Microsoft Defender for Endpointウイルス対策とIntune統合

前提条件

サポートされるオペレーティング システム

• Windows
• macOS
• Android

Microsoft Defender ポータルでは、次の手順を使用して脅威検出を表示および管理できます。

1. https://security.microsoft.comとサインインのMicrosoft Defender ポータルにアクセスします。

   ランディング ページには、次の情報が含まれる [アクティブなマルウェアを持つデバイス] カードが表示されます。

   • テキストの表示: Intuneマネージド デバイスに適用されます。 複数のマルウェア検出を持つデバイスは、複数回カウントされる可能性があります。
   • 最終更新日時。
   • スキャンに従って、アクティブな部分とマルウェアが修復された部分を含むバー。

   詳細については、[ 詳細の表示 ] を選択できます。

2. 修復すると、次のテキストが表示されます。

   デバイスで検出されたマルウェアが正常に修復されました。

Microsoft Intuneで脅威検出を管理する

次の手順を使用して、Microsoft Intuneに登録されているデバイスの脅威検出を管理できます。

1. intune.microsoft.com とサインインのMicrosoft Intune管理センターに移動します。

2. ナビゲーション ウィンドウで、[ エンドポイント セキュリティ] を選択します。

3. [ 管理] で、[ ウイルス対策] を選択します。 [概要]、[異常なエンドポイント]、[アクティブなマルウェア] の各タブが表示されます。

4. 使用可能なタブの情報を確認し、必要に応じてアクションを実行します。

   たとえば、[ アクティブなマルウェア ] タブの下に一覧表示されているデバイスを選択できる場合は、指定されたアクションの一覧から 1 つのアクションを選択できます。

   • Restart
   • クイック スキャン
   • フル スキャン
   • 同期
   • 署名を更新する

FAQ

Microsoft Defender ポータルの > [アクティブなマルウェアを含むデバイス] > [マルウェア検出を含むデバイス] レポートで、最新の更新プログラムが現在発生しているのはなぜですか?

マルウェアが検出されたタイミングを確認するには、次の手順を実行します。

1. これはIntuneとの統合であるため、ポータルIntuneアクセスし、[ウイルス対策] を選択し、[アクティブなマルウェア] タブを選択します。

2. [エクスポート] を選択します。

3. デバイスで、[ダウンロード] に移動し、 Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip ファイルを抽出します。

4. CSV を開き、 LastStateChangeDateTime 列を見つけて、マルウェアが検出されたタイミングを確認します。

マルウェア検出レポートがあるデバイスで、デバイスで検出されたマルウェアに関する情報が表示されないのはなぜですか?

マルウェア名を表示するには、Intuneとの統合であるため、Intune ポータルにアクセスし、[ウイルス対策] を選択し、[アクティブなマルウェア] タブを選択すると、[マルウェア名] という名前の列が表示されます。

アクティブなマルウェアレポートを持つデバイスでアクティブなマルウェアの別の番号が表示されます。レポート>検出されたマルウェアを使用して表示される数値と比較すると、ウイルス対策>アクティブなマルウェアIntune >

[アクティブなマルウェアを含むデバイス] レポートは、過去 1 日 (24 時間以内) にアクティブだったデバイスに基づいており、過去 15 日以内にマルウェアが検出されました。

次の高度なハンティング クエリを使用します。

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

上部の検索バーでコンピューター名を検索し、同じ名前の 2 つのデバイスを取得しました。 レポートが参照している 2 つのデバイスのうちの 1 つがわからない場合

一意の DeviceID、タイトル、AlertID、修復プロセスなどの詳細については、 ここで 説明する高度なハンティング クエリを使用します。 識別したら、IT 管理者と協力して、デバイスに一意の名前が付けられていることを確認します。 デバイスが廃止された場合は、 タグを使用して使用を停止します。

Intuneとアクティブなマルウェアを含むデバイスレポートにマルウェア検出が表示されますが、MDEアラート キューまたはインシデント キューに表示されません

Cloud Protection は、ファイアウォールまたはプロキシを介して許可されていません。

次の手順を実行して、ネットワークがMicrosoft Defenderウイルス対策クラウド サービスと通信できることを確認します。

1. 管理者特権のコマンド プロンプト ([ 管理者として実行] を選択して開いたコマンド プロンプト ウィンドウ) を開きます。 例:

   1. [スタート] メニューを開き、「cmd」と入力します。
   2. コマンド プロンプトの結果を右クリックし、[管理者として実行] を選択します。

2. 管理者特権のコマンド プロンプトで、次のコマンドを実行します。

   ヒント

   最初のコマンドは、ディレクトリを %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> の最新バージョンの <antimalware プラットフォーム バージョン>に変更します。 そのパスが存在しない場合は、 %ProgramFiles%\Windows Defenderに移動します。

   (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
   
   MpCmdRun.exe -ValidateMapsConnection
   

MpCmdRun の詳細については、「MpCmdRun コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を構成および管理する」を参照してください。

180 日以上非アクティブであったが、"アクティブなマルウェアを持つデバイス" のレポートに表示されているデバイスが表示されます。 デバイスが "デバイス インベントリ" に表示されない、オンにできない、Microsoft Defender for Endpointからオフボードできない

デバイスはIntuneから廃止されていません。

関連記事

• Microsoft Defender for Endpointのアラート
• Microsoft Defender XDR内のアラート キュー