脆弱なアプリケーションをブロックする

  • [アーティクル]

適用対象:

注:

この機能を使用するには、スタンドアロンMicrosoft Defender 脆弱性の管理、または既に Microsoft Defender for Endpoint プラン 2 の顧客である場合は、Defender 脆弱性管理アドオンが必要です。

脆弱性の修復には時間がかかり、IT チームの責任とリソースに依存する可能性があります。 セキュリティ管理者は、修復要求が完了するまで、現在知られているすべての脆弱なバージョンのアプリケーションをブロックする即時アクションを実行することで、脆弱性のリスクを一時的に軽減できます。 ブロック オプションを使用すると、IT チームは、その間に脆弱性が悪用されることを心配することなく、セキュリティ管理者がアプリケーションにパッチを適用する時間を与えます。

セキュリティに関する推奨事項によって推奨される修復手順を実行しながら、適切なアクセス許可を持つセキュリティ管理者は軽減アクションを実行し、脆弱なバージョンのアプリケーションをブロックできます。 侵害のファイル インジケーター (IOC) は、そのアプリケーションの脆弱なバージョンに属する実行可能ファイルごとに作成されます。 Microsoft Defenderウイルス対策は、指定したスコープ内のデバイスにブロックを適用します。

ヒント

Microsoft Defender 脆弱性の管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。

軽減アクションをブロックまたは警告する

ブロック アクションは、organizationにインストールされているすべての脆弱なバージョンのアプリケーションの実行をブロックすることを目的としています。 たとえば、アクティブなゼロデイの脆弱性がある場合は、回避策のオプションを決定するときに、影響を受けるソフトウェアの実行をユーザーにブロックすることができます。

警告アクションは、脆弱なバージョンのアプリケーションを開いたときにユーザーに警告を送信することを目的としています。 ユーザーは、警告をバイパスし、後続の起動のためにアプリケーションにアクセスすることを選択できます。

どちらのアクションでも、ユーザーに表示されるメッセージをカスタマイズできます。 たとえば、最新バージョンのインストールを推奨できます。 さらに、ユーザーが通知を選択したときに移動するカスタム URL を指定することもできます。 ユーザーがカスタム URL に移動するには、トースト通知の本文を選択する必要があることに注意してください。 これは、organizationのアプリケーション管理に固有の追加の詳細を提供するために使用できます。

注:

ブロックアクションと警告アクションは通常、数分以内に適用されますが、最大で 3 時間かかることがあります。

最小要件

  • Microsoft Defenderウイルス対策 (アクティブ モード): ファイル実行イベントとブロックの検出では、Microsoft Defenderウイルス対策をアクティブ モードで有効にする必要があります。 設計上、ブロック モードのパッシブ モードと EDR は、ファイルの実行に基づいて検出およびブロックできません。 詳細については、「Microsoft Defenderウイルス対策のデプロイ」を参照してください。
  • クラウド配信保護 (有効): 詳細については、「 クラウドベースの保護を管理する」を参照してください。
  • [ファイルの許可またはブロック] (オン):[設定] [エンドポイント] >[高度な機能>] [ファイルの>許可またはブロック] に移動します。詳細については、「高度な機能」を参照してください。

バージョン要件

  • マルウェア対策クライアントのバージョンは 4.18.1901.x 以降である必要があります。
  • エンジンのバージョンは 1.1.16200.x 以降である必要があります。
  • Windows 10 デバイスバージョン 1809 以降でサポートされ、最新の Windows 更新プログラムがインストールされています。

アクセス許可

  • ロールベースのアクセス制御 (RBAC) を使用する場合は、脅威と脆弱性の管理 - アプリケーション処理のアクセス許可が割り当てられている必要があります。
  • RBAC を有効にしていない場合は、セキュリティ管理者またはグローバル管理者のいずれかのMicrosoft Entraロールが割り当てられている必要があります。アクセス許可の詳細については、基本的なアクセス許可に関するページを参照してください。

脆弱なアプリケーションをブロックする方法

  1. Microsoft Defender ポータルの [脆弱性管理>の推奨事項] に移動します。

  2. セキュリティに関する推奨事項を選択すると、詳細が表示されたポップアップが表示されます。

  3. [ 修復の要求] を選択します

  4. 修復と軽減策をすべてのデバイス グループに適用するか、少数だけに適用するかを選択します。

  5. [修復要求] ページで 修復 オプションを選択します。 修復オプションは、ソフトウェアの更新、ソフトウェアのアンインストール、および注意が必要です。

  6. [修復期限] を選択し、[次へ] を選択します。

  7. [ 軽減策アクション] で、[ ブロック ] または [警告] を選択 します。 軽減アクションを送信すると、すぐに適用されます。

    軽減策アクション

  8. 行った選択内容と 送信要求を確認します。 最後のページで、修復ページに直接移動して修復アクティビティの進行状況を表示し、ブロックされているアプリケーションの一覧を表示できます。

重要

使用可能なデータに基づいて、ブロック アクションは、Microsoft Defenderウイルス対策があるorganization内のエンドポイントに対して有効になります。 Microsoft Defender for Endpointは、該当する脆弱なアプリケーションまたはバージョンの実行をブロックする最善の努力をします。

別のバージョンのアプリケーションで追加の脆弱性が見つかった場合は、アプリケーションの更新を求める新しいセキュリティ推奨事項が表示され、この異なるバージョンをブロックすることもできます。

ブロックがサポートされていない場合

修復の要求中に軽減策オプションが表示されない場合は、アプリケーションをブロックする機能が現在サポートされていないためです。 軽減アクションを含まない推奨事項は次のとおりです。

  • Microsoft アプリケーション
  • オペレーティング システムに関連する推奨事項
  • macOS と Linux 用のアプリに関連する推奨事項
  • Microsoft が十分な情報を持っていないアプリや、ブロックする信頼性の高いアプリ
  • Microsoft Store アプリは、Microsoft によって署名されているためブロックできません

アプリケーションをブロックしようとして機能しない場合は、最大インジケーター容量に達している可能性があります。 その場合は、古いインジケーターを削除できます 。インジケーターの詳細については、こちらをご覧ください

修復アクティビティを表示する

要求を送信したら、[ 脆弱性管理>の修復>アクティビティ ] に移動して、新しく作成された修復アクティビティを確認します。

軽減策の種類でフィルター処理する: ブロックまたは警告アクションに関連するすべてのアクティビティを表示するには、[ブロック] または [警告] を選択します。

これはアクティビティ ログであり、アプリケーションの現在のブロック状態ではありません。 関連するアクティビティを選択すると、修復の説明、軽減策の説明、デバイスの修復状態などの詳細が表示されたポップアップ パネルが表示されます。

修復と軽減策の詳細

ブロックされたアプリケーションを表示する

[ブロックされたアプリケーションの修復>] タブに移動して、ブロックされたアプリケーションの一覧を見つけます。

ブロックされたアプリケーション

ブロックされたアプリケーションを選択して、脆弱性の数、悪用が利用可能かどうか、ブロックされたバージョン、修復アクティビティの詳細が表示されるポップアップを表示します。

[インジケーター] ページでブロックされているバージョンの詳細を表示するオプションを選択すると、[設定エンドポイント>インジケーター] > ページに移動し、ファイル ハッシュと応答アクションを表示できます。

注:

プログラムによるインジケーター クエリでインジケーター API をワークフローの一部として使用する場合は、ブロック アクションによって追加の結果が得られる点に注意してください。

現在、警告ポリシーに関連するいくつかの検出は、Microsoft Defender XDRやMicrosoft Intuneでアクティブなマルウェアとして表示される可能性があります。 この動作は、今後のリリースで修正される予定です。

[ソフトウェアのブロックを解除する] または [ソフトウェアを開く] ページを開くこともできます。

ブロックされたアプリケーションの詳細

アプリケーションのブロックを解除する

ブロックされたアプリケーションを選択して、ポップアップで [ソフトウェアのブロックを解除 ] オプションを表示します。

アプリケーションのブロックを解除したら、ページを更新して、一覧から削除されたことを確認します。 アプリケーションのブロックが解除され、ユーザーが再度アクセスできるようになるには、最大で 3 時間かかることがあります。

ブロックされたアプリケーションのユーザー エクスペリエンス

ユーザーがブロックされたアプリケーションにアクセスしようとすると、アプリケーションが自分のorganizationによって行われたことを知らせるメッセージが表示されます。 このメッセージはカスタマイズ可能です。

警告軽減オプションが適用されたアプリケーションの場合、ユーザーは、アプリケーションがorganizationによってブロックされたことを知らせるメッセージを受け取ります。 ユーザーには、[許可] を選択して、後続の起動のブロックをバイパスするオプションがあります。 この許可は一時的なもののみで、しばらくするとアプリケーションは再度ブロックされます。

注:

organizationで DisableLocalAdminMerge グループ ポリシーがデプロイされている場合は、アプリケーションを許可しても有効にならないインスタンスが発生する可能性があります。 この動作は、今後のリリースで修正される予定です。

エンド ユーザーによるブロックされたアプリケーションの更新

よく寄せられる質問は、エンド ユーザーがブロックされたアプリケーションをどのように更新するかです。 ブロックは、実行可能ファイルをブロックすることによって適用されます。 Firefox などの一部のアプリケーションは、この機能によってブロックされない別の更新実行可能ファイルに依存しています。 他のケースでは、アプリケーションでメイン実行可能ファイルを更新する必要がある場合は、(エンド ユーザーがブロックをバイパスできるように) 警告モードでブロックを実装するか、エンド ユーザーがアプリケーションを削除して (重要な情報がクライアントに格納されていない場合)、アプリケーションを再インストールすることをお勧めします。