除外、インジケーター、その他の手法を使用して、Microsoft Defender for Endpointの望ましくない動作に対処する
Defender for Endpoint の主な機能は、悪意のあるプロセスやファイルへのアクセスを防ぎ、検出することです。 Defender for Endpoint は、既定のセキュリティ設定とポリシーによって生産性を維持しながら、organizationのユーザーを脅威から保護できるように設計されています。 次のような望ましくない動作が発生することがあります。
- 誤検知: 誤検知とは、エンティティが脅威ではないにもかかわらず、ファイルやプロセスなどのエンティティが検出され、悪意のあるものとして識別された場合です。
- パフォーマンスの低下: Defender for Endpoint の特定の機能が有効になっていると、アプリケーションでパフォーマンスの問題が発生する
- アプリケーションの非互換性: Defender for Endpoint の特定の機能が有効になっていると、アプリケーションが正しく機能しない
この記事では、これらの種類の望ましくない動作に対処する方法について説明し、シナリオの例をいくつか示します。
注:
インジケーターまたは除外の作成は、予期しない動作の根本原因を十分に理解した後でのみ考慮する必要があります。
Defender for Endpoint を使用して望ましくない動作に対処する方法
大まかに言うと、Defender for Endpoint で望ましくない動作に対処するための一般的なプロセスは次のとおりです。
望ましくない動作の原因となっている機能を特定します。 Defender for Endpoint で、Microsoft Defenderウイルス対策、エンドポイントの検出と応答、攻撃面の縮小、フォルダー アクセスの制御など、構成が誤っているかどうかを確認する必要があります。 Microsoft Defender ポータルまたはデバイスで情報を使用して、決定を行うことができます。
場所 操作 Microsoft Defender ポータル 何が起こっているかを特定するために、次の 1 つ以上のアクションを実行します。
- アラートを調査する
- 高度なハンティングを使用する
- レポートを表示するデバイス上 問題を特定するには、次の 1 つ以上の手順を実行します。
- パフォーマンス アナライザー ツールを使用する
- イベント ログとエラー コードを確認する
- 保護の履歴を確認する前の手順の結果に応じて、次の 1 つ以上のアクションを実行できます。
- Microsoft Defender ポータルでアラートを抑制する
- カスタム修復アクションを定義する
- 分析のためにファイルを Microsoft に送信する
- Microsoft Defender ウイルス対策の除外を定義する
- Defender for Endpoint のインジケーターを作成する
改ざん防止は、除外を変更または追加できるかどうかに影響します。 改ざん防止が有効になっている場合の動作に関するページを参照してください。
変更が問題に対処したことを確認します。
望ましくない動作の例
このセクションには、除外とインジケーターを使用して対処できるシナリオの例がいくつか含まれています。 除外の詳細については、「 除外の概要」を参照してください。
アプリケーションの実行時に Microsoft Defender ウイルス対策によってアプリが検出される
このシナリオでは、ユーザーが特定のアプリケーションを実行するたびに、潜在的な脅威としてウイルス対策Microsoft Defenderによってアプリケーションが検出されます。
対処方法: Microsoft Defender for Endpointの "許可" インジケーターを作成します。 たとえば、実行可能ファイルなどのファイルの "許可" インジケーターを作成できます。 「ファイルのインジケーターを作成する」を参照してください。
カスタムの自己署名アプリは、アプリケーションの実行時に Microsoft Defender ウイルス対策によって検出されます
このシナリオでは、Microsoft Defenderウイルス対策によって潜在的な脅威としてカスタム アプリが検出されます。 アプリは定期的に更新され、自己署名されています。
対処方法: 証明書またはファイルの "許可" インジケーターを作成します。 次の記事をご覧ください。
カスタム アプリは、アプリケーションの実行時に悪意があると検出された一連のファイルの種類にアクセスします
このシナリオでは、カスタム アプリがセットファイルの種類にアクセスし、アプリケーションの実行時に常にMicrosoft Defenderウイルス対策によってセットが悪意のあるものとして検出されます。
観察方法: アプリケーションが実行されているときに、動作監視検出としてMicrosoft Defenderウイルス対策によって検出されます。
対処方法: ワイルドカードを含むファイルやパスの除外など、Microsoft Defenderウイルス対策の除外を定義します。 または、カスタム ファイル パスの除外を定義します。 次の記事をご覧ください。
Microsoft Defender ウイルス対策によって "動作" 検出としてアプリケーションが検出される
このシナリオでは、アプリケーションが脅威ではない場合でも、特定の動作のために、Microsoft Defender ウイルス対策によってアプリケーションが検出されます。
対処方法: プロセスの除外を定義します。 次の記事をご覧ください。
アプリは望ましくない可能性のあるアプリケーション (PUA) と見なされます
このシナリオでは、アプリが PUA として検出され、アプリの実行を許可する必要があります。
対処方法: アプリの除外を定義します。 次の記事をご覧ください。
アプリが保護されたフォルダーへの書き込みをブロックされる
このシナリオでは、正当なアプリは、制御されたフォルダー アクセスによって保護されているフォルダーへの書き込みがブロックされます。
対処方法: 制御されたフォルダー アクセスの "許可" リストにアプリを追加します。 「特定のアプリが制御されたフォルダーに変更を加えることを許可する」を参照してください。
Microsoft Defender ウイルス対策によってサード パーティ製アプリが悪意のあるアプリとして検出される
このシナリオでは、脅威ではないサード パーティ製アプリが検出され、Microsoft Defenderウイルス対策によって悪意があると識別されます。
対処方法: 分析のためにアプリを Microsoft に送信します。 分析については、「 Microsoft にファイルを送信する方法」を参照してください。
Defender for Endpoint によってアプリが誤って検出され、悪意があると識別される
このシナリオでは、Defender for Endpoint の攻撃面の縮小ルールによって正当なアプリが検出され、悪意のあるアプリとして識別されます。 ユーザーがアプリを使用するたびに、アプリとダウンロードされたコンテンツは、攻撃面の縮小ルール ( JavaScript または VBScript によるダウンロードされた実行可能コンテンツの起動をブロックする) によってブロックされます。
対処方法:
Microsoft Defender ポータルで、[レポート] に移動します。 [ レポート] で、[ セキュリティ レポート] を選択します。
デバイスまで下にスクロールして、攻撃面の縮小カードを見つけます。 詳細については、「 攻撃面の縮小ルール レポート」を参照してください。
この情報を使用して、除外するファイルとフォルダーの場所を特定します。
除外を追加します。 「ファイル拡張子とフォルダーの場所に基づいて除外を構成して検証する」を参照してください。
他のアプリを起動するマクロを含むWordテンプレートはブロックされます
このシナリオでは、マクロを含む Microsoft Word テンプレートを使用して作成されたドキュメントをユーザーが開き、それらのマクロが他のアプリケーションを起動するたびに、攻撃面の縮小ルール Block Win32 API の Office マクロからの呼び出しが Microsoft Wordをブロックします。
対処方法:
Microsoft Defender ポータルで、[レポート] に移動します。 [ レポート] で、[ セキュリティ レポート] を選択します。
デバイスまで下にスクロールして、攻撃面の縮小カードを見つけます。 詳細については、「 攻撃面の縮小ルール レポート」を参照してください。
この情報を使用して、除外するファイルとフォルダーの場所を特定します。
除外を追加します。 「ファイル拡張子とフォルダーの場所に基づいて除外を構成して検証する」を参照してください。