Defender for Endpoint で高度な機能を構成する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

使用する Microsoft セキュリティ製品によっては、Defender for Endpoint を統合できる高度な機能がいくつか用意されている場合があります。

高度な機能を有効にする

  1. セキュリティ管理者またはグローバル管理者ロールが割り当てられているアカウントを使用してMicrosoft Defender XDRにログインします。

  2. ナビゲーション ウィンドウで、[設定] [エンドポイント] [高度な機能]> の順に>選択します。

  3. 構成する高度な機能を選択し、 設定を [オン ] と [ オフ] の間で切り替えます。

  4. [環境設定の保存] を選択します。

次の高度な機能を使用して、潜在的に悪意のあるファイルから保護を強化し、セキュリティ調査中により良い分析情報を得ることができます。

ライブ応答

適切なアクセス許可を持つユーザーがデバイスでライブ応答セッションを開始できるように、この機能を有効にします。

ロールの割り当ての詳細については、「ロールの 作成と管理」を参照してください。

サーバーのライブ応答

適切なアクセス許可を持つユーザーがサーバーでライブ応答セッションを開始できるように、この機能を有効にします。

ロールの割り当ての詳細については、「ロールの 作成と管理」を参照してください。

ライブ応答の符号なしスクリプトの実行

この機能を有効にすると、ライブ応答セッションで署名されていないスクリプトを実行できます。

常に PUA を修復する

望ましくない可能性のあるアプリケーション (PUA) は、コンピューターの動作が遅くなったり、予期しない広告が表示されたり、最悪の場合、予期しないソフトウェアや不要なソフトウェアをインストールしたりするソフトウェアのカテゴリです。

この機能をオンにすると、不要な可能性のあるアプリケーション (PUA) が、デバイスで PUA 保護が構成されていない場合でも、テナント内のすべてのデバイスで修復されます。 この機能のアクティブ化は、ユーザーが誤って不要なアプリケーションをデバイスにインストールするのを防ぐことができます。 オフにすると、修復はデバイスの構成に依存します。

スコープ付きデバイス グループ内への関連付けを制限する

この構成は、ローカル SOC 操作でアラートの関連付けを、アクセスできるデバイス グループのみに制限するシナリオに使用できます。 この設定をオンにすると、デバイス間グループが 1 つのインシデントと見なされなくなるアラートで構成されるインシデントが発生します。 ローカル SOC は、関連するデバイス グループのいずれかにアクセスできるため、インシデントに対してアクションを実行できます。 ただし、グローバル SOC では、1 つのインシデントではなく、デバイス グループごとに複数の異なるインシデントが表示されます。 この設定を有効にすることは、organization全体のインシデント相関関係の利点を上回る場合を除き、お勧めしません。

注:

  • この設定を変更すると、将来のアラートの相関関係にのみ影響します。

  • デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

ブロック モードで EDR を有効にする

ブロック モードのエンドポイント検出と応答 (EDR) は、ウイルス対策がパッシブ モードで実行されている場合でも、悪意のある成果物からの保護Microsoft Defender提供します。 オンにすると、ブロック モードの EDR は、デバイスで検出された悪意のあるアーティファクトまたは動作をブロックします。 ブロック モードの EDR は、侵害後に検出された悪意のある成果物を修復するためにバックグラウンドで機能します。

修復されたアラートを自動解決する

Windows 10 Version 1809以降に作成されたテナントの場合、自動分析結果の状態が "脅威が見つかりません" または "修復済み" であるアラートを解決するように、自動調査および修復機能が既定で構成されます。 アラートを自動解決したくない場合は、機能を手動でオフにする必要があります。

ヒント

そのバージョンより前に作成されたテナントの場合は、[ 高度な 機能] ページからこの機能を手動でオンにする必要があります。

注:

  • 自動解決アクションの結果は、デバイスで検出されたアクティブなアラートに基づくデバイス リスク レベルの計算に影響する可能性があります。
  • セキュリティ運用アナリストがアラートの状態を "進行中" または "解決済み" に手動で設定した場合、自動解決機能によって上書きされることはありません。

ファイルを許可またはブロックする

ブロックは、organizationが次の要件を満たしている場合にのみ使用できます。

  • Microsoft Defenderウイルス対策をアクティブなマルウェア対策ソリューションとして使用し、
  • クラウドベースの保護機能が有効になっている

この機能を使用すると、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。 ファイルをブロックすると、organization内のデバイスでファイルの読み取り、書き込み、または実行ができなくなります。

[ファイルの許可またはブロック] をオンにするには:

  1. ナビゲーション ウィンドウで、[設定>エンドポイント] [全般>] [高度な機能>] [ファイル>許可またはブロック] を選択します。

  2. 設定を [オン] と [オフ] の間で切り替えます。

    [エンドポイント] 画面

  3. ページの下部にある [ 設定の保存] を選択します。

この機能を有効にした後、 ファイル のプロファイル ページの [ インジケーターの追加 ] タブを使用してファイルをブロックできます。

重複する可能性のあるデバイス レコードを非表示にする

この機能を有効にすると、重複する可能性があるデバイス レコードを非表示にすることで、デバイスに関する最も正確な情報が確実に表示されるようになります。 重複するデバイス レコードが発生する理由はさまざまです。たとえば、Microsoft Defender for Endpointのデバイス検出機能によって、ネットワークがスキャンされ、既にオンボードされているか、最近オフボードされているデバイスが検出される場合があります。

この機能は、ホスト名と最後に表示された時刻に基づいて、重複する可能性のあるデバイスを特定します。 重複するデバイスは、コンピューター データのデバイス インベントリ、Microsoft Defender 脆弱性の管理 ページ、パブリック API など、ポータル内の複数のエクスペリエンスから非表示になり、最も正確なデバイス レコードが表示されます。 ただし、重複は引き続きグローバル検索、高度なハンティング、アラート、インシデント の各ページに表示されます。

この設定は既定でオンになり、テナント全体に適用されます。 重複する可能性のあるデバイス レコードを非表示にしたくない場合は、機能を手動でオフにする必要があります。

カスタム ネットワーク インジケーター

この機能をオンにすると、IP アドレス、ドメイン、または URL のインジケーターを作成できます。これにより、カスタム インジケーター リストに基づいて許可されるかブロックされるかが決まります。

この機能を使用するには、デバイスがバージョン 1709 以降Windows 10実行されているか、Windows 11されている必要があります。 また、ブロック モードでネットワーク保護を行い、マルウェア対策プラットフォームのバージョン 4.18.1906.3 以降の場合は 、「KB 4052623」を参照してください

詳細については、「インジケーターの 管理」を参照してください。

注:

ネットワーク保護は、Defender for Endpoint データ用に選択した場所の外部にある可能性がある場所で要求を処理する評判サービスを利用します。

改ざん防止

一部の種類のサイバー攻撃では、悪意のあるアクターは、コンピューター上のウイルス対策保護などのセキュリティ機能を無効にしようとします。 不適切なアクターは、セキュリティ機能を無効にして、データへのアクセスを容易にしたり、マルウェアをインストールしたり、データ、ID、デバイスを悪用したりします。 改ざん防止は基本的にウイルス対策Microsoft Defenderロックし、アプリや方法によってセキュリティ設定が変更されるのを防ぎます。

改ざん防止の構成方法など、詳細については、「改ざん防止 によるセキュリティ設定の保護」を参照してください。

ユーザーの詳細を表示する

この機能をオンにすると、Microsoft Entra IDに保存されているユーザーの詳細を確認できます。 詳細には、ユーザー アカウント エンティティを調査するときのユーザーの画像、名前、タイトル、部署の情報が含まれます。 ユーザー アカウント情報は、次のビューで確認できます。

  • アラート キュー
  • [デバイスの詳細] ページ

詳細については、「 ユーザー アカウントを調査する」を参照してください。

Skype for Business 統合

Skype for Business統合を有効にすると、Skype for Business、電子メール、または電話を使用してユーザーと通信できます。 このアクティブ化は、ユーザーと通信し、リスクを軽減する必要がある場合に便利です。

注:

デバイスがネットワークから分離されている場合は、Outlook と Skype の通信を有効にして、ユーザーがネットワークから切断されている間にユーザーとの通信を許可するポップアップが表示されます。 この設定は、デバイスが分離モードの場合に Skype と Outlook の通信に適用されます。

脅威インテリジェンス接続のOffice 365

重要

この設定は、Microsoft Defender for Office 365とMicrosoft Defender for Endpointが以前に異なるポータルにあった場合に使用されました。 Microsoft Defender XDRと呼ばれる統合ポータルにセキュリティ エクスペリエンスが収束した後、これらの設定は無関係であり、機能は関連付けられません。 コントロールがポータルから削除されるまで、コントロールの状態は無視しても問題ありません。

この機能は、Office 365 E5または脅威インテリジェンス アドオンのアクティブなサブスクリプションがある場合にのみ使用できます。 詳細については、「Office 365 E5製品」ページを参照してください。

この機能を使用すると、Microsoft Defender for Office 365のデータをMicrosoft Defender XDRに組み込み、Office 365メールボックスと Windows デバイス全体で包括的なセキュリティ調査を行うことができます。

注:

この機能を有効にするには、適切なライセンスが必要です。

Office 365脅威インテリジェンスでコンテキスト デバイス統合を受け取る場合は、セキュリティ & コンプライアンス ダッシュボードで Defender for Endpoint 設定を有効にする必要があります。 詳細については、「 脅威の調査と対応」を参照してください。

エンドポイント攻撃の通知

エンドポイント攻撃通知 を使用すると、緊急性とエンドポイント データへの影響に基づいて重要な脅威を積極的に検出できます。

メール、コラボレーション、ID、クラウド アプリケーション、エンドポイントにまたがる脅威など、Microsoft Defender XDRの全範囲にわたるプロアクティブハンティングについては、Microsoft Defenderエキスパートの詳細をご覧ください

Microsoft Defender for Cloud Apps

この設定を有効にすると、Defender for Endpoint 信号がMicrosoft Defender for Cloud Appsに転送され、クラウド アプリケーションの使用状況をより詳細に把握できます。 転送されたデータは、Defender for Cloud Apps データと同じ場所に格納され、処理されます。

注:

この機能は、Windows 10、バージョン 1709 (OS ビルド 16299.108 Enterprise Mobility + Security 5 KB4493441)、Windows 10、バージョン 1803 (OS ビルド 17134.704 KB4493464)、Windows 10 Version 1809(OS ビルド 17763.379 とKB4489899)、以降のWindows 10バージョン、またはWindows 11。

Microsoft Defender for Identity ポータルからMicrosoft Defender for Endpoint統合を有効にする

Microsoft Defender for Identityでコンテキスト デバイス統合を受け取るために、Microsoft Defender for Identity ポータルでこの機能を有効にする必要もあります。

  1. グローバル管理者またはセキュリティ管理者ロールを使用して、Microsoft Defender for Identity ポータルにサインインします。

  2. [ インスタンスの作成] を選択します

  3. [統合] 設定を [オン] に切り替え、[保存] を選択 します

両方のポータルで統合手順を完了すると、デバイスの詳細またはユーザーの詳細ページに関連するアラートが表示されます。

Web コンテンツ フィルタリング

不要なコンテンツを含む Web サイトへのアクセスをブロックし、すべてのドメインにわたる Web アクティビティを追跡します。 ブロックする Web コンテンツ カテゴリを指定するには、 Web コンテンツ フィルタリング ポリシーを作成しますMicrosoft Defender for Endpointセキュリティ ベースラインをデプロイするときに、ネットワーク保護がブロック モードになっていることを確認します。

エンドポイント アラートをMicrosoft Purview コンプライアンス ポータルと共有する

エンドポイントセキュリティアラートとそのトリアージステータスをMicrosoft Purview コンプライアンス ポータルに転送し、アラートを使用してインサイダーリスク管理ポリシーを強化し、内部リスクを修復してから損害を引き起こします。 転送されたデータは、Office 365 データと同じ場所に処理され、格納されます。

インサイダー リスク管理設定で セキュリティ ポリシー違反インジケーター を構成した後、Defender for Endpoint アラートは、該当するユーザーのインサイダー リスク管理と共有されます。

認証済みテレメトリ

認証されたテレメトリ を有効に して、ダッシュボードへのテレメトリのなりすましを防ぐことができます。

Microsoft Intune接続

Defender for Endpoint をMicrosoft Intuneと統合して、デバイスのリスクベースの条件付きアクセスを有効にすることができますこの機能を有効にすると、Defender for Endpoint デバイス情報を Intune と共有できるようになり、ポリシーの適用が強化されます。

重要

この機能を使用するには、Intune と Defender for Endpoint の両方で統合を有効にする必要があります。 特定の手順の詳細については、「 Defender for Endpoint で条件付きアクセスを構成する」を参照してください。

この機能は、次の前提条件がある場合にのみ使用できます。

条件付きアクセス ポリシー

Intune 統合を有効にすると、Intune によってクラシック条件付きアクセス (CA) ポリシーが自動的に作成されます。 このクラシック CA ポリシーは、Intune に状態レポートを設定するための前提条件です。 削除しないでください。

注:

Intune によって作成されるクラシック CA ポリシーは、エンドポイントの構成に使用される最新の 条件付きアクセス ポリシーとは異なります。

デバイス検出

余分なアプライアンスや面倒なプロセスの変更を必要とせずに、会社のネットワークに接続されている管理されていないデバイスを見つけるのに役立ちます。 オンボードデバイスを使用すると、ネットワーク内のアンマネージド デバイスを見つけ、脆弱性とリスクを評価できます。 詳細については、「 デバイスの検出」を参照してください。

注:

いつでもフィルタを適用して、管理対象外のデバイスをデバイス インベントリ リストから除外できます。 API クエリのオンボーディング ステータス列を使用して、管理されていないデバイスを除外することもできます。

プレビュー機能

Defender for Endpoint プレビュー リリースの新機能について説明します。 プレビュー エクスペリエンスを有効にして、今後の機能をお試しください。

機能が一般公開される前に、全体的なエクスペリエンスを向上させるためにフィードバックを提供できる、今後の機能にアクセスできます。

検疫済みファイルをダウンロードする

検疫されたファイルを安全で準拠した場所にバックアップして、検疫から直接ダウンロードできるようにします。 [ ファイルのダウンロード ] ボタンは常にファイル ページで使用できます。 この設定は既定でオンになっています。 要件の詳細を確認する

デバイスオンボード中の接続の合理化 (プレビュー)

この設定では、該当するオペレーティング システムの既定のオンボード パッケージが "合理化" に設定されます。

オンボード ページ内で標準オンボード パッケージを使用することもできますが、ドロップダウンで特別に選択する必要があります。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティとEngageします。