำหรับ Blogger: การตั้งค่า "Custom Detection"

หลังจากคุณรัน Query เหล่านี้แล้วเห็นว่ามันเวิร์ก อย่าปล่อยให้มันจบแค่การ Search ครับ!

  • Pro Tip: ในหน้า Advanced Hunting จะมีปุ่ม "Create detection rule" * คุณสามารถเอา KQL ข้างบนไปตั้งเป็น Alert อัตโนมัติได้ เช่น "ถ้ามีการเสียบ USB นอกยี่ห้อที่กำหนด ให้ส่ง Email แจ้งเตือน Admin ทันที" แบบนี้จะช่วยให้เราทำงานแบบ Proactive อย่างแท้จริงครับ

 

 

สรุปเนื้อหาบทความ: การใช้ KQL ไม่ใช่เรื่องยากอย่างที่คิดครับ เริ่มจาก Copy-Paste แล้วค่อยๆ แกะความหมายของคำสั่ง (เช่น where, summarize, project) แล้วคุณจะพบว่า Microsoft Defender for Endpoint มีข้อมูลมหาศาลที่รอให้คุณขุดขึ้นมาใช้ประโยชน์ครับ!

 

#MicrosoftDefender #MDE #CyberSecurity #ITAdmin #SystemEngineer #KQL #MSftAdvocate


Comments

Post a Comment

Popular posts from this blog

Azure Active Directory / Entra ID: แนวทางการจัดการ Identity อย่างมืออาชีพในยุค Cloud

ในยุคที่องค์กรไทยหันมาใช้งาน Cloud และ Hybrid Work กันอย่างแพร่หลาย การจัดการ Identity ของผู้ใช้งานกลายเป็นหัวใจสำคัญของระบบ IT Security ทั้งองค์กร Microsoft ได้เปลี่ยนชื่อ Azure Active Directory (Azure AD) มาเป็น Microsoft Entra ID อย่างเป็นทางการตั้งแต่ปี 2023 แต่ฟีเจอร์และแนวทางการใช้งานยังคงพัฒนาต่อเนื่องมาจนถึงปัจจุบัน สำหรับ IT Admin ที่ดูแลระบบขององค์กร การทำความเข้าใจแพลตฟอร์มนี้อย่างลึกซึ้งจึงเป็นสิ่งที่ขาดไม่ได้ Microsoft Entra ID ไม่ใช่แค่ "Active Directory บน Cloud" อย่างที่หลายคนเข้าใจผิด แต่มันคือ Identity and Access Management (IAM) Platform ที่รองรับการทำงานแบบ Modern Authentication, Zero Trust Architecture และการ Integrate กับ Application ทั้ง Microsoft และ Third-party ได้อย่างกว้างขวาง ไม่ว่าจะเป็น Salesforce, Google Workspace, หรือแอปพลิเคชันที่องค์กรพัฒนาเอง บทความนี้จะพาคุณสำรวจแนวทางการจัดการ Identity ด้วย Microsoft Entra ID อย่างเป็นระบบ ตั้งแต่การวางโครงสร้างพื้นฐาน ไปจนถึงเทคนิคที่ใช้ได้จริงในสภาพแวดล้อมขององค์กรไทย เหมาะสำหรับ IT Pro ที่กำลังวา...
Read more

ทำความรู้จัก Microsoft Defender XDR: เปลี่ยนจาก "วิ่งไล่จับ" เป็น "คุมทั้งเกม" ด้านความปลอดภัย

  ทำความรู้จัก Microsoft Defender XDR: เปลี่ยนจาก "วิ่งไล่จับ" เป็น "คุมทั้งเกม" ด้านความปลอดภัย หลายคนคงเคยได้ยินคำว่า XDR (Extended Detection and Response) กันมาบ้าง แต่พอพูดถึง Microsoft Defender XDR บางคนอาจจะงงว่า "มันต่างจาก Antivirus ที่มีอยู่ยังไง?" วันนี้ผมจะมาสรุปภาพรวมให้เข้าใจง่ายๆ ว่าทำไม Solution นี้ถึงกลายเป็นหัวใจสำคัญขององค์กรยุคใหม่ครับ 1. มองภาพเดิม: ต่างคนต่างอยู่ (Siloed Security) ลองนึกภาพว่าในบริษัทเรามี "รปภ." คอยเฝ้าจุดต่างๆ แยกกัน: คนหนึ่งเฝ้าประตูหน้า (Email) คนหนึ่งเฝ้าหน้าลิฟต์ (PC/Laptop) คนหนึ่งเฝ้าห้องเก็บของ (Cloud App/Server) คนหนึ่งเฝ้าสมุดลงชื่อ (Identity/User) ปัญหาคือ "รปภ. เหล่านี้ไม่คุยกันครับ" ถ้ามีโจรปลอมตัวผ่านประตูหน้าเข้ามา แล้วไปแอบที่ลิฟต์ ก่อนจะเดินเข้าห้องเก็บของ รปภ. แต่ละจุดอาจจะเห็นความผิดปกติเล็กๆ แต่ไม่มีใครรู้เลยว่า "นี่คือโจรคนเดียวกันที่กำลังออกปฏิบัติการ!" 2. มองภาพ Defender XDR: ศูนย์สั่งการอัจฉริยะ Microsoft Defender XDR คือการเอา รปภ. ทุกจุดมารวมร่างกันแล้วให้มี ...
Read more