ブロック モードのエンドポイントでの検出と対応 (EDR)

適用対象:

プラットフォーム

  • Windows

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ブロック モードの EDR とは

ブロック モードのエンドポイント検出と応答 (EDR) は、Microsoft Defender Antivirus(MDAV) がプライマリウイルス対策製品ではなくパッシブ モードで実行されている場合に、悪意のあるアーティファクトからの保護を強化します。 ブロック モードの EDR は、EDR 機能によって検出された悪意のあるアーティファクトを修復するためにバックグラウンドで機能します。 このような成果物は、Microsoft 以外のプライマリウイルス対策製品によって見逃されている可能性があります。 ブロック モードの EDR を使用すると、Microsoft Defenderウイルス対策は違反後の動作 EDR 検出に対してアクションを実行できます。 「よく寄せられる質問」セクションの「Microsoft Defenderウイルス対策がある場合は、ブロック モードで EDR を有効にする必要がありますか?」セクションを参照してください。

重要

ブロック モードの EDR では、Microsoft Defenderウイルス対策リアルタイム保護が有効になっている場合に使用可能なすべての保護が提供されるわけではありません。 次の例のように、Microsoft Defenderウイルス対策に依存してアクティブなウイルス対策ソリューションに依存する一部の機能は機能しません。

Microsoft 以外のウイルス対策ソリューションには、これらの機能が含まれていることが予想されます。

ブロック モードの EDR は、 脅威 & の脆弱性管理機能 と統合されています。 組織のセキュリティ チームは、まだ有効になっていない場合は、ブロック モードで EDR を有効にするための セキュリティに関する推奨事項 を取得します。 この推奨事項は、主にアクティブな Microsoft 以外のウイルス対策ソリューション (パッシブ モードでMicrosoft Defenderウイルス対策) を使用するデバイスに対するものです。 Microsoft Defenderウイルス対策がデバイスの主なウイルス対策ソリューションである場合、ブロック モードで EDR を有効にすることにはほとんど利点はありません。

ブロック モードで EDR を有効にするための推奨事項

ヒント

最適な保護を得るには、必ずMicrosoft Defender for Endpointベースラインをデプロイしてください。

このビデオでは、ブロック モードでエンドポイントの検出と応答 (EDR) を有効にし、違反前から違反後までの各段階で動作ブロックと包含を有効にする理由と方法について説明します。

何かが検出されるとどうなりますか?

ブロック モードの EDR がオンになっていて、悪意のあるアーティファクトが検出されると、Defender for Endpoint はそのアーティファクトを修復します。 セキュリティ運用チームは、アクション センターで検出状態がブロックまたは禁止と表示され、完了したアクションとして一覧表示されます。 次の図は、ブロック モードで EDR を介して検出され修復された不要なソフトウェアのインスタンスを示しています。

ブロック モードでの EDR による検出

ブロック モードで EDR を有効にする

重要

プラットフォーム バージョン 4.18.2202.X 以降では、Intune CSP を使用して特定のデバイス グループをターゲットにするようにブロック モードで EDR を設定できるようになりました。 Microsoft 365 Defender ポータルでは、引き続きブロック モードのテナント全体で EDR を設定できます。 ブロック モードの EDR は、主にパッシブ モードでMicrosoft Defenderウイルス対策を実行しているデバイスに推奨されます (Microsoft 以外のウイルス対策ソリューションがデバイスにインストールされ、アクティブになっています)。

ヒント

ブロック モードで EDR を有効にする前に 、要件 が満たされていることを確認します。

注:

デバイス グループの作成は、Defender for Endpoint プラン 1 およびプラン 2 でサポートされています。

セキュリティ ポータル

  1. Microsoft 365 Defender ポータル (https://security.microsoft.com/) に移動してサインインします。
  2. [Settings Endpoints General Advanced features ]\(設定>エンドポイントの>一般的>な高度な機能\) を選択します。
  3. 下にスクロールし、 ブロック モードで EDR を有効にします

Intune

Intuneでカスタム ポリシーを作成するには、「Intuneを介して CSP をターゲットにするOMA-URIsをデプロイする」とオンプレミスとの比較に関するページを参照してください

ブロック モードで EDR に使用される Defender CSP の詳細については、 Defender CSP の「Configuration/PassiveRemediation」を参照してください。

ブロック モードでの EDR の要件

次の表に、ブロック モードでの EDR の要件を示します。

要件 詳細
アクセス許可 Azure Active Directory にグローバル管理者ロールまたはセキュリティ管理者ロールが割り当てられている必要があります。 詳細については、「 基本的なアクセス許可」を参照してください。
オペレーティング システム デバイスは、次のいずれかのバージョンの Windows を実行している必要があります。
Microsoft Defender for Endpoint デバイスは Defender for Endpoint にオンボードする必要があります。 次の記事をご覧ください。
- Microsoft Defender for Endpointの最小要件
- デバイスのオンボードとMicrosoft Defender for Endpoint機能の構成
- Defender for Endpoint サービスへの Windows サーバーのオンボード
- 最新の統合ソリューションの新しいWindows Server 2012 R2 および 2016 機能 (プレビュー)
Microsoft Defender ウイルス対策 デバイスにはMicrosoft Defenderウイルス対策がインストールされ、アクティブ モードまたはパッシブ モードで実行されている必要があります。 ウイルス対策Microsoft Defenderアクティブモードまたはパッシブ モードであることを確認します。
クラウドによる保護 Microsoft Defender ウイルス対策は、クラウド配信の保護が有効になるように構成する必要があります。
Microsoft Defenderウイルス対策プラットフォーム デバイスは最新の状態である必要があります。 PowerShell を使用して確認するには、管理者として Get-MpComputerStatus コマンドレットを実行します。 AMProductVersion 行には、4.18.2001.10 以降が表示されます。

詳細については、「Microsoft Defender ウイルス対策の更新プログラムの管理とベースラインの適用」を参照してください。

Microsoft Defenderウイルス対策エンジン デバイスは最新の状態である必要があります。 PowerShell を使用して確認するには、管理者として Get-MpComputerStatus コマンドレットを実行します。 AMEngineVersion 行には、1.1.16700.2 以降が表示されます。

詳細については、「Microsoft Defender ウイルス対策の更新プログラムの管理とベースラインの適用」を参照してください。

(1) Windows Server 2016および Windows Server 2012 R2 で EDR がブロック モードでサポートされているかを参照してください。

重要

最適な保護値を取得するには、ウイルス対策ソリューションが定期的な更新プログラムと重要な機能を受信するように構成されていること、および 除外が構成されていることを確認します。 ブロック モードの EDR では、Microsoft Defenderウイルス対策に対して定義されている除外は尊重されますが、Microsoft Defender for Endpointに対して定義されたインジケーターは対象としません。

よく寄せられる質問

ブロック モードで EDR の除外を指定できますか?

誤検知を受け取った場合は、Microsoft セキュリティ インテリジェンス送信サイトで分析用にファイルを送信できます。

Microsoft Defenderウイルス対策の除外を定義することもできます。 「Microsoft Defender ウイルス対策のスキャンの除外を構成および検証する」を参照してください。

デバイスでMicrosoft Defenderウイルス対策を実行している場合、ブロック モードで EDR を有効にする必要がありますか?

ブロック モードでの EDR の主な目的は、Microsoft 以外のウイルス対策製品によって見逃された違反後の検出を修復することです。 Microsoft Defender ウイルス対策がアクティブ モードの場合、ブロック モードで EDR を有効にすることには最小限の利点があります。これは、検出を最初にキャッチして修復するリアルタイム保護が必要であるためです。 ウイルス対策のMicrosoft Defenderがパッシブ モードで実行されているエンドポイントでは、ブロック モードで EDR を有効にすることをお勧めします。 EDR 検出は、 PUA 保護 またはブロック モードでの 自動調査 & 修復機能 によって自動的に修復できます。

ブロック モードの EDR は、ユーザーのウイルス対策保護に影響しますか?

ブロック モードの EDR は、ユーザーのデバイスで実行されているサードパーティのウイルス対策保護には影響しません。 ブロック モードの EDR は、プライマリウイルス対策ソリューションが何かを見逃した場合、または違反後の検出がある場合に機能します。 ブロック モードの EDR は、パッシブ モードのMicrosoft Defender ウイルス対策と同様に機能します。ただし、ブロック モードの EDR では、検出された悪意のあるアーティファクトや動作もブロックおよび修復されます。

Microsoft Defenderウイルス対策を最新の状態に保つ必要があるのはなぜですか?

Microsoft Defenderウイルス対策は悪意のあるアイテムを検出して修復するため、最新の状態に保つことが重要です。 ブロック モードの EDR を有効にするには、最新のデバイスラーニング モデル、動作検出、ヒューリスティックを使用します。 Defender for Endpoint スタックの機能は、統合された方法で機能します。 最適な保護値を取得するには、Microsoft Defenderウイルス対策を最新の状態に保つ必要があります。 Microsoft Defender ウイルス対策の更新の管理を行い、ベースラインを適用する方法を参照してください。

クラウド保護 (MAPS) が必要な理由

デバイスで機能を有効にするには、クラウド保護が必要です。 クラウド保護により 、Defender for Endpoint は、幅広さと深いセキュリティ インテリジェンスに基づいて、最新かつ最大の保護を、行動学習モデルとデバイスラーニング モデルと共に提供できます。

アクティブ モードとパッシブ モードの違いは何ですか?

Windows 10、Windows 11、Windows Server、バージョン 1803 以降、Windows Server 2019、または Windows Server 2022 を実行しているエンドポイントの場合、Microsoft Defenderウイルス対策がアクティブ モードの場合、デバイスのプライマリ ウイルス対策として使用されます。 パッシブ モードで実行している場合、Microsoft Defenderウイルス対策はプライマリウイルス対策製品ではありません。 この場合、脅威はリアルタイムでMicrosoft Defenderウイルス対策によって修復されません。

注:

Microsoft Defender ウイルス対策は、デバイスがMicrosoft Defender for Endpointにオンボードされている場合にのみパッシブ モードで実行できます。

詳細については、「Microsoft Defender ウイルス対策の互換性」を参照してください。

ウイルス対策がアクティブモードまたはパッシブ モードMicrosoft Defender確認操作方法。

Microsoft Defenderウイルス対策がアクティブ モードまたはパッシブ モードで実行されているかどうかを確認するには、Windows を実行しているデバイスでコマンド プロンプトまたは PowerShell を使用します。

Method プロシージャ
PowerShell 1. [スタート] メニューを選択し、入力PowerShellを開始し、結果のWindows PowerShellを開きます。

2. 「. 」と入力します Get-MpComputerStatus

3. 結果の一覧の AMRunningMode 行で、次のいずれかの値を探します。
- Normal
- Passive Mode

詳細については、「 Get-MpComputerStatus」を参照してください。
コマンド プロンプト
  1. [スタート] メニューを選択し、入力 Command Promptを開始し、結果で Windows コマンド プロンプトを開きます。
  2. 種類 sc query windefend
  3. 結果の一覧の STATE 行で、サービスが実行されていることを確認します。

ブロック モードの EDR がパッシブ モードでMicrosoft Defenderウイルス対策で有効になっていることを確認操作方法。

PowerShell を使用すると、パッシブ モードで実行されているMicrosoft Defenderウイルス対策を使用して、ブロック モードの EDR が有効になっていることを確認できます。

  1. [スタート] メニューを選択し、入力PowerShellを開始し、結果のWindows PowerShellを開きます。

  2. 種類 Get-MPComputerStatus|select AMRunningMode

  3. 結果 EDR Block Modeが表示されていることを確認します。

    ヒント

    Microsoft Defenderウイルス対策がアクティブ モードの場合はNormalEDR Block Mode、. 詳細については、「 Get-MpComputerStatus」を参照してください。

Windows Server 2016および Windows Server 2012 R2 では、ブロック モードの EDR はサポートされていますか?

Microsoft Defender ウイルス対策がアクティブ モードまたはパッシブ モードで実行されている場合、ブロック モードの EDR は、次のバージョンの Windows でサポートされます。

Windows Server 2016およびWindows Server 2012 R2 用の新しい統合クライアント ソリューションを使用すると、パッシブ モードまたはアクティブ モードでブロック モードで EDR を実行できます。

注:

この機能を機能させるには、「Windows サーバーのオンボード」の手順に従って、Windows Server 2016とWindows Server 2012 R2 をオンボードする必要があります。

ブロック モードの EDR を無効にするにはどのくらいの時間がかかりますか?

ブロック モードで EDR を無効にすることを選択した場合、システムがこの機能を無効にするには最大で 30 分かかることがあります。

関連項目