Microsoft Defender ウイルス対策での動作監視
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- 個人向けMicrosoft Defender
- Microsoft Defender ウイルス対策
動作の監視は、Microsoft Defenderウイルス対策の重要な検出と保護機能です。
プロセスの動作を監視し、アプリケーション、サービス、ファイルの動作に基づいて潜在的な脅威を検出および分析します。 動作監視は、署名ベースの検出 (既知のマルウェア パターンを識別する) のみに依存するのではなく、ソフトウェアの動作をリアルタイムで監視することに重点を置いています。 これが必要な内容を次に示します。
Real-Time 脅威検出:
- システム内のプロセス、ファイル システムのアクティビティ、相互作用を継続的に観察します。
- Defender ウイルス対策は、マルウェアやその他の脅威に関連付けられているパターンを識別できます。 たとえば、既存のファイルに異常な変更を加えたり、自動スタートアップ レジストリ (ASEP) キーを変更または作成したり、ファイル システムや構造を変更したりするプロセスを探します。
動的アプローチ:
静的なシグネチャベースの検出とは異なり、動作監視は新しく進化する脅威に適応します。
Microsoft Defenderウイルス対策では、定義済みのパターンが使用され、実行中にソフトウェアがどのように動作するかを確認します。 定義済みのパターンに適合しないマルウェアの場合、Microsoft Defenderウイルス対策では異常検出が使用されます。
プログラムに不審な動作が表示された場合 (重要なシステム ファイルを変更しようとした場合など)、ウイルス対策Microsoft Defender、それ以上の損害を防ぐためのアクションを実行し、以前のマルウェアアクションを元に戻すことができます。
動作の監視により、既知の署名のみに依存するのではなく、リアルタイムのアクションと動作に焦点を当てることで、新しい脅威を事前に検出する Defender ウイルス対策の機能が強化されます。
次の機能は、動作の監視に依存します。
マルウェア対策:
- インジケーター、ファイル ハッシュ、許可/ブロック
ネットワーク保護:
- インジケーター、IP アドレス/URL、許可/ブロック
- Web コンテンツ のフィルター処理、許可/ブロック
注:
動作の監視は、改ざん防止によって保護されます。
動作監視を一時的に無効にして画像から削除するには、最初にトラブルシューティング モードを有効にし、改ざん防止を無効にしてから、動作監視を無効にします。
動作監視ポリシーを変更する
次の表は、動作監視を構成するさまざまな方法を示しています。
| 管理ツール | 名前 | リンク |
|---|---|---|
| セキュリティ設定の管理 | 動作の監視を許可する | この記事 |
| Intune | 動作の監視を許可する | IntuneのMicrosoft Defenderウイルス対策の Windows ウイルス対策ポリシー設定 |
| Csp | AllowBehaviorMonitoring | Defender Policy CSP |
| Configuration Manager テナントアタッチ | 動作の監視を有効にする | テナント接続デバイスのMicrosoft Defenderウイルス対策からの Windows ウイルス対策ポリシー設定 |
| グループ ポリシー | 動作の監視を有効にする | Windows 11 2023 更新プログラムのグループ ポリシー設定リファレンス スプレッドシートをダウンロードする (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference クラス |
Microsoft Defender for Businessを使用する場合は、「Microsoft Defender for Businessで次世代の保護ポリシーを確認または編集する」を参照してください。
PowerShell を使用して動作監視設定を変更する
動作監視設定を変更するには、次のコマンドを使用します。
Set-MpPreference -DisableBehaviorMonitoring <true | false>
-
Trueでは、動作の監視が無効になります。 -
Falseでは、動作の監視が有効になります。
詳細については、「 Set-MpPreference」を参照してください。
PowerShell から動作監視の状態を照会する
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
返される値が の場合、 true動作の監視が有効になります。
高度なハンティングを使用して動作監視の状態を照会する
Advanced Hunting (AH) を使用して、動作監視の状態を照会できます。
Microsoft Defender XDR、Microsoft Defender for Endpointプラン 2、またはMicrosoft Defender for Businessが必要です。
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
CPU 使用率の高いトラブルシューティング
動作監視に関連する検出は、"動作" で始まります。
で MsMpEng.exe高い CPU 使用率を調査する場合は、動作監視を一時的に無効にして、問題が解決しないかどうかを確認できます。
パフォーマンス アナライザーを使用して、Microsoft Defenderウイルス対策を使用して、CPU 使用率の高い原因になっている \path\process、process、またはファイル拡張子を検索できます。 その後、これらの項目を [コンテキストの除外] に追加できます。
詳細については、「Microsoft Defender ウイルス対策用のパフォーマンス アナライザー」を参照してください。
動作の監視によって CPU 使用率が高くなっている場合は、次の各項目を順番に元に戻して問題のトラブルシューティングを続行します。 各項目を元に戻した後に動作監視を再度有効にして、問題が発生する可能性がある場所を特定します。
- プラットフォームの更新
- エンジンの更新
- セキュリティ インテリジェンスの更新。
CPU 使用率の問題が引き続き発生する場合は、Microsoft サポートに問い合わせて、クライアント アナライザーのデータを準備してください。
動作の監視で問題が発生しない場合は、Microsoft Defenderウイルス対策のパフォーマンス アナライザーを使用してログ情報を収集します。 と a -aを使用して 2 つの異なるログをa -c収集します。 Microsoft サポートに問い合わせるときに、この情報を準備してください。
詳細については、「 Windows での高度なトラブルシューティングのためのデータ収集」を参照してください。