IP および URL/ドメインのインジケーターを作成

適用対象:

ヒント

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

概要

IP と URL またはドメインのインジケーターを作成することで、独自の脅威インテリジェンスに基づいて IP、URL、またはドメインを許可またはブロックできるようになりました。 危険なアプリを開いた場合は、プロンプトでユーザーに警告することもできます。 プロンプトはアプリの使用を停止しませんが、アプリの適切な使用方法を説明するカスタム メッセージと会社ページへのリンクを指定できます。 ユーザーは引き続き警告をバイパスし、必要に応じてアプリを引き続き使用できます。

悪意のある IP/URL (Microsoftによって決定される) をブロックするには、Defender for Endpoint で次を使用できます。

  • Microsoft ブラウザー用の smartScreen のWindows Defender
  • Microsoft以外のブラウザーのネットワーク保護、またはブラウザーの外部で行われた呼び出し

悪意のある IP/URL をブロックする脅威インテリジェンス データ セットは、Microsoftによって管理されます。

特定のグループが他のグループよりも多かれ少なかれ危険にさらされている場合は、設定ページまたはマシン グループによって悪意のある IP/URL をブロックできます。

注:

IP アドレスのクラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。

はじめに

IPS、URL、またはドメインのインジケーターを作成する前に、次の前提条件を理解しておくことが重要です。

ネットワーク保護の要件

URL/IP の許可とブロックには、Microsoft Defender for Endpoint コンポーネントの Network Protection がブロック モードで有効になっている必要があります。 ネットワーク保護と構成手順の詳細については、「 ネットワーク保護を有効にする」を参照してください。

サポートされるオペレーティング システム

  • Windows 10バージョン 1709 以降
  • Windows 11
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2019
  • Windows Server 2022
  • Android および iOS のデバイス

R2 要件のWindows Server 2016とWindows Server 2012

Windows Server 2016と Windows Server 2012 R2 は、「Windows サーバーのオンボード」の手順を使用してオンボードする必要があります。

Microsoft Defenderウイルス対策のバージョン要件

マルウェア対策クライアントのバージョンは 4.18.1906.x 以降である必要があります。

カスタム ネットワーク インジケーターの要件

Microsoft 365 Defender>Settingsの高度な機能カスタム ネットワーク インジケーターが>有効になっていることを確認します。 詳細については、「 高度な機能」を参照してください。

iOS でのインジケーターのサポートについては、「iOS でのMicrosoft Defender for Endpoint」を参照してください。

Android でのインジケーターのサポートについては、「Android でのMicrosoft Defender for Endpoint」を参照してください。

IoC インジケーター リストの制限事項

インジケーター リストに追加できるのは外部 IP だけです。 内部 IP に対してインジケーターを作成することはできません。 Web 保護のシナリオでは、Microsoft Edge の組み込み機能を使用することをお勧めします。 Microsoft Edge では、ネットワーク保護を利用してネットワーク トラフィックを検査し、TCP、HTTP、HTTPS (TLS) のブロックを許可します。

非Microsoft Edge および Internet Explorer プロセス

Microsoft Edge および Internet Explorer 以外のプロセスの場合、Web 保護シナリオでは、検査と適用のために Network Protection を利用します。

  • IP は、3 つのプロトコルすべて (TCP、HTTP、HTTPS (TLS) でサポートされています)
  • カスタム インジケーターでサポートされている IP アドレスは 1 つだけ (CIDR ブロックまたは IP 範囲なし)
  • 暗号化された URL (フル パス) は、ファースト パーティのブラウザー (Internet Explorer、Edge) でのみブロックできます
  • 暗号化された URL (FQDN のみ) は、サード パーティのブラウザー (Internet Explorer、Edge 以外) でブロックできます
  • 完全な URL パス ブロックは、暗号化されていない URL に適用できます
  • 競合する URL インジケーター ポリシーがある場合は、長いパスが適用されます。 たとえば、URL インジケーター ポリシーは、URL インジケーター ポリシー https://support.microsoft.com/officehttps://support.microsoft.comよりも優先されます。 アクションが実行されてから URL と IP がブロックされるまで、最大 2 時間の待機時間 (通常は短い) が発生する可能性があります。

警告モード コントロール

警告モードを使用する場合は、次のコントロールを構成できます。

  • バイパス機能

    • Edge の [許可] ボタン
    • トーストの [許可] ボタン (Microsoft以外のブラウザー)
    • インジケーターの期間パラメーターをバイパスする
    • MicrosoftブラウザーとMicrosoft以外のブラウザーで適用をバイパスする
  • リダイレクト URL

    • インジケーターのリダイレクト URL パラメーター
    • Edge のリダイレクト URL
    • トーストのリダイレクト URL (Microsoft 以外のブラウザー)

詳細については、「Microsoft Defender for Endpointによって検出されたアプリを管理する」を参照してください。

IoC IP URL とドメイン ポリシーの競合処理順序

ドメイン/URL/IP アドレスのポリシー競合処理は、証明書のポリシー競合処理とは異なります。

同じインジケーターに複数の異なるアクションの種類が設定されていた場合 (たとえば、ブロック警告許可、Microsoft.com に設定されたアクションの種類)、これらのアクションの種類が有効になる順序は次のとおりです。

  1. 許可
  2. 警告
  3. ブロック

オーバーライド許可すると、ブロックをオーバーライドする警告: 警告>ブロックを許可>します。 したがって、上記の例では、Microsoft.com が許可されます。

ポリシーの競合処理は、次の順序に従います

  • MDCA は、すべてのユーザーに対して承認されていないインジケーターを作成しますが、URL は特定のデバイス グループに対して許可され、特定のデバイス グループは URL へのアクセスがブロックされています。
  1. IP、URL、ドメインが許可されている場合
  • IP、URL、ドメインが許可されていない場合
  • IP、URL、ドメインが許可されている場合
  1. IP、URL、ドメインが許可されていない場合
  2. IP、URL、ドメインが許可されている場合

脅威と脆弱性管理のブロック脆弱なアプリケーション機能は、ファイル IoC を適用に使用し、上記の競合処理順序に従います。

適用の種類とターゲットが同じファイル IoC ポリシーが競合している場合は、より安全なポリシーが適用されます。

ポリシーの優先順位

Microsoft Defender for Endpoint ポリシーは、ウイルス対策ポリシーよりも優先Microsoft Defender。 Defender for Endpoint が [許可] に設定されているが、[ウイルス対策] が [ブロック] に設定Microsoft Defender場合、ポリシーは既定で [許可] に設定されます。

複数のアクティブなポリシーの優先順位

同じデバイスに複数の異なる Web コンテンツ フィルター ポリシーを適用すると、カテゴリごとにより制限の厳しいポリシーが適用されます。 次のような状況で問題が発生します。

  • ポリシー 1 はカテゴリ 1 と 2 をブロックし、残りの部分を監査します
  • ポリシー 2 はカテゴリ 3 と 4 をブロックし、残りの部分を監査します

その結果、カテゴリ 1 から 4 がすべてブロックされます。 これは次の図に示されています。

監査モードに対する Web コンテンツ フィルタリング ポリシー ブロック モードの優先順位を示す図。

設定ページから IP、URL、またはドメインのインジケーターを作成する

  1. ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>インジケーター ] ( [ルール] の下) を選択します。

  2. [ IP アドレス] タブまたは [URL/ドメイン] タブを選択 します。

  3. [ 項目の追加] を選択します

  4. 次の詳細を指定します。

    • インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。
    • [アクション] - 実行するアクションを指定し、説明を指定します。
    • スコープ - マシン グループのスコープを定義します。
  5. [ 概要 ] タブで詳細を確認し、[ 保存] を選択します。