ネットワークを保護する

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows
  • macOS
  • Linux

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップします。

ネットワーク保護の概要

ネットワーク保護は、インターネット ベースのイベントからデバイスを保護するのに役立ちます。 ネットワーク保護は、攻撃面の縮小機能です。 これは、従業員がアプリケーションを介して危険なドメインにアクセスするのを防ぐのに役立ちます。 フィッシング詐欺、悪用、その他の悪意のあるコンテンツをインターネット上でホストするドメインは危険と見なされます。 ネットワーク保護により、Microsoft Defender SmartScreen のスコープが拡張され、低評価ソースへの接続を試みるすべての送信 HTTP (S) トラフィックがブロックされます (ドメインまたはホスト名に基づきます)。

ネットワーク保護は 、Web 保護 の保護をオペレーティング システム レベルに拡張し、Web コンテンツ フィルター処理 (WCF) のコア コンポーネントです。 Microsoft Edge で見つかった Web 保護機能は、サポートされている他のブラウザーやブラウザー以外のアプリケーションに提供されます。 また、ネットワーク保護は、 エンドポイントの検出と応答で使用する場合に、侵害のインジケーター (IOC) の可視性とブロックも提供します。 たとえば、ネットワーク保護は、特定のドメインまたはホスト名をブロックするために使用できる カスタム インジケーター と連携します。

ネットワーク保護カバレッジ

次の表は、カバレッジのネットワーク保護領域をまとめたものです。

機能 Microsoft Edge サード パーティ製ブラウザー ブラウザー以外のプロセス
(PowerShell など)
Web Threat Protection SmartScreen を有効にする必要があります ネットワーク保護はブロック モードである必要があります ネットワーク保護はブロック モードである必要があります
カスタム インジケーター SmartScreen を有効にする必要があります ネットワーク保護はブロック モードである必要があります ネットワーク保護はブロック モードである必要があります
Web コンテンツ のフィルター処理 SmartScreen を有効にする必要があります ネットワーク保護はブロック モードである必要があります 非サポート

注:

Mac と Linux では、Edge でこれらの機能をサポートするには、ブロック モードのネットワーク保護が必要です。 Windows では、ネットワーク保護は Microsoft Edge を監視しません。 Microsoft Edge およびインターネット エクスプローラー以外のプロセスの場合、Web 保護シナリオでは、検査と適用のためにネットワーク保護を利用します。

  • IP は、3 つのプロトコル (TCP、HTTP、HTTPS (TLS)) すべてでサポートされています。
  • カスタム インジケーターでサポートされている IP アドレスは 1 つだけ (CIDR ブロックまたは IP 範囲なし)。
  • 暗号化された URL (フル パス) は、ファースト パーティのブラウザー (インターネット エクスプローラー、Edge) でのみブロックできます。
  • 暗号化された URL (FQDN のみ) は、サード パーティのブラウザー (インターネット エクスプローラー、Edge 以外) でブロックできます。
  • 完全な URL パス ブロックは、暗号化されていない URL に適用できます。

アクションが実行されてから URL と IP がブロックされるまで、最大 2 時間の待機時間 (通常は短い) が発生する可能性があります。

このビデオでは、ネットワーク保護によって、フィッシング詐欺、悪用、その他の悪意のあるコンテンツからデバイスの攻撃対象を減らす方法について説明します。

ネットワーク保護の要件

ネットワーク保護には、Windows 10または 11 (Pro または Enterprise)、Windows Server バージョン 1803 以降、macOS バージョン 11 以降、または Defender サポートされている Linux バージョン、Microsoft Defenderウイルス対策リアルタイム保護が必要です。

Windows バージョン Microsoft Defender ウイルス対策
Windows 10 バージョン 1709 以降、Windows 11、Windows Server 1803 以降 Microsoft Defenderウイルス対策リアルタイム保護動作監視クラウド配信保護が有効になっていることを確認します (アクティブ)
統合エージェントを使用して R2 とWindows Server 2016をWindows Server 2012する プラットフォーム更新プログラムバージョン 4.18.2001.x.x 以降

ネットワーク保護が重要な理由

ネットワーク保護は、Microsoft Defender for Endpointのソリューションの攻撃面削減グループの一部です。 ネットワーク保護を使用すると、ネットワーク レイヤーは URL と IP アドレスをブロックできます。 ネットワーク保護は、特定のブラウザーと標準のネットワーク接続を使用して URL へのアクセスをブロックできます。 既定では、ネットワーク保護は SmartScreen フィードを使用して既知の悪意のある URL からコンピューターを保護します。これにより、Microsoft Edge ブラウザーの SmartScreen のような方法で悪意のある URL がブロックされます。 ネットワーク保護機能は、次の機能に拡張できます。

ネットワーク保護は、Microsoft の保護と応答スタックの重要な部分です。

ヒント

Windows Server、Linux、MacOS、Mobile Threat Defense (MTD) のネットワーク保護の詳細については、「 高度なハンティングを使用して脅威を事前に検出する」を参照してください。

コマンド攻撃と制御攻撃をブロックする

コマンドおよび制御 (C2) サーバー コンピューターは、悪意のあるユーザーが、以前にマルウェアによって侵害されたシステムにコマンドを送信するために使用されます。 C2 攻撃は、通常、ファイル共有や Web メール サービスなどのクラウドベースのサービスでは非表示になり、C2 サーバーは一般的なトラフィックと組み合わせて検出を回避できます。

C2 サーバーを使用して、次のコマンドを開始できます。

  • データを盗む
  • ボットネットで侵害されたコンピューターを制御する
  • 正当なアプリケーションを中断する
  • ランサムウェアなどのマルウェアを拡散する

Defender for Endpoint のネットワーク保護コンポーネントは、機械学習やインテリジェントな侵害インジケーター (IoC) 識別などの手法を使用して、人間が操作するランサムウェア攻撃で使用される C2 インフラストラクチャへの接続を識別およびブロックします。

ネットワーク保護: C2 の検出と修復

最初の形式では、ランサムウェアはコモディティの脅威であり、事前にプログラムされ、限られた特定の結果 (コンピューターの暗号化など) に焦点を当てています。 しかし、ランサムウェアは人間主導の適応型の高度な脅威へと進化し、organizationの資産全体や身代金のデータを保持するなど、より大規模で広範な結果に焦点を当てています。

コマンドおよび制御サーバー (C2) のサポートは、このランサムウェアの進化の重要な部分であり、これらの攻撃がターゲット環境に適応できるようにするものです。 コマンド アンド コントロール インフラストラクチャへのリンクを解除すると、次のステージへの攻撃の進行が停止します。 C2 の検出と修復の詳細については、「 ネットワーク 層でのコマンド攻撃と制御攻撃の検出と修復」を参照してください。

ネットワーク保護: 新しいトースト通知

新しいマッピング 応答カテゴリ ソース
フィッシング詐欺 フィッシング詐欺 Smartscreen
悪意 悪意がある Smartscreen
コマンドと制御 C2 Smartscreen
コマンドと制御 COCO Smartscreen
悪意 信頼 Smartscreen
IT 管理者による CustomBlockList
IT 管理者による CustomPolicy

注:

customAllowList はエンドポイントで通知を生成しません。

ネットワーク保護の決定に関する新しい通知

ネットワーク保護で一般公開されている新しい機能は、SmartScreen の機能を利用して、悪意のあるコマンドおよび制御サイトからのフィッシング アクティビティをブロックします。

エンド ユーザーがネットワーク保護が有効になっている環境の Web サイトにアクセスしようとすると、次の 3 つのシナリオが考えられます。

  • URL には既知の 評判 があります。 この場合、ユーザーは障害物なしでアクセスが許可され、エンドポイントにトースト通知は表示されません。 実際には、ドメインまたは URL が [許可] に設定されます。
  • URL に 不明または不確実な評判 がある - ユーザーのアクセスはブロックされますが、ブロックを回避 (ブロック解除) する機能があります。 実際には、ドメインまたは URL が [監査] に設定されます。
  • URL に既知の 悪意のある (悪意のある) 評判 がある - ユーザーはアクセスできなくなります。 実際には、ドメインまたは URL は [ブロック] に設定されます。

警告エクスペリエンス

ユーザーが Web サイトにアクセスする:

  • URL に不明または不確実な評判がある場合は、トースト通知によってユーザーに次のオプションが表示されます。

    • Ok - トースト通知がリリース (削除) され、サイトへのアクセス試行が終了します。

    • ブロック解除 - ユーザーは 24 時間サイトにアクセスできます。その時点でブロックが再び有効になります。 ユーザーは、管理者がサイトを禁止 (ブロック) するまで、 ブロック解除 を使用してサイトにアクセスし続けることができるため、[ ブロック解除] オプションを削除できます。

    • フィードバック - トースト通知は、ユーザーにチケットを送信するためのリンクを示します。このリンクを使用すると、ユーザーはサイトへのアクセスを正当化しようとして管理者にフィードバックを送信できます。

      ネットワーク保護フィッシング コンテンツ警告通知を表示します。

    注:

    ここに示す警告エクスペリエンスとブロック エクスペリエンス (以下) の画像は、両方ともプレースホルダー テキストの例として "ブロックされた URL" を 一覧表示します。機能している環境では、実際の URL またはドメインが一覧表示されます。

エクスペリエンスをブロックする

ユーザーが Web サイトにアクセスする:

  • URL の評判が悪い場合、トースト通知によってユーザーに次のオプションが表示されます。

    • わかりました トースト通知が解放 (削除) され、サイトへのアクセス試行が終了します。

    • フィードバック トースト通知では、ユーザーにチケットを送信するためのリンクが表示されます。このリンクを使用すると、ユーザーはサイトへのアクセスを正当化するために管理者にフィードバックを送信できます。

      ネットワーク保護の既知のフィッシング コンテンツブロック通知を表示します。

SmartScreen のブロック解除

Defender for Endpoint のインジケーターを使用すると、管理者はエンド ユーザーが一部の URL と IP に対して生成された警告をバイパスできます。 URL がブロックされた理由によっては、SmartScreen ブロックが検出されたときに、サイトのブロックを最大 24 時間ブロック解除できる場合があります。 このような場合は、Windows セキュリティトースト通知が表示され、エンド ユーザーは定義された期間、URL または IP のブロックを解除できます。

ネットワーク保護のWindows セキュリティ通知。

Microsoft Defender for Endpoint管理者は、IP、URL、ドメインの "許可" インジケーターを使用して、Microsoft Defender ポータルで SmartScreen のブロック解除機能を構成できます。

ネットワーク保護 SmartScreen ブロック構成 ULR と IP フォーム。

「IP と URL/ドメインのインジケーターを作成する」を参照してください。

ネットワーク保護の使用

ネットワーク保護はデバイスごとに有効になります。これは通常、管理インフラストラクチャを使用して行われます。 サポートされている方法については、「 ネットワーク保護を有効にする」を参照してください。

注:

Microsoft Defenderネットワーク保護を有効にするには、ウイルス対策がアクティブである必要があります。

監査モードまたはブロック モードでネットワーク保護を有効にすることができます。 IP アドレスまたは URL を実際にブロックする前にネットワーク保護を有効にすることの影響を評価する場合は、監査モードでネットワーク保護を有効にして、ブロックされる内容に関するデータを収集できます。 エンド ユーザーがネットワーク保護によってブロックされているアドレスまたはサイトに接続されている場合、監査モードのログ。 侵害 (IoC) または Web コンテンツ フィルター (WCF) のインジケーターを機能させるには、ネットワーク保護が "ブロック モード" である必要があることに注意してください

Linux と macOS のネットワーク保護の詳細については、「Linux のネットワーク保護 」と「 macOS のネットワーク保護」を参照してください。

高度な追及

高度なハンティングを使用して監査イベントを特定する場合は、コンソールから最大 30 日間の履歴を使用できます。 詳細なハンティングに関するページを参照してください。

監査イベントは、Defender for Endpoint ポータル (https://security.microsoft.com) の高度なハンティングで確認できます。

監査イベントは、ActionType ExploitGuardNetworkProtectionAuditedが の DeviceEvents にあります。 ブロックは、ActionType の ExploitGuardNetworkProtectionBlockedと共に表示されます。

サードパーティ製ブラウザーの Network Protection イベントを表示するためのクエリの例を次に示します。


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

イベントの監査と識別のための高度なハンティング。

ヒント

これらのエントリには AdditionalFields 列のデータがあり、アクションに関する優れた情報が得られます。 AdditionalFields を展開すると、 IsAuditResponseCategoryDisplayName というフィールドを取得することもできます。

別の例を次に示します。


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

[応答] カテゴリには、次のようにイベントの原因が示されます。

ResponseCategory イベントを担当する機能
CustomPolicy Wcf
CustomBlockList カスタム インジケーター
CasbPolicy Defender for Cloud Apps
悪意がある Web 脅威
フィッシング詐欺 Web 脅威

詳細については、「 エンドポイント ブロックのトラブルシューティング」を参照してください。

Microsoft Edge ブラウザーの SmartScreen イベントMicrosoft Defender特に、別のクエリが必要であることに注意してください。


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

結果として得られる URL と IP の一覧を使用して、デバイスがブロック モードで、どの機能によってブロックされたかを判断できます。 一覧の各項目を確認して、環境に必要な URL または IP を特定します。 環境にとって重要な監査済みのエントリが見つかる場合は、ネットワークで許可するインジケーターを作成します。 許可 URL/IP インジケーターは、任意のブロックよりも優先されます。

インジケーターを作成したら、基になる問題の解決を確認できます。

  • SmartScreen – 要求レビュー
  • インジケーター – 既存のインジケーターを変更する
  • MCA – 承認されていないアプリを確認する
  • WCF – 要求の再分類

このデータを使用すると、ブロック モードでネットワーク保護を有効にすることに関する情報に基づいた決定を行うことができます。 「ネットワーク保護ブロックの優先順位」を参照してください。

注:

これはデバイスごとの設定であるため、ブロック モードに移行できないデバイスがある場合は、チャレンジを修正して監査イベントを受け取るまで、監査のままにすることができます。

誤検知を報告する方法については、「誤検知を 報告する」を参照してください。

独自の Power BI レポートを作成する方法の詳細については、「Power BI を 使用してカスタム レポートを作成する」を参照してください。

ネットワーク保護の構成

ネットワーク保護を有効にする方法の詳細については、「ネットワーク保護を 有効にする」を参照してください。 グループ ポリシー、PowerShell、または MDM CSP を使用して、ネットワーク内のネットワーク保護を有効および管理します。

ネットワーク保護を有効にした後、エンドポイント デバイスと Web サービス間の接続を許可するようにネットワークまたはファイアウォールを構成する必要がある場合があります。

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

ネットワーク保護イベントの表示

ネットワーク保護はMicrosoft Defender for Endpointに最適です。これにより、アラート調査シナリオの一部として、悪用保護イベントとブロックに関する詳細なレポートが提供されます。

ネットワーク保護によって接続がブロックされると、アクション センターから通知が表示されます。 セキュリティ運用チームは、organizationの詳細と連絡先情報を使用して通知をカスタマイズできます。 さらに、個々の攻撃面の縮小ルールを有効にし、監視する特定の手法に合わせてカスタマイズできます。

また、監査モードを使用して、ネットワーク保護が有効になっている場合にorganizationに与える影響を評価することもできます。

Microsoft Defender ポータルでネットワーク保護イベントを確認する

Defender for Endpoint では、 アラート調査シナリオの一部として、イベントとブロックに関する詳細なレポートが提供されます。 これらの詳細は、アラート キューのMicrosoft Defender ポータル (https://security.microsoft.com) または高度なハンティングを使用して表示できます。 監査モードを使用している場合は、高度なハンティングを使用して、ネットワーク保護設定が有効になっている場合の環境への影響を確認できます。

Windows イベント ビューアーのネットワーク保護イベントを確認する

Windows イベント ログを確認して、ネットワーク保護が悪意のある IP またはドメインへのアクセスをブロック (または監査) したときに作成されるイベントを確認できます。

  1. XML を直接コピーします

  2. [OK] を選択します。

この手順では、ネットワーク保護に関連する次のイベントのみを表示するようにフィルター処理するカスタム ビューを作成します。

イベント ID 説明
5007 設定が変更されたときのイベント
1125 監査モードでネットワーク保護が起動した場合のイベント
1126 ブロック モードでネットワーク保護が発生した場合のイベント

ネットワーク保護と TCP 3 方向ハンドシェイク

ネットワーク保護では、 TCP/IP 経由の 3 方向ハンドシェイクが完了した後に、サイトへのアクセスを許可するかブロックするかを決定します。 そのため、サイトがネットワーク保護によってブロックされている場合、サイトがブロックされていても、Microsoft Defender ポータルの下DeviceNetworkEventsに のアクションのConnectionSuccess種類が表示されることがあります。 DeviceNetworkEvents は TCP 層から報告され、ネットワーク保護からは報告されません。 3 方向ハンドシェイクが完了すると、ネットワーク保護によってサイトへのアクセスが許可またはブロックされます。

その動作の例を次に示します。

  1. ユーザーがデバイス上の Web サイトにアクセスしようとするとします。 サイトは危険なドメインでホストされ、ネットワーク保護によってブロックする必要があります。

  2. TCP/IP 経由の 3 方向ハンドシェイクが開始されます。 完了する前に DeviceNetworkEvents 、アクションがログに記録され、その ActionType アクションが として ConnectionSuccess一覧表示されます。 ただし、3 方向ハンドシェイク プロセスが完了するとすぐに、ネットワーク保護によってサイトへのアクセスがブロックされます。 このすべてがすぐに発生します。 同様のプロセスは、SmartScreen Microsoft Defenderで発生します。これは、3 方向ハンドシェイクが完了して決定が完了し、サイトへのアクセスがブロックまたは許可されたときです。

  3. Microsoft Defender ポータルでは、アラートがアラート キューに一覧表示されます。 そのアラートの詳細には、 と の両方 DeviceNetworkEventsAlertEvidence含まれます。 ActionType が のアイテムがある場合 DeviceNetworkEvents でも、サイトがブロックされていることがわかります ConnectionSuccess

マルチセッションを実行している Windows 仮想デスクトップWindows 10 Enterprise関する考慮事項

Windows 10 Enterpriseのマルチユーザーの性質上、次の点に注意してください。

  1. ネットワーク保護はデバイス全体の機能であり、特定のユーザー セッションを対象にすることはできません。

  2. Web コンテンツ フィルタリング ポリシーは、デバイス全体にも適用されます。

  3. ユーザー グループを区別する必要がある場合は、個別の Windows Virtual Desktop ホスト プールと割り当てを作成することを検討してください。

  4. ロールアウトする前に、監査モードでネットワーク保護をテストし、その動作を評価します。

  5. 多数のユーザーまたは多数のマルチユーザー セッションがある場合は、デプロイのサイズを変更することを検討してください。

ネットワーク保護の代替オプション

Windows Server 2012R2/2016 統合MDE クライアント、Windows Server バージョン 1803 以降、Windows Server 2019 以降、および Windows Virtual Desktop on Azure で使用されるマルチセッション 1909 以降Windows 10 Enterpriseの場合、Microsoft Edge のネットワーク保護を有効にするには、次の方法を使用します。

  1. [ネットワーク保護を有効にする] を使用し、指示に従ってポリシーを適用します。

  2. 次の PowerShell コマンドを実行します。

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

注:

場合によっては、インフラストラクチャ、トラフィックの量、その他の条件に応じて、 Set-MpPreference -AllowDatagramProcessingOnWinServer 1 ネットワーク パフォーマンスに影響を与える可能性があります。

Windows サーバーのネットワーク保護

Windows サーバーに固有の情報を次に示します。

ネットワーク保護が有効になっていることを確認する

レジストリ エディターを使用して、ローカル デバイスでネットワーク保護が有効になっているかどうかを確認します。

  1. タスク バーの [スタート] ボタンを選択し、「regedit」と入力してレジストリ エディターを開きます。

  2. サイド メニューから [HKEY_LOCAL_MACHINE ] を選択します。

  3. 入れ子になったメニューの [ソフトウェア>ポリシー>] [Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection] に移動します。

    (キーが存在しない場合は、SOFTWARE> に移動しますマイクロソフト>> Windows Defender Windows Defender Exploit Guard>ネットワーク保護)

  4. [EnableNetworkProtection] を選択して、デバイスのネットワーク保護の現在の状態を確認します。

    • 0 = Off
    • 1 = オン (有効)
    • 2 = 監査モード

詳細については、「ネットワーク保護を有効にする」を参照してください。

ネットワーク保護の提案

Windows Server 2012R2/2016 統合MDE クライアント、Windows Server バージョン 1803 以降、Windows Server 2019 以降、およびマルチセッション 1909 以降Windows 10 Enterprise (Azure 上の Windows Virtual Desktop で使用) の場合は、追加のレジストリ キーを有効にする必要があります。

Hkey_local_machine\ソフトウェア\マイクロソフト\\ Windows Defender Windows Defender Exploit Guard\ネットワーク保護

  • AllowNetworkProtectionOnWinServer (dword) 1 (16 進数)
  • EnableNetworkProtection (dword) 1 (16 進数)
  • AllowNetworkProtectionDownLevel (dword) 1 (16 進数) - Windows Server 2012R2 と Windows Server 2016 のみ

注:

インフラストラクチャ、トラフィックの量、その他の条件に応じて、\HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\Windows Defender \NIS\Consumers\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (16 進数) がネットワーク パフォーマンスに影響する可能性があります。

詳細については、「ネットワーク保護を有効にする」を参照してください。

Windows サーバーと Windows マルチセッション構成には PowerShell が必要です

Windows サーバーと Windows マルチセッションの場合は、PowerShell コマンドレットを使用して有効にする必要がある追加の項目があります。 Windows Server 2012R2/2016 統合MDE クライアント、Windows Server バージョン 1803 以降、Windows Server 2019 以降、および Windows Virtual Desktop on Azure で使用されるマルチセッション 1909 以降Windows 10 Enterprise。

  1. Set-MpPreference -EnableNetworkProtection Enabled
  2. Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference -AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference -AllowDatagramProcessingOnWinServer 1

注:

場合によっては、インフラストラクチャ、トラフィックの量、その他の条件に応じて、 Set-MpPreference -AllowDatagramProcessingOnWinServer 1 がネットワーク パフォーマンスに影響を与える可能性があります。

ネットワーク保護のトラブルシューティング

ネットワーク保護が実行される環境により、この機能でオペレーティング システム プロキシ設定を検出できない場合があります。 場合によっては、ネットワーク保護クライアントがクラウド サービスに到達できない場合があります。 接続の問題を解決するには、Microsoft Defenderウイルス対策用の静的プロキシを構成します

ネットワーク保護のパフォーマンスの最適化

ネットワーク保護にパフォーマンスの最適化が追加されました。これにより、ブロック モードで有効期間の長い接続の非同期的な検査が開始され、パフォーマンスが向上し、アプリの互換性の問題にも役立つ可能性があります。 この最適化機能は既定でオンになっています。 この機能をオフにするには、次の PowerShell コマンドレットを使用します。

Set-MpPreference -AllowSwitchToAsyncInspection $false

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。