編集

次の方法で共有


ブロック モードでのエンドポイントの検出と応答 (EDR) に関するよく寄せられる質問 (FAQ)

ブロック モードで EDR の除外を指定できますか?

誤検知が出た場合は、Microsoft セキュリティ インテリジェンス提出サイトで分析のためにファイルを送信できます。

Microsoft Defenderウイルス対策の除外を定義することもできます。 「Microsoft Defender ウイルス対策のスキャンの除外を構成および検証する」を参照してください。

デバイスでMicrosoft Defenderウイルス対策を実行している場合、EDR をブロック モードでオンにする必要がありますか?

はい。システム上のプライマリ ウイルス対策ソフトウェアがウイルス対策ソフトウェアMicrosoft Defender場合でも、ブロック モードで EDR を有効にすることをお勧めします。 ブロック モードでの EDR の主な目的は、Microsoft 以外のウイルス対策製品によって見逃された侵害後の検出を修復することです。 ただし、Microsoft Defenderウイルス対策が正しく構成されていない場合や PUA 保護が有効になっていない場合など、ブロック モードの EDR が有益なシナリオがあります。 このような場合、ブロック モードの EDR は、PUA などの検出を自動的に修復できます。

ブロック モードの EDR はユーザーのウイルス対策保護に影響しますか?

ブロック モードの EDR は、ユーザーのデバイスで実行されている Microsoft 以外のウイルス対策保護には影響しません。 ブロック モードの EDR は、プライマリ ウイルス対策ソリューションが何かを見逃した場合、または侵害後の検出がある場合に機能します。 ブロック モードの EDR は、パッシブ モードMicrosoft Defenderウイルス対策と同様に機能しますが、ブロック モードの EDR では、検出された悪意のあるアーティファクトや動作もブロックおよび修復されます。

ウイルス対策Microsoft Defender最新の状態に保つ必要があるのはなぜですか?

Microsoft Defenderウイルス対策は悪意のあるアイテムを検出して修復するため、最新の状態に保つことが重要です。 ブロック モードの EDR を有効にするには、最新のデバイス学習モデル、動作検出、ヒューリスティックが使用されます。 Defender for Endpoint の機能スタックは、統合された方法で動作します。 最高の保護の価値を得るには、ウイルス対策Microsoft Defender最新の状態に保つ必要があります。 Microsoft Defender ウイルス対策の更新の管理を行い、ベースラインを適用する方法を参照してください。

クラウド保護 (MAPS) が必要な理由

デバイスで機能を有効にするには、クラウド保護が必要です。 クラウド保護により、 Defender for Endpoint は、広範なセキュリティ インテリジェンスと、行動学習モデルとデバイス学習モデルに基づいて、最新かつ最大の保護を提供できます。

アクティブ モードとパッシブ モードの違いは何ですか?

Windows 10、Windows 11、Windows Server、バージョン 1803 以降、Windows Server 2019、または Windows Server 2022 を実行しているエンドポイントの場合、Microsoft Defenderウイルス対策がアクティブ モードの場合は、デバイスのプライマリ ウイルス対策として使用されます。 パッシブ モードで実行する場合、Microsoft Defenderウイルス対策はプライマリ ウイルス対策製品ではありません。 この場合、脅威はリアルタイムでMicrosoft Defenderウイルス対策によって修復されません。

注:

Microsoft Defenderウイルス対策は、デバイスがMicrosoft Defender for Endpointにオンボードされている場合にのみパッシブ モードで実行できます。

詳細については、「Microsoft Defender ウイルス対策の互換性」を参照してください。

Microsoft Defenderウイルス対策がアクティブまたはパッシブ モードであることを確認操作方法。

Microsoft Defenderウイルス対策がアクティブ モードまたはパッシブ モードで実行されているかどうかを確認するには、Windows を実行しているデバイスでコマンド プロンプトまたは PowerShell を使用します。

Method プロシージャ
PowerShell 1. [スタート] メニューを選択し、「PowerShell」と入力し、結果でWindows PowerShellを開きます。

2. 「 Get-MpComputerStatus」と入力します。

3. 結果の一覧の AMRunningMode 行で、次のいずれかの値を探します。
- Normal
- Passive Mode

詳細については、「 Get-MpComputerStatus」を参照してください。
コマンド プロンプト
  1. [スタート] メニューを選択し、「 Command Prompt」と入力し、結果で Windows コマンド プロンプトを開きます。
  2. 種類 sc query windefend
  3. 結果の一覧の STATE 行で、サービスが実行されていることを確認します。

操作方法ブロック モードの EDR がパッシブ モードでMicrosoft Defenderウイルス対策でオンになっていることを確認します。

PowerShell を使用して、パッシブ モードで実行されているMicrosoft Defenderウイルス対策でブロック モードの EDR がオンになっていることを確認できます。

  1. [スタート] メニューを選択し、「PowerShell」と入力し、結果でWindows PowerShellを開きます。

  2. 種類 Get-MPComputerStatus|select AMRunningMode

  3. 結果 ( EDR Block Mode) が表示されていることを確認します。

ヒント

Microsoft Defenderウイルス対策がアクティブ モードの場合は、EDR Block ModeではなくNormalが表示されます。 詳細については、「 Get-MpComputerStatus」を参照してください。

Windows Server 2016 および Windows Server 2012 R2 でブロック モードの EDR はサポートされていますか?

Microsoft Defenderウイルス対策がアクティブ モードまたはパッシブ モードで実行されている場合、ブロック モードの EDR は次のバージョンの Windows でサポートされています。

Windows Server 2016および Windows Server 2012 R2 用の新しい統合クライアント ソリューションを使用すると、パッシブ モードまたはアクティブ モードでブロック モードで EDR を実行できます。

注:

この機能を機能させるには、「Windows サーバーのオンボード」の手順を使用して、Windows Server 2016および R2 Windows Server 2012オンボードする必要があります。

ブロック モードの EDR が無効になるにはどのくらいの時間がかかりますか?

ブロック モードで EDR を無効にした場合、システムでこの機能が無効になるまでに最大 30 分かかることがあります。

関連項目