次の方法で共有


IP および URL/ドメインのインジケーターを作成

適用対象:

概要

IP と URL またはドメインのインジケーターを作成することで、独自の脅威インテリジェンスに基づいて IP、URL、またはドメインを許可またはブロックできるようになりました。 リスクの高いアプリを開く場合は、ユーザーに警告することもできます。 プロンプトは、アプリの使用を停止しません。ユーザーは警告をバイパスし、必要に応じてアプリを引き続き使用できます。

悪意のある IP/URL をブロックするには、Defender for Endpoint で次を使用できます。

  • Windows Defender SmartScreen for Microsoft ブラウザー
  • Microsoft 以外のブラウザーとブラウザー以外のプロセスのネットワーク保護

悪意のある IP/URL をブロックする既定の脅威インテリジェンス データ セットは、Microsoft によって管理されます。

"カスタム ネットワーク インジケーター" を構成することで、追加の悪意のある IP/URL をブロックできます。

サポートされるオペレーティング システム

開始する前に

IP、URL、またはドメインのインジケーターを作成する前に、次の前提条件を理解しておくことが重要です。

Microsoft Defenderウイルス対策のバージョン要件

Microsoft ブラウザーへの統合は、ブラウザーの SmartScreen 設定によって制御されます。 他のブラウザーとアプリケーションの場合、organizationには次が必要です。

ネットワーク保護の要件

URL/IP の許可とブロックには、Microsoft Defender for Endpoint コンポーネントの Network Protectionブロック モードで有効になっている必要があります。 ネットワーク保護と構成手順の詳細については、「 ネットワーク保護を有効にする」を参照してください。

カスタム ネットワーク インジケーターの要件

IP アドレスや URL のブロックを開始するには、Microsoft Defender ポータルで [カスタム ネットワーク インジケーター] 機能を有効にします。 この機能は 、「設定>Endpoints>General>Advanced 機能」にあります。 詳細については、「 高度な機能」を参照してください。

iOS でのインジケーターのサポートについては、「iOS でのMicrosoft Defender for Endpoint」を参照してください。

Android でのインジケーターのサポートについては、「Android でのMicrosoft Defender for Endpoint」を参照してください。

インジケーター リストの制限事項

インジケーター リストには外部 IP のみを追加できます。内部 IP に対してインジケーターを作成することはできません。

Microsoft Edge およびインターネット以外のエクスプローラー プロセス

Microsoft Edge およびインターネット エクスプローラー以外のプロセスの場合、Web 保護シナリオでは、検査と適用に Network Protection を使用します。

  • IP アドレスは、3 つのプロトコルすべて (TCP、HTTP、HTTPS (TLS) でサポートされています)
  • カスタム インジケーターでサポートされている IP アドレスは 1 つだけ (CIDR ブロックまたは IP 範囲なし)
  • HTTP URL (完全な URL パスを含む) は、任意のブラウザーまたはプロセスでブロックできます
  • HTTPS 完全修飾ドメイン名 (FQDN) は、Microsoft 以外のブラウザーでブロックできます (完全な URL パスを指定するインジケーターは Microsoft Edge でのみブロックできます)
  • Microsoft 以外のブラウザーで FQDN をブロックするには、これらのブラウザーで QUIC と暗号化されたクライアント Hello を無効にする必要があります
  • HTTP2 接続の結合を介して読み込まれた FQDN は、Microsoft Edge でのみブロックできます
  • 競合する URL インジケーター ポリシーがある場合は、長いパスが適用されます。 たとえば、URL インジケーター ポリシー https://support.microsoft.com/office は、URL インジケーター ポリシー https://support.microsoft.comよりも優先されます。

ネットワーク保護の実装

Microsoft Edge 以外のプロセスでは、ネットワーク保護は、TCP/IP ハンドシェイクの後に発生する TLS ハンドシェイクの内容を調べることによって、各 HTTPS 接続の完全修飾ドメイン名を決定します。 これには、HTTPS 接続で TCP/IP (UDP/QUIC ではなく) を使用し、ClientHello メッセージが暗号化されていないことが必要です。 Google Chrome で QUIC と Encrypted Client Hello を無効にするには、「 QuicAllowedEncryptedClientHelloEnabled」を参照してください。 Mozilla Firefox については、「 EncryptedClientHellonetwork.http.http3.enable を無効にする」を参照してください。

サイトへのアクセスを許可またはブロックするかどうかの決定は、 TCP/IP 経由の 3 方向ハンドシェイクと TLS ハンドシェイク が完了した後に行われます。 そのため、サイトがネットワーク保護によってブロックされている場合、サイトがブロックされていても、Microsoft Defender ポータルのNetworkConnectionEventsの下にアクションの種類のConnectionSuccessが表示されることがあります。 NetworkConnectionEvents は TCP 層から報告され、ネットワーク保護からは報告されません。 3 方向ハンドシェイクが完了すると、ネットワーク保護によってサイトへのアクセスが許可またはブロックされます。

その動作の例を次に示します。

  1. ユーザーがデバイス上の Web サイトにアクセスしようとするとします。 サイトは危険なドメインでホストされ、ネットワーク保護によってブロックする必要があります。

  2. TCP/IP ハンドシェイクが開始されます。 完了する前に、 NetworkConnectionEvents アクションがログに記録され、その ActionTypeConnectionSuccessとして一覧表示されます。 ただし、TCP/IP ハンドシェイク プロセスが完了するとすぐに、ネットワーク保護によってサイトへのアクセスがブロックされます。 このすべてがすぐに発生します。 同様のプロセスが SmartScreen Microsoft Defenderで発生します。ハンドシェイクが完了した後で、決定が行われ、サイトへのアクセスがブロックまたは許可されます。

  3. Microsoft Defender ポータルでは、アラートがアラート キューに一覧表示されます。 そのアラートの詳細には、 NetworkConnectionEventsAlertEventsの両方が含まれます。 ActionType がConnectionSuccessNetworkConnectionEvents項目がある場合でも、サイトがブロックされていることがわかります。

警告モード コントロール

警告モードを使用する場合は、次のコントロールを構成できます。

  • バイパス機能

    • Microsoft Edge の [許可] ボタン
    • トーストの [許可] ボタン (Microsoft 以外のブラウザー)
    • インジケーターの期間パラメーターをバイパスする
    • Microsoft ブラウザーと Microsoft 以外のブラウザー間で適用をバイパスする
  • リダイレクト URL

    • インジケーターのリダイレクト URL パラメーター
    • Microsoft Edge のリダイレクト URL
    • トーストのリダイレクト URL (Microsoft 以外のブラウザー)

詳細については、「Microsoft Defender for Endpointによって検出されたアプリを管理する」を参照してください。

インジケーター IP URL とドメイン ポリシーの競合処理順序

ドメイン/URL/IP アドレスのポリシー競合処理は、証明書のポリシー競合処理とは異なります。

同じインジケーターに複数の異なるアクションの種類が設定されている場合 (たとえば、アクションの種類が ブロック警告許可の Microsoft.com の 3 つのインジケーター)、これらのアクションの種類が有効になる順序は次のとおりです。

  1. 許可

  2. 警告する

  3. ブロック

"許可" は"warn" をオーバーライドします。これは、次のように "ブロック" をオーバーライドします: Allow>Warn>Block。 したがって、前の例では、 Microsoft.com が許可されます。

Defender for Cloud Appsインジケーター

organizationで Defender for Endpoint と Defender for Cloud Apps の統合が有効になっている場合、承認されていないすべてのクラウド アプリケーションのブロック インジケーターが Defender for Endpoint で作成されます。 アプリケーションがモニター モードの場合、アプリケーションに関連付けられている URL に対して警告インジケーター (バイパス可能ブロック) が作成されます。 許可インジケーターは、承認されたアプリケーションに対して自動的に作成されません。 Defender for Cloud Appsによって作成されたインジケーターは、前のセクションで説明したのと同じポリシー競合処理に従います。

ポリシーの優先順位

Microsoft Defender for Endpoint ポリシーは、ウイルス対策ポリシーよりも優先Microsoft Defender。 Defender for Endpoint が [Allow] に設定されているが、[ウイルス対策] が [Block] に設定されているMicrosoft Defender場合、結果はAllow

複数のアクティブなポリシーの優先順位

複数の異なる Web コンテンツ フィルター ポリシーを同じデバイスに適用すると、カテゴリごとにより制限の厳しいポリシーが適用されます。 次のような状況で問題が発生します。

  • ポリシー 1 はカテゴリ 1 と 2 をブロックし、残りの部分を監査します
  • ポリシー 2 はカテゴリ 3 と 4 をブロックし、残りの部分を監査します

その結果、カテゴリ 1 から 4 がすべてブロックされます。 このシナリオを次の図に示します。

監査モードに対する Web コンテンツ フィルタリング ポリシー ブロック モードの優先順位を示す図。

設定ページから IP、URL、またはドメインのインジケーターを作成する

  1. ナビゲーション ウィンドウで、 設定>Endpoints>Indicators ( [ルール] の下) を選択します。

  2. [ IP アドレス] タブまたは [URL/ドメイン] タブを選択 します。

  3. [ 項目の追加] を選択します

  4. 次の詳細を指定します。

    • インジケーター: エンティティの詳細を指定し、インジケーターの有効期限を定義します。
    • アクション: 実行するアクションを指定し、説明を指定します。
    • スコープ: インジケーターを適用する必要があるマシン グループを指定します。
  5. [ 概要 ] タブで詳細を確認し、[ 保存] を選択します。

重要

URL または IP アドレスがデバイスでブロックされるまでにポリシーが作成されてから最大 48 時間かかる場合があります。 ほとんどの場合、ブロックは 2 時間以内に有効になります。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。