次の方法で共有

クライアントの動作ブロック

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

概要

クライアントの動作ブロックは、Defender for Endpoint の 動作ブロックと封じ込め機能 のコンポーネントです。 デバイス (クライアントまたはエンドポイントとも呼ばれます) で疑わしい動作が検出されると、成果物 (ファイルやアプリケーションなど) が自動的にブロック、チェック、修復されます。

クラウドとクライアントの保護

ウイルス対策保護は、クラウド保護と組み合わせて使用すると最適です。

クライアント動作ブロックのしくみ

Microsoft Defenderウイルス対策は、疑わしい動作、悪意のあるコード、ファイルレス攻撃やメモリ内攻撃などをデバイスで検出できます。 不審な動作が検出されると、ウイルス対策Microsoft Defender監視し、それらの不審な動作とそのプロセス ツリーをクラウド保護サービスに送信します。 機械学習は、悪意のあるアプリケーションと良好な動作をミリ秒単位で区別し、各成果物を分類します。 ほぼリアルタイムで、アーティファクトが悪意があると検出されるとすぐに、デバイスでブロックされます。

疑わしい動作が検出されると、アラートが生成され、攻撃が検出され、停止されている間に表示されます。"初期アクセス アラート" などのアラートがトリガーされ、Microsoft Defender ポータルに表示されます。

クライアントの動作ブロックは、攻撃の開始を防ぐだけでなく、実行を開始した攻撃を停止するのに役立つ可能性があるため、有効です。 また、フィードバック ループ ブロック (動作ブロックと封じ込みのもう 1 つの機能) を使用すると、organization内の他のデバイスで攻撃が防止されます。

動作ベースの検出

動作ベースの検出には、 MITRE ATT&CK Matrix for Enterprise に従って名前が付けられます。 名前付け規則は、悪意のある動作が観察された攻撃段階を特定するのに役立ちます。

戦法 検出の脅威名
初期アクセス Behavior:Win32/InitialAccess.*!ml
実行 Behavior:Win32/Execution.*!ml
永続性 Behavior:Win32/Persistence.*!ml
特権エスカレーション Behavior:Win32/PrivilegeEscalation.*!ml
防御回避 Behavior:Win32/DefenseEvasion.*!ml
資格情報へのアクセス Behavior:Win32/CredentialAccess.*!ml
検出 Behavior:Win32/Discovery.*!ml
横方向の移動 Behavior:Win32/LateralMovement.*!ml
コレクション Behavior:Win32/Collection.*!ml
コマンドとコントロール Behavior:Win32/CommandAndControl.*!ml
流出 Behavior:Win32/Exfiltration.*!ml
影響 Behavior:Win32/Impact.*!ml
未分類 Behavior:Win32/Generic.*!ml

ヒント

特定の脅威の詳細については、最近の グローバル脅威アクティビティに関するページを参照してください。

クライアント動作ブロックの構成

organizationが Defender for Endpoint を使用している場合、クライアント動作ブロックは既定で有効になっています。 ただし、 動作ブロックや封じ込めなど、Defender for Endpoint のすべての機能の恩恵を受けるために、Defender for Endpoint の次の機能が有効および構成されていることを確認します。

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。