次の方法で共有


除外の概要

適用対象:

注:

Microsoft MVP として、 Fabian Bader はこの記事に投稿し、重要なフィードバックを提供しました。

Microsoft Defender for Endpointには、高度なサイバー脅威を防止、検出、調査、対応するための幅広い機能が含まれています。 これらの機能には、次世代の保護 (Microsoft Defenderウイルス対策が含まれます) が含まれます。

エンドポイント保護またはウイルス対策ソリューションと同様に、実際には脅威ではないファイル、フォルダー、またはプロセスは、Defender for Endpoint または Microsoft Defender ウイルス対策によって悪意のあるものとして検出される場合があります。 これらのエンティティは、実際には脅威ではないにもかかわらず、ブロックまたは検疫に送信できます。

この記事では、定義できるさまざまな種類の除外、またはこれらの状況を管理するために Defender for Endpoint および Microsoft Defender ウイルス対策に対して実行できるアクションについて説明します。

注意

除外を定義すると、Defender for Endpoint と Microsoft Defender ウイルス対策によって提供される保護のレベルが低下します。 最後の手段として除外を使用し、必要な除外のみを定義してください。 除外を定期的に確認し、不要になった除外を削除してください。 除外に関する重要なポイント、回避する一般的な間違いを参照してください。

除外の種類

次の表は、Defender for Endpoint と Microsoft Defender ウイルス対策のさまざまな除外の種類と機能をまとめたものです。 各種類を選択すると、詳細が表示されます。

ヒント

除外の種類 構成 説明
自動Microsoft Defenderウイルス対策の除外 自動 Windows Server のサーバーの役割と機能の自動除外。 Windows Server 2016 以降にロールをインストールすると、Microsoft Defenderウイルス対策には、サーバー ロールと、ロールのインストール中に追加されたすべてのファイルの自動除外が含まれます。
注: Windows Server 2016 以降のアクティブなロールの場合。
組み込みのMicrosoft Defenderウイルス対策の除外 自動 Microsoft Defender ウイルス対策には、すべてのバージョンの Windows 上のオペレーティング システム ファイルに対する組み込みの除外が含まれています。
カスタム Microsoft Defender ウイルス対策の除外 顧客 脅威ではない場合でも、検出され、悪意があると識別されたファイル、フォルダー、またはプロセスの除外を追加できます。 除外するファイル、フォルダー、またはプロセスは、スケジュールされたスキャン、オンデマンド スキャン、リアルタイム保護によってスキップされます。
Defender for Endpoint 攻撃面の縮小の除外 顧客 攻撃面の縮小ルールによってorganizationで予期しない動作が発生する場合は、特定のファイルとフォルダーの除外を定義できます。 このような除外は、すべての攻撃面の縮小ルールに適用されます。
Defender for Endpoint Indicators 顧客 ファイル、IP アドレス、URL/ドメイン、証明書など、エンティティに対する特定のアクションを持つインジケーターを定義できます。 インジケーターを定義するときに、Defender for Endpoint がファイル、IP アドレス、URL/ドメイン、許可インジケーターを持つ証明書をブロックしない "許可" などのアクションを指定できます。
Defender for Endpoint によって制御されるフォルダー アクセスの除外 顧客 除外を定義することで、保護されたフォルダーへのアクセスを特定のアプリまたは署名済み実行可能ファイルに許可できます。
Defender for Endpoint オートメーション フォルダーの除外 顧客 Defender for Endpoint の自動調査と修復は、アラートを調べ、検出された侵害を自動的に解決するための即時アクションを実行します。 フォルダー、特定のディレクトリ内のファイル拡張子、および自動調査および修復機能から除外するファイル名を指定できます。

注:

Microsoft Defenderウイルス対策の除外は、ウイルス対策スキャンやリアルタイム保護に適用できます。

注:

Defender for Endpoint プラン 1 とプラン 2 のスタンドアロン バージョンには、サーバー ライセンスは含まれていません。 サーバーをオンボードするには、サーバーのMicrosoft Defender for Endpointやサーバープラン 1 または 2 のMicrosoft Defenderなど、別のライセンスが必要です。 詳細については、「 Defender for Endpoint オンボード Windows Server」を参照してください。

Microsoft Defender for Businessを使用する中小企業の場合は、Microsoft Defender for Business serversを取得できます。|

次のセクションでは、これらの除外について詳しく説明します。

自動除外

自動除外 ( 自動サーバー ロールの除外とも呼ばれます) には、Windows Server のサーバー ロールと機能の除外が含まれます。 これらの除外は リアルタイム保護 によってスキャンされませんが、引き続き クイック、フル、またはオンデマンドのウイルス対策スキャンの対象となります。

たとえば、次のような情報が含まれます。

  • ファイル レプリケーション サービス (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS サーバー
  • プリント サーバー
  • Web サーバー
  • Windows Server Update Services
  • ...などです。

注:

Windows Server 2012 R2 では、サーバー ロールの自動除外はサポートされていません。 Active Directory Domain Services (AD DS) サーバーの役割がインストールされている R2 Windows Server 2012実行しているサーバーの場合は、ドメイン コントローラーの除外を手動で指定する必要があります。 「Active Directory の除外」を参照してください。

詳細については、「 自動サーバー ロールの除外」を参照してください。

組み込みの除外

組み込みの除外には、すべてのバージョンの Windows (Windows 10、Windows 11、Windows Server を含む) でMicrosoft Defenderウイルス対策によって除外される特定のオペレーティング システム ファイルが含まれます。

たとえば、次のような情報が含まれます。

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • Windows Updateファイル
  • Windows セキュリティファイル
  • 他にも多数あります。

Windows の組み込み除外の一覧は、脅威の状況の変化に応じて最新の状態に保たれます。 これらの除外の詳細については、「Microsoft Defender Windows Server でのウイルス対策の除外: 組み込みの除外」を参照してください。

カスタム除外

カスタム除外には、 指定したファイルとフォルダーが含まれます。 ファイル、フォルダー、プロセスの除外は、スケジュールされたスキャン、オンデマンド スキャン、リアルタイム保護によってスキップされます。 プロセスで開かれたファイルの除外は 、リアルタイム保護 ではスキャンされませんが 、クイック、フル、またはオンデマンドのウイルス対策スキャンの対象となります。

カスタム修復アクション

Microsoft Defenderウイルス対策は、スキャンの実行中に潜在的な脅威を検出すると、検出された脅威の修復または削除を試みます。 カスタム修復アクションを定義して、ウイルス対策Microsoft Defender特定の脅威に対処する方法、修復前に復元ポイントを作成するかどうか、および脅威を削除するタイミングを構成できます。 Microsoft Defenderウイルス対策検出の修復アクションを構成します

攻撃面の縮小の除外

攻撃面の縮小ルール (ASR ルールとも呼ばれます) は、次のような特定のソフトウェア動作を対象とします。

  • ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトの起動
  • 難読化されている、またはその他の疑わしいと思われるスクリプトの実行
  • 通常の毎日の作業中にアプリが通常開始しない動作の実行

場合によっては、正当なアプリケーションがソフトウェアの動作を示し、攻撃面の縮小ルールによってブロックされる可能性があります。 organizationで発生している場合は、特定のファイルとフォルダーの除外を定義できます。 このような除外は、すべての攻撃面の縮小ルールに適用されます。 「攻撃面の縮小ルールを有効にする」を参照してください。

また、ほとんどの ASR ルールの除外はMicrosoft Defenderウイルス対策の除外とは独立していますが、一部の ASR ルールでは、一部のMicrosoft Defenderウイルス対策の除外が適用されることに注意してください。 「攻撃面の縮小ルールリファレンス - Microsoft Defenderウイルス対策の除外と ASR ルール」を参照してください。

Defender for Endpoint インジケーター

ファイル、IP アドレス、URL/ドメイン、証明書など、エンティティに対する特定のアクションを持つ インジケーター を定義できます。 Defender for Endpoint では、インジケーターは侵害のインジケーター (IoC) と呼ばれ、カスタム インジケーターと呼ばれる頻度は低くなります。 インジケーターを定義するときは、次のいずれかのアクションを指定できます。

  • 許可 – Defender for Endpoint は、許可インジケーターを持つファイル、IP アドレス、URL/ドメイン、または証明書をブロックしません。 (このアクションは注意して使用してください)。

  • 監査 – 監査インジケーターを持つファイル、IP アドレス、URL/ドメインが監視され、ユーザーがアクセスすると、Microsoft Defender ポータルで情報アラートが生成されます。

  • ブロックと修復 – ブロックインジケーターと修復インジケーターを含むファイルまたは証明書は、検出されるとブロックされ、検疫されます。

  • ブロック実行 – ブロック実行インジケーターを持つ IP アドレスと URL/ドメインはブロックされます。 ユーザーはこれらの場所にアクセスできません。

  • 警告 – 警告インジケーターを持つ IP アドレスと URL/ドメインは、ユーザーがそれらの場所にアクセスしようとすると警告メッセージが表示されます。 ユーザーは警告をバイパスし、IP アドレスまたは URL/ドメインに進むことができます。

重要

テナントには最大 15,000 個のインジケーターを含めることができます。

次の表は、IoC の種類と使用可能なアクションをまとめたものです。

インジケーターの種類 使用可能なアクション
ファイル -許す
-監査
-警告する
- 実行をブロックする
- ブロックと修復
IP アドレスと URL/ドメイン -許す
-監査
-警告する
- 実行をブロックする
証明書 -許す
- ブロックと修復

フォルダー アクセスの除外の制御

フォルダー アクセスの制御 は、悪意のあるものとして検出されたアクティビティのアプリを監視し、Windows デバイス上の特定の (保護された) フォルダーの内容を保護します。 フォルダーアクセスの制御により、一般的なシステム フォルダー (ブート セクターを含む) や指定した他のフォルダーなど、保護されたフォルダーにアクセスできるのは信頼できるアプリのみです。 除外を定義することで、保護されたフォルダーへのアクセスを特定のアプリまたは署名済み実行可能ファイルに許可できます。 「 制御されたフォルダー アクセスをカスタマイズする」を参照してください。

Automation フォルダーの除外

Automation フォルダーの除外は、Defender for Endpoint の 自動調査と修復 に適用されます。これは、アラートを調査し、検出された侵害を解決するための即時アクションを実行するように設計されています。 アラートがトリガーされ、自動調査が実行されると、調査された証拠ごとに判定 (悪意のある、疑わしい、または脅威が見つかりません) に達します。 自動化レベルやその他のセキュリティ設定に応じて、修復アクションは自動的に、またはセキュリティ運用チームによる承認時にのみ実行できます。

フォルダー、特定のディレクトリ内のファイル拡張子、および自動調査および修復機能から除外するファイル名を指定できます。 このようなオートメーション フォルダーの除外は、Defender for Endpoint にオンボードされているすべてのデバイスに適用されます。 これらの除外は引き続きウイルス対策スキャンの対象となります。 「Automation フォルダーの除外を管理する」を参照してください。

除外とインジケーターの評価方法

ほとんどの組織には、ユーザーがファイルまたはプロセスにアクセスして使用できるかどうかを判断するためのさまざまな種類の除外とインジケーターがあります。 除外とインジケーターは、 ポリシーの競合が体系的に処理されるように、特定の順序で処理されます。

次の図は、Defender for Endpoint と Microsoft Defender ウイルス対策全体で除外とインジケーターがどのように処理されるかをまとめたものです。

除外とインジケーターが評価される順序を示すスクリーンショット。

次に、動作のしくみを示します。

  1. 検出されたファイル/プロセスが Windows Defender アプリケーションコントロールと AppLocker によって許可されていない場合、ブロックされます。 それ以外の場合は、ウイルス対策のMicrosoft Defenderに進みます。

  2. 検出されたファイル/プロセスがMicrosoft Defenderウイルス対策の除外の一部でない場合、ブロックされます。 それ以外の場合、Defender for Endpoint は、ファイル/プロセスのカスタム インジケーターをチェックします。

  3. 検出されたファイル/プロセスにブロックまたは警告インジケーターがある場合、そのアクションが実行されます。 それ以外の場合、ファイル/プロセスが許可され、攻撃面の縮小ルール、制御されたフォルダー アクセス、SmartScreen 保護による評価に進みます。

  4. 検出されたファイル/プロセスが攻撃面の縮小ルール、制御されたフォルダー アクセス、または SmartScreen 保護によってブロックされていない場合は、ウイルス対策Microsoft Defenderに進みます。

  5. 検出されたファイル/プロセスがMicrosoft Defenderウイルス対策によって許可されていない場合は、その脅威 ID に基づいてアクションがチェックされます。

ポリシーの競合の処理方法

Defender for Endpoint インジケーターが競合する場合は、次のことが想定されます。

  • 競合するファイル インジケーターがある場合は、最も安全なハッシュを使用するインジケーターが適用されます。 たとえば、SHA256 は SHA-1 よりも優先され、MD5 よりも優先されます。

  • 競合する URL インジケーターがある場合は、より厳密なインジケーターが使用されます。 SmartScreen Microsoft Defenderの場合、最も長い URL パスを使用するインジケーターが適用されます。 たとえば、www.dom.ainよりもwww.dom.ain/admin/が優先されます。 (ネットワーク保護 は、ドメイン内のサブページではなく、ドメインに適用されます)。

  • 異なるアクションを持つファイルまたはプロセスに対して同様のインジケーターがある場合、特定のデバイス グループを対象とするインジケーターが、すべてのデバイスを対象とするインジケーターよりも優先されます。

自動調査と修復がインジケーターとどのように連携するか

Defender for Endpoint の自動調査と修復機能は、まず各証拠の判定を決定してから、Defender for Endpoint インジケーターに応じてアクションを実行します。 したがって、ファイル/プロセスは "良い" (脅威が見つからなかったことを意味します) という評決を受け、そのアクションを持つインジケーターがある場合でもブロックされる可能性があります。 同様に、エンティティは "bad" (悪意があると判断される) の判定を受け、そのアクションを持つインジケーターがある場合でも許可される可能性があります。

次の図は、 自動調査と修復がインジケーターでどのように機能するかを示しています。

自動調査と修復とインジケーターを示すスクリーンショット。

その他のサーバー ワークロードと除外

organizationが他のサーバー ワークロード (Exchange Server、SharePoint Server、SQL Serverなど) を使用している場合は、Windows Server の組み込みサーバー ロール (後でインストールするソフトウェアの前提条件となる可能性がある) のみが自動除外機能によって除外されることに注意してください (既定のインストール場所を使用する場合のみ)。 これらの他のワークロード、または自動除外を無効にした場合は、すべてのワークロードに対してウイルス対策の除外を定義する必要があります。

必要な除外を特定して実装するための技術ドキュメントの例を次に示します。

使用している内容によっては、そのサーバー ワークロードのドキュメントを参照する必要がある場合があります。

ヒント

パフォーマンスのヒントさまざまな要因により、Microsoft Defenderウイルス対策は、他のウイルス対策ソフトウェアと同様に、エンドポイント デバイスでパフォーマンスの問題を引き起こす可能性があります。 場合によっては、これらのパフォーマンスの問題を軽減するために、Microsoft Defenderウイルス対策のパフォーマンスを調整する必要がある場合があります。 Microsoft の パフォーマンス アナライザー は、パフォーマンスの問題を引き起こしている可能性のあるファイル、ファイル パス、プロセス、およびファイル拡張子を判断するのに役立つ PowerShell コマンド ライン ツールです。いくつかの例を次に示します。

  • スキャン時間に影響を与える上位パス
  • スキャン時間に影響を与える上位のファイル
  • スキャン時間に影響を与える上位のプロセス
  • スキャン時間に影響を与える上位のファイル拡張子
  • 次のような組み合わせ。
    • 拡張子ごとに上位のファイル
    • 拡張機能ごとの上位パス
    • パスあたりの上位プロセス数
    • ファイルあたりの上位スキャン数
    • プロセスごとのファイルあたりの上位スキャン数

パフォーマンス アナライザーを使用して収集した情報を使用して、パフォーマンスの問題をより適切に評価し、修復アクションを適用できます。 「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。