高度な機能を構成する
[設定]/[全般] 領域の [高度な機能] ページには、次のような自動化関連の設定があります。
[全般設定] 領域の [高度な機能] 領域には、製品内の機能のオン/オフ スイッチが多数用意されています。 自動化に重点を置いた設定を次に示します。
| 機能 | 説明 |
|---|---|
| Automated Investigation (自動調査) | 調査と応答の自動化機能を有効にします。 |
| Enable EDR in block mode (ブロック モードで EDR を有効にする) | オンになっている場合、Microsoft Defender for Endpoint では、侵害後のエンドポイント検出および応答 (EDR) 機能によって監視される悪意のあるアーティファクトや動作をブロックすることによって、動作のブロックおよび封じ込めの機能を使用します。 この機能は、Microsoft Defender for Endpoint が検出、アラートの生成、およびインシデントの関連付けを実行する方法を変更しません。 |
| Automatically resolve alerts (アラートを自動的に解決する) | 自動調査で脅威が検出されなかった場合、または悪意のあるすべてのアーティファクトが正常に修復された場合にアラートを解決します。 |
| Allow or block file (ファイルの許可またはブロック) | Windows Defender ウイルス対策が有効になっていて、組織でクラウド ベースの保護機能が有効になっていることを確認して、ファイルの許可またはブロックの機能を使用できるようにします。 |
Automated Investigation (自動調査)
この機能を有効にすると、サービスの調査と修復の自動化された機能を活用できます。
Autoresolve remediated alerts (修復済みアラートの自動解決)
Windows 10 Version 1809 以降で作成されたテナントの場合、自動化された調査と修復の機能が既定で構成され、自動分析の結果の状態が "脅威は見つかりませんでした" または "修復済み" になっているアラートは解決されます。 アラートを自動解決しない場合は、この機能を手動でオフにする必要があります。
自動解決アクションの結果は、デバイスで検出されるアクティブなアラートに基づく、デバイスのリスク レベルの計算に影響を与える可能性があります。 セキュリティ運用アナリストが手動でアラートの状態を "進行中" または "解決済み" に設定した場合は、自動解決機能によってそれが上書きされることはありません。
Allow or block file (ファイルの許可またはブロック)
ブロックは、組織が次の要件を満たしている場合にのみ使用できます。
- アクティブなマルウェア対策ソリューションとして Microsoft Defender ウイルス対策を使用している
および
- クラウドベースの保護機能が有効になっている
この機能を使って、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。 ファイルをブロックすると、組織内のデバイスでその読み取り、書き込み、または実行ができなくなります。 この機能を有効にすると、ファイルのプロファイル ページの [インジケーターの追加] タブを使用してファイルをブロックできます。