次の方法で共有

Defender for Endpoint で高度な機能を構成する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

使用する Microsoft セキュリティ製品によっては、Defender for Endpoint を統合できる高度な機能がいくつか用意されている場合があります。

高度な機能を有効にする

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. ナビゲーション ウィンドウで、 設定>Endpoints>Advanced 機能を選択します。

  3. 構成する高度な機能を選択し、 設定を [オン ] と [ オフ] の間で切り替えます。

  4. [環境設定の保存] を選択します。

次の高度な機能を使用して、潜在的に悪意のあるファイルから保護を強化し、セキュリティ調査中により良い分析情報を得ることができます。

スコープ付きデバイス グループ内への関連付けを制限する

この構成は、ローカル SOC 操作でアラートの関連付けを、アクセスできるデバイス グループのみに制限するシナリオに使用できます。 この設定をオンにすると、デバイス間グループが 1 つのインシデントと見なされなくなるアラートで構成されるインシデントが発生します。 ローカル SOC は、関連するデバイス グループのいずれかにアクセスできるため、インシデントに対してアクションを実行できます。 ただし、グローバル SOC では、1 つのインシデントではなく、デバイス グループごとに複数の異なるインシデントが表示されます。 組織全体のインシデント相関関係の利点を上回る場合を除き、この設定を有効にすることはお勧めしません。

注:

  • この設定を変更すると、将来のアラートの相関関係にのみ影響します。

  • デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

ブロック モードで EDR を有効にする

ブロック モードのエンドポイント検出と応答 (EDR) は、Microsoft Defender ウイルス対策がパッシブ モードで実行されている場合でも、悪意のある成果物からの保護を提供します。 オンにすると、ブロック モードの EDR は、デバイスで検出された悪意のあるアーティファクトまたは動作をブロックします。 ブロック モードの EDR は、侵害後に検出された悪意のある成果物を修復するためにバックグラウンドで機能します。

アラートを自動的に解決する

この設定をオンにすると、脅威が見つからなかった場合や、検出された脅威が修復されたアラートが自動的に解決されます。 アラートを自動解決したくない場合は、機能を手動でオフにする必要があります。

注:

  • 自動解決アクションの結果は、デバイスで検出されたアクティブなアラートに基づくデバイス リスク レベルの計算に影響する可能性があります。
  • セキュリティ運用アナリストがアラートの状態を "進行中" または "解決済み" に手動で設定した場合、自動解決機能によって上書きされることはありません。

ファイルを許可またはブロックする

ブロックは、組織が次の要件を満たしている場合にのみ使用できます。

  • アクティブなマルウェア対策ソリューションとして Microsoft Defender ウイルス対策を使用し、
  • クラウドベースの保護機能が有効になっている

この機能を使用すると、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。 ファイルをブロックすると、組織内のデバイスでファイルの読み取り、書き込み、または実行ができなくなります。

[ファイルの許可またはブロック] をオンにするには:

  1. Microsoft Defender ポータルのナビゲーション ウィンドウで、 設定>Endpoints>General>Advanced features>Allow または block ファイルを選択します。

  2. 設定を [オン] と [オフ] の間で切り替えます。

    [エンドポイント] 画面

  3. ページの下部にある [ 設定の保存] を選択します。

この機能を有効にした後、 ファイル のプロファイル ページの [ インジケーターの追加 ] タブを使用してファイルをブロックできます。

重複する可能性のあるデバイス レコードを非表示にする

この機能を有効にすると、重複する可能性があるデバイス レコードを非表示にすることで、デバイスに関する最も正確な情報が確実に表示されるようになります。 Microsoft Defender for Endpoint のデバイス検出機能がネットワークをスキャンし、既にオンボードされているか、最近オフボードされているデバイスを検出する場合など、重複するデバイス レコードが発生する理由はさまざまです。

この機能は、ホスト名と最後に表示された時刻に基づいて、重複する可能性のあるデバイスを特定します。 重複するデバイスは、ポータルの複数のエクスペリエンス (デバイス インベントリ、Microsoft Defender 脆弱性管理ページ、コンピューター データのパブリック API など) から非表示になり、最も正確なデバイス レコードが表示されます。 ただし、重複は引き続きグローバル検索、高度なハンティング、アラート、インシデント ページに表示されます。

この設定は既定でオンになり、テナント全体に適用されます。 重複する可能性のあるデバイス レコードを非表示にしたくない場合は、機能を手動でオフにする必要があります。

カスタム ネットワーク インジケーター

この機能をオンにすると、IP アドレス、ドメイン、または URL のインジケーターを作成できます。これにより、カスタム インジケーター リストに基づいて許可されるかブロックされるかが決まります。

この機能を使用するには、デバイスで Windows 10 バージョン 1709 以降または Windows 11 が実行されている必要があります。 また、ブロック モードでネットワーク保護を行い、マルウェア対策プラットフォームのバージョン 4.18.1906.3 以降の場合は 、「KB 4052623」を参照してください

詳細については、「インジケーターの 管理」を参照してください。

注:

ネットワーク保護は、Defender for Endpoint データ用に選択した場所の外部にある可能性がある場所で要求を処理する評判サービスを利用します。

改ざん防止

一部の種類のサイバー攻撃では、悪意のあるアクターは、コンピューター上のウイルス対策保護などのセキュリティ機能を無効にしようとします。 不適切なアクターは、セキュリティ機能を無効にして、データへのアクセスを容易にしたり、マルウェアをインストールしたり、データ、ID、デバイスを悪用したりします。 改ざん防止は基本的に Microsoft Defender ウイルス対策をロックし、アプリや方法によってセキュリティ設定が変更されるのを防ぎます。

改ざん防止の構成方法など、詳細については、「改ざん防止 によるセキュリティ設定の保護」を参照してください。

ユーザーの詳細を表示する

Microsoft Entra ID に格納されているユーザーの詳細を確認できるように、この機能を有効にします。 詳細には、ユーザー アカウント エンティティを調査するときのユーザーの画像、名前、タイトル、部署の情報が含まれます。 ユーザー アカウント情報は、次のビューで確認できます。

  • アラート キュー
  • [デバイスの詳細] ページ

詳細については、「 ユーザー アカウントを調査する」を参照してください。

Skype for Business 統合

Skype for Business 統合を有効にすると、Skype for Business、メール、または電話を使用してユーザーと通信できるようになります。 このアクティブ化は、ユーザーと通信し、リスクを軽減する必要がある場合に便利です。

注:

デバイスがネットワークから分離されている場合は、Outlook と Skype の通信を有効にして、ユーザーがネットワークから切断されている間にユーザーとの通信を許可するポップアップが表示されます。 この設定は、デバイスが分離モードの場合に Skype と Outlook の通信に適用されます。

Microsoft Defender for Cloud Apps

この設定を有効にすると、Defender for Endpoint が Microsoft Defender for Cloud Apps に通知され、クラウド アプリケーションの使用状況をより詳細に把握できます。 転送されたデータは、Defender for Cloud Apps データと同じ場所に格納され、処理されます。

注:

この機能は、Windows 10 を実行しているデバイスで Enterprise Mobility + Security の E5 ライセンスで利用できます。 バージョン 1709 (OS ビルド 16299.1085 とKB4493441)、Windows 10、バージョン 1803 (OS ビルド 17134.704 とKB4493464)、Windows 10、バージョン 1809 ( OS ビルド 17763.379 KB4489899)、以降の Windows 10 バージョン、または Windows 11。

Web コンテンツ フィルタリング

不要なコンテンツを含む Web サイトへのアクセスをブロックし、すべてのドメインにわたる Web アクティビティを追跡します。 ブロックする Web コンテンツ カテゴリを指定するには、 Web コンテンツ フィルタリング ポリシーを作成しますMicrosoft Defender for Endpoint セキュリティ ベースラインを展開するときに、ネットワーク保護がブロック モードになっていることを確認します。

統合監査ログ

Microsoft Purview で検索すると、セキュリティとコンプライアンス チームが重要な監査ログ イベント データを表示して、分析情報を得てユーザー アクティビティを調査できます。 監査されたアクティビティがユーザーまたは管理者によって実行されるたびに、監査レコードが生成され、組織の Microsoft 365 監査ログに格納されます。 詳細については、「 監査ログを検索する」を参照してください。

デバイス検出

余分なアプライアンスや面倒なプロセスの変更を必要とせずに、会社のネットワークに接続されている管理されていないデバイスを見つけるのに役立ちます。 オンボードデバイスを使用すると、ネットワーク内のアンマネージド デバイスを見つけ、脆弱性とリスクを評価できます。 詳細については、「 デバイスの検出」を参照してください。

注:

いつでもフィルタを適用して、管理対象外のデバイスをデバイス インベントリ リストから除外できます。 API クエリのオンボーディング ステータス列を使用して、管理されていないデバイスを除外することもできます。

検疫済みファイルをダウンロードする

検疫されたファイルを安全で準拠した場所にバックアップして、検疫から直接ダウンロードできるようにします。 [ ファイルのダウンロード ] ボタンは常にファイル ページで使用できます。 この設定は既定でオンになっています。 要件の詳細を確認する

Defender ポータルでデバイスをオンボードするときの、既定の合理化された接続

この設定により、既定のオンボード パッケージが、該当するオペレーティング システムの 合理化された接続 に設定されます。 オンボード ページ内で標準オンボード パッケージを使用することもできますが、ドロップダウンで特別に選択する必要があります。

ライブ応答

適切なアクセス許可を持つユーザーがデバイスでライブ応答セッションを開始できるように、この機能を有効にします。

ロールの割り当ての詳細については、「ロールの 作成と管理」を参照してください。

サーバーのライブ応答

適切なアクセス許可を持つユーザーがサーバーでライブ応答セッションを開始できるように、この機能を有効にします。

ロールの割り当ての詳細については、「ロールの 作成と管理」を参照してください。

ライブ応答の符号なしスクリプトの実行

この機能を有効にすると、ライブ応答セッションで署名されていないスクリプトを実行できます。

欺騙

詐欺により、セキュリティ チームは、環境内の攻撃者を捕まえるために、誘惑とデコイを管理および展開できます。 これを有効にした後、[ルール] > [欺瞞ルール] に移動して、詐欺キャンペーンを実行します。 「Microsoft Defender XDR での欺瞞機能の管理」を参照してください。

エンドポイント アラートを Microsoft コンプライアンス センターと共有する

エンドポイント のセキュリティ アラートとそのトリアージの状態を Microsoft Purview コンプライアンス ポータルに転送します。これにより、アラートを使用してインサイダー リスク管理ポリシーを強化し、内部リスクを修復してから損害を引き起こすことができます。 転送されたデータは処理され、Office 365 データと同じ場所に格納されます。

インサイダー リスク管理設定で セキュリティ ポリシー違反インジケーター を構成した後、Defender for Endpoint アラートは、該当するユーザーのインサイダー リスク管理と共有されます。

Microsoft Intune 接続

Defender for Endpoint を Microsoft Intune と統合して、 デバイスのリスクベースの条件付きアクセスを有効にすることができますこの機能を有効にすると、Defender for Endpoint デバイス情報を Intune と共有できるようになり、ポリシーの適用が強化されます。

重要

この機能を使用するには、Intune と Defender for Endpoint の両方で統合を有効にする必要があります。 特定の手順の詳細については、「 Defender for Endpoint で条件付きアクセスを構成する」を参照してください。

この機能は、次の前提条件がある場合にのみ使用できます。

認証済みテレメトリ

認証されたテレメトリ を有効に して、ダッシュボードへのテレメトリのなりすましを防ぐことができます。

プレビュー機能

Defender for Endpoint プレビュー リリースの新機能について説明します。

プレビュー エクスペリエンスを有効にして、今後の機能をお試しください。 機能が一般公開される前に、全体的なエクスペリエンスを向上させるためにフィードバックを提供できる、今後の機能にアクセスできます。

プレビュー機能が既に有効になっている場合は、メインの Defender XDR 設定から設定を管理します。

詳細については、「Microsoft Defender XDR プレビュー機能」を参照してください。

エンドポイント攻撃の通知

エンドポイント攻撃通知 を使用すると、緊急性とエンドポイント データへの影響に基づいて重要な脅威を積極的に検出できます。

メール、コラボレーション、ID、クラウド アプリケーション、エンドポイントにまたがる脅威など、Microsoft Defender XDR の全範囲にわたるプロアクティブハンティングについては、Microsoft Defender Experts の 詳細をご覧ください

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。