証明書に基づいてインジケーターを作成する

適用対象:

Defender for Endpoint を試す場合は、無料試用版にサインアップしてください。

証明書のインジケーターを作成できます。一般的なユースケースには、次のようなものがあります。

攻撃面の縮小ルールなど、ブロックテクノロジを展開する必要があるが、許可リストに証明書を追加して署名されたアプリケーションからの動作を許可する必要があるシナリオ。
組織全体で特定の署名済みアプリケーションの使用をブロックする。アプリケーションの証明書をブロックするインジケーターを作成することで、Windows Defender AV はファイルの実行 (ブロックと修復) を防ぎ、自動調査と修復は同じように動作します。

開始する前に

証明書のインジケーターを作成する前に、次の要件を理解しておくことが重要です。

この機能は、組織が Microsoft Defender ウイルス対策を使用しており、クラウドベースの保護が有効になっている場合に使用できます。詳細については、「クラウドベースの保護を管理する」を参照してください。
マルウェア対策クライアントのバージョンは 4.18.1901.x 以降である必要があります。
Windows 10 バージョン 1703 以降、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、および Windows Server 2022 上のマシンでサポートされます。

注:

Windows Server 2016 および Windows Server 2012 R2 は、この機能を機能させるには、「 Windows サーバーのオンボード」の手順を使用してオンボードする必要があります。
ウイルスと脅威の保護の定義は最新である必要があります。
この機能では、現在、の入力がサポートされています。CER または。PEM ファイル拡張子。

重要

有効なリーフ証明書は、有効な証明書パスを持ち、Microsoft によって信頼されているルート証明機関 (CA) にチェーンされている必要がある署名証明書です。または、カスタム (自己署名) 証明書は、クライアントによって信頼されている限り使用できます (ルート CA 証明書は、ローカルコンピューターの [信頼されたルート証明機関] の下にインストールされます)。
許可/ブロック証明書 IOC の子または親は、許可/ブロック IoC 機能には含まれず、リーフ証明書のみがサポートされます。
Microsoft 署名付き証明書はブロックできません。

重要

証明書 IoC の作成と削除には、最大で 3 時間かかることがあります。

ナビゲーションウィンドウで、設定>Endpoints>Indicators ( [ルール] の下) を選択します。
[ インジケーターの追加] を選択します。
次の詳細を指定します。
- インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。
- [アクション] - 実行するアクションを指定し、説明を指定します。
- スコープ - マシングループのスコープを定義します。
[概要] タブで詳細を確認し、[ 保存] をクリックします。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。