次の方法で共有


証明書に基づいてインジケーターを作成する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

証明書のインジケーターを作成できます。 一般的なユース ケースには、次のようなものがあります。

  • 攻撃面の縮小ルールなど、ブロック テクノロジを展開する必要があるが、許可リストに証明書を追加して署名されたアプリケーションからの動作を許可する必要があるシナリオ。
  • 組織全体で特定の署名済みアプリケーションの使用をブロックする。 アプリケーションの証明書をブロックするインジケーターを作成することで、Windows Defender AV はファイルの実行 (ブロックと修復) を防ぎ、自動調査と修復は同じように動作します。

開始する前に

証明書のインジケーターを作成する前に、次の要件を理解しておくことが重要です。

  • この機能は、組織が Microsoft Defender ウイルス対策を使用しており、クラウドベースの保護が有効になっている場合に使用できます。 詳細については、「 クラウドベースの保護を管理する」を参照してください。

  • マルウェア対策クライアントのバージョンは 4.18.1901.x 以降である必要があります。

  • Windows 10 バージョン 1703 以降、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、および Windows Server 2022 上のマシンでサポートされます。

    注:

    Windows Server 2016 および Windows Server 2012 R2 は、この機能を機能させるには、「 Windows サーバーのオンボード 」の手順を使用してオンボードする必要があります。

  • ウイルスと脅威の保護の定義は最新である必要があります。

  • この機能では、現在、 の入力がサポートされています。CER または 。PEM ファイル拡張子。

重要

  • 有効なリーフ証明書は、有効な証明書パスを持ち、Microsoft によって信頼されているルート証明機関 (CA) にチェーンされている必要がある署名証明書です。 または、カスタム (自己署名) 証明書は、クライアントによって信頼されている限り使用できます (ルート CA 証明書は、ローカル コンピューターの [信頼されたルート証明機関] の下にインストールされます)。
  • 許可/ブロック証明書 IOC の子または親は、許可/ブロック IoC 機能には含まれず、リーフ証明書のみがサポートされます。
  • Microsoft 署名付き証明書はブロックできません。

[設定] ページから証明書のインジケーターを作成します。

重要

証明書 IoC の作成と削除には、最大で 3 時間かかることがあります。

  1. ナビゲーション ウィンドウで、 設定>Endpoints>Indicators ( [ルール] の下) を選択します。

  2. [ インジケーターの追加] を選択します

  3. 次の詳細を指定します。

    • インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。
    • [アクション] - 実行するアクションを指定し、説明を指定します。
    • スコープ - マシン グループのスコープを定義します。
  4. [概要] タブで詳細を確認し、[ 保存] をクリックします。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。