除外の概要
Microsoft Defender for EndpointとDefender for Businessには、高度なサイバー脅威を防止、検出、調査、対応するための幅広い機能が含まれています。 Microsoft は、インストールされているオペレーティング システムで適切に動作するように製品を事前に構成します。 その他の変更は必要ありません。 構成済みの設定にもかかわらず、予期しない動作が発生することがあります。 次に、いくつかの例を示します:
- 誤検知: 実際には脅威ではないファイル、フォルダー、またはプロセスは、Defender for Endpoint または Microsoft Defender ウイルス対策によって悪意のあるものとして検出される可能性があります。 これらのエンティティは、脅威ではない場合でも、ブロックまたは検疫に送信できます。
- パフォーマンスの問題: Defender for Endpoint で実行すると、システムで予期しないパフォーマンスへの影響が発生する
- アプリケーション互換性の問題: Defender for Endpoint で実行すると、アプリケーションで予期しない動作が発生する
除外の作成は、これらの種類の問題に対処するための 1 つの考えられるアプローチです。 ただし、多くの場合、実行できる他の手順があります。 この記事では、インジケーターと除外の概要を提供することに加えて、 除外の作成とインジケーターの許可に関する代替手段について説明します。
注:
インジケーターまたは除外の作成は、予期しない動作の根本原因を十分に理解した後でのみ考慮する必要があります。
考慮すべき問題と手順の例
| シナリオ例 | 考慮する手順 |
|---|---|
| 誤検知: エンティティが脅威ではない場合でも、ファイルやプロセスなどのエンティティが検出され、悪意のあるものとして識別されました。 | 1. 検出されたエンティティの結果として生成された アラートを確認して分類 します。 2. 既知 のエンティティのアラートを抑制 します。 3. 検出されたエンティティに対して実行された 修復アクションを確認 します。 4. 分析のために誤検知を Microsoft に送信 します。 5. エンティティ のインジケーターまたは除外を定義 します (必要な場合のみ)。 |
| 次のいずれかの問題などのパフォーマンスの問題: - システムで CPU 使用率が高い、またはその他のパフォーマンスの問題が発生しています。 - システムでメモリ リークの問題が発生しています。 - アプリの読み込みに時間がかかります。 - アプリがデバイス上のファイルを開くのに時間がかかります。 |
1. Microsoft Defenderウイルス対策の診断データを収集します。 2. Microsoft 以外のウイルス対策ソリューションを使用している場合は、ベンダーにチェックして、ウイルス対策製品に関する既知の問題があるかどうかを確認します。 3. Microsoft 保護ログを分析 して、推定パフォーマンスへの影響を確認します。 Microsoft Defenderウイルス対策に関連するパフォーマンス固有の問題については、Microsoft Defenderウイルス対策のパフォーマンス アナライザーを使用します。 4. Microsoft Defenderウイルス対策の除外を定義します (必要な場合)。 5. Defender for Endpoint のインジケーターを作成します (必要な場合のみ)。 |
| Microsoft 以外のウイルス対策製品との互換性の問題。 例: Defender for Endpoint は、ウイルス対策または Microsoft 以外のウイルス対策ソリューションを実行しているかどうかに関係なく、デバイスのセキュリティ インテリジェンス更新プログラムMicrosoft Defender依存しています。 |
1. Microsoft 以外のウイルス対策製品をプライマリ ウイルス対策/マルウェア対策ソリューションとして使用している場合は、[ウイルス対策] Microsoft Defenderパッシブ モードに設定します。 2. Microsoft 以外のウイルス対策/マルウェア対策ソリューションから Defender for Endpoint に切り替える場合は、「Defender for Endpoint に切り替える」を参照してください。 このガイダンスは次のとおりです。 - Microsoft 以外のウイルス対策/マルウェア対策ソリューションに対して定義する必要がある可能性がある除外。 - Microsoft Defenderウイルス対策に対して定義する必要がある場合がある除外。 - トラブルシューティング情報 (移行中に問題が発生した場合に備え)。 |
| アプリケーションとの互換性。 例: デバイスがMicrosoft Defender for Endpointにオンボードされた後、アプリケーションがクラッシュしたり、予期しない動作が発生したりしています。 |
除外、インジケーター、その他の手法を使用したMicrosoft Defender for Endpointでの不要な動作への対処に関するページを参照してください。 |
除外を作成し、インジケーターを許可する代替手段
除外または許可インジケーターを作成すると、保護ギャップが作成されます。 これらの手法は、問題の根本原因を特定した後でのみ使用する必要があります。 その決定が行われるまで、次の選択肢を検討してください。
- 分析のためにファイルを Microsoft に送信する
- アラートを抑制する
分析のためにファイルを送信する
誤ってマルウェアとして検出されたと思われるファイル (誤検知) がある場合、または検出されなかった場合でもマルウェアと思われるファイル (偽陰性) がある場合は、分析のためにファイルを Microsoft に送信できます。 申請はすぐにスキャンされ、Microsoft セキュリティ アナリストによって確認されます。 申請履歴ページで申請の状態をチェックできます。
分析のためにファイルを提出すると、すべての顧客の誤検知と偽陰性を減らすことができます。 詳細については、次の記事を参照してください。
- 分析のためにファイルを送信 する (すべての顧客が利用できます)
- Defender for Endpoint の新しい統合申請ポータルを使用してファイルを送信する (Defender for Endpoint Plan 2 または Microsoft Defender XDRを持つお客様が利用できます)
アラートの抑制
Microsoft Defender ポータルで、実際には脅威ではないことがわかっているツールまたはプロセスに関するアラートを受け取る場合は、それらのアラートを抑制できます。 アラートを抑制するには、抑制ルールを作成し、他の同一のアラートに対して実行するアクションを指定します。 1 つのデバイスで特定のアラートに対して抑制ルールを作成することも、organization全体で同じタイトルを持つすべてのアラートに対して抑制ルールを作成することもできます。
詳細については、次の記事を参照してください。
- アラートを抑制する
- Tech Community ブログ: 新しいアラート抑制エクスペリエンスの概要 (Defender for Endpoint 用)
除外の種類
考慮すべき除外には、いくつかの種類があります。 一部の種類の除外は Defender for Endpoint の複数の機能に影響しますが、他の種類は Microsoft Defender ウイルス対策に固有です。
- カスタム除外: これらは、特定のユース ケースやシナリオ、 および Mac、 Linux、 Windows などの特定のオペレーティング システムに対して定義する除外です。
- 事前構成済みのウイルス対策の除外: これらは、自動サーバー ロールの除外 や 組み込みのウイルス対策の除外など、定義する必要のない除外です。 これらを定義する必要はありませんが、それらが何であり、どのように動作するかを知ると役立ちます。
- 攻撃面の縮小の除外: これらは、攻撃面の縮小機能が、organizationが使用している可能性がある正当なアプリケーションをブロックしないようにするための除外です。
- Automation フォルダーの除外: これらは、自動調査と修復機能が特定のファイルまたはフォルダーに適用されないように定義する除外です。
- フォルダー アクセスの除外の制御: これらは、特定のアプリまたは実行可能ファイルが保護されたフォルダーにアクセスできるようにするための除外です。
- カスタム修復アクション: これらは、特定の種類の検出時にMicrosoft Defenderウイルス対策に対して指定するアクションです。
インジケーターの詳細については、「Microsoft Defender for Endpointのインジケーターの概要」を参照してください。
カスタム除外
Microsoft Defender for Endpointを使用すると、パフォーマンスを最適化し、誤検知を回避するためにカスタム除外を構成できます。 設定できる除外の種類は、Defender for Endpoint 機能とオペレーティング システムによって異なります。
次の表は、定義できるカスタム除外の種類をまとめたものです。 各除外の種類のスコープに注意してください。
| 除外の種類 | 範囲 | ユース ケース |
|---|---|---|
| カスタム Defender for Endpoint の除外 | ウイルス対策 攻撃面の減少ルール Defender for Endpoint ネットワーク保護 |
ファイル、フォルダー、またはプロセスは、脅威ではないにもかかわらず、悪意のあるものとして識別されます。 Defender for Endpoint で実行しているときに、アプリケーションで予期しないパフォーマンスまたはアプリケーション互換性の問題が発生する |
| Defender for Endpoint 攻撃面の縮小の除外 | 攻撃面の減少ルール | 攻撃面の縮小ルールによって予期しない動作が発生します。 |
| Defender for Endpoint オートメーション フォルダーの除外 | 自動調査および対応 | 自動調査と修復は、手動で実行する必要があるファイル、拡張機能、またはディレクトリに対してアクションを実行します。 |
| Defender for Endpoint によって制御されるフォルダー アクセスの除外 | コントロールされたフォルダー アクセス | フォルダーアクセスの制御により、保護されたフォルダーへのアプリケーションのアクセスがブロックされます。 |
| Defender for Endpoint ファイルと証明書の許可インジケーター | ウイルス対策 攻撃面の減少ルール コントロールされたフォルダー アクセス |
証明書によって署名されたファイルまたはプロセスは、そうでない場合でも悪意のあるものとして識別されます。 |
| Defender for Endpoint のドメイン/URL と IP アドレスインジケーター | ネットワーク保護 SmartScreen Web コンテンツ のフィルター処理 |
SmartScreen は誤検知を報告します。 特定のサイトの Web コンテンツ フィルター ブロックをオーバーライドする必要があります。 |
注:
ネットワーク保護 は、すべてのプラットフォームでのプロセスの除外によって直接影響を受けます。 すべての OS (Windows、MacOS、Linux) でプロセスを除外すると、Network Protection がトラフィックを検査したり、その特定のプロセスの規則を適用したりできなくなります。
Mac での除外
macOS の場合は、オンデマンド スキャン、リアルタイム保護、監視に適用される除外を定義できます。 サポートされる除外の種類は次のとおりです。
- ファイル拡張子: 特定の拡張子を持つすべてのファイルを除外します。
- ファイル: 完全パスで識別される特定のファイルを除外します。
- フォルダー: 指定したフォルダーの下にあるすべてのファイルを再帰的に除外します。
- プロセス: 特定のプロセスと、そのプロセスによって開かれたすべてのファイルを除外します。
詳細については、「macOS でのMicrosoft Defender for Endpointの除外の構成と検証」を参照してください。
Linux での除外
Linux では、ウイルス対策とグローバル除外の両方を構成できます。
- ウイルス対策の除外: オンデマンド スキャン、リアルタイム保護 (RTP)、動作監視 (BM) に適用します。
- グローバル除外: リアルタイム保護 (RTP)、動作監視 (BM)、エンドポイント検出と応答 (EDR) に適用し、関連付けられているすべてのウイルス対策検出と EDR アラートを停止します。
詳細については、「Linux 用の Microsoft Defender for Endpoint の除外を構成および検証する」 を参照してください。
Windows での除外
Microsoft Defenderウイルス対策は、スケジュールされたスキャン、オンデマンド スキャン、リアルタイム保護からプロセス、ファイル、拡張機能の組み合わせを除外するように構成できます。 「Microsoft Defenderウイルス対策のカスタム除外を構成する」を参照してください。
保護のギャップを最小限に抑えるより詳細な制御を行う場合は、 コンテキスト ファイルとプロセスの除外の使用を検討してください。
ウイルス対策の事前構成済み除外
これらの除外の種類は、Microsoft Defender ウイルス対策のMicrosoft Defender for Endpointで事前構成されています。
| 除外の種類 | 構成 | 説明 |
|---|---|---|
| 自動Microsoft Defenderウイルス対策の除外 | 自動 | Windows Server のサーバーの役割と機能の自動除外。 Windows Server 2016 以降にロールをインストールすると、Microsoft Defenderウイルス対策には、サーバー ロールと、ロールのインストール中に追加されたすべてのファイルの自動除外が含まれます。 これらの除外は、Windows Server 2016以降のアクティブなロールに対してのみ行われます。 |
| 組み込みのMicrosoft Defenderウイルス対策の除外 | 自動 | Microsoft Defenderウイルス対策には、すべてのバージョンの Windows 上のオペレーティング システム ファイルに対する組み込みの除外が含まれています。 |
自動サーバー ロールの除外
自動サーバー ロールの除外には、Windows Server 2016 以降のサーバー ロールと機能の除外が含まれます。 これらの除外は リアルタイム保護 によってスキャンされませんが、引き続き クイック、フル、またはオンデマンドのウイルス対策スキャンの対象となります。
たとえば、次のような情報が含まれます。
- ファイル レプリケーション サービス (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS サーバー
- プリント サーバー
- Web サーバー
- Windows Server Update Services
- ...などです。
注:
Windows Server 2012 R2 では、サーバー ロールの自動除外はサポートされていません。 Active Directory Domain Services (AD DS) サーバーの役割がインストールされている R2 Windows Server 2012実行しているサーバーの場合は、ドメイン コントローラーの除外を手動で指定する必要があります。 「Active Directory の除外」を参照してください。
詳細については、「 自動サーバー ロールの除外」を参照してください。
組み込みのウイルス対策の除外
組み込みのウイルス対策の除外には、すべてのバージョンの Windows (Windows 10、Windows 11、Windows Server を含む) でMicrosoft Defenderウイルス対策によって除外される特定のオペレーティング システム ファイルが含まれます。
たとえば、次のような情報が含まれます。
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Updateファイル
- Windows セキュリティファイル
- 他にも多数あります。
Windows の組み込み除外の一覧は、脅威の状況の変化に応じて最新の状態に保たれます。 これらの除外の詳細については、「Microsoft Defender Windows Server でのウイルス対策の除外: 組み込みの除外」を参照してください。
攻撃面の縮小の除外
攻撃面の縮小ルール (ASR ルールとも呼ばれます) は、次のような特定のソフトウェア動作を対象とします。
- ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトの起動
- 難読化されている、またはその他の疑わしいと思われるスクリプトの実行
- 通常の毎日の作業中にアプリが通常開始しない動作の実行
場合によっては、正当なアプリケーションがソフトウェアの動作を示し、攻撃面の縮小ルールによってブロックされる可能性があります。 organizationで発生している場合は、特定のファイルとフォルダーの除外を定義できます。 このような除外は、すべての攻撃面の縮小ルールに適用されます。 「攻撃面の縮小ルールを有効にする」を参照してください。
注:
攻撃表面の縮小ルールはプロセスの除外を尊重しますが、すべての攻撃面の縮小ルールがMicrosoft Defenderウイルス対策の除外を受け入れたわけではありません。 「攻撃面の縮小ルールリファレンス - Microsoft Defenderウイルス対策の除外と ASR ルール」を参照してください。
Automation フォルダーの除外
Automation フォルダーの除外は、Defender for Endpoint の 自動調査と修復 に適用されます。これは、アラートを調査し、検出された侵害を解決するための即時アクションを実行するように設計されています。 アラートがトリガーされ、自動調査が実行されると、調査された証拠ごとに判定 (悪意のある、疑わしい、または脅威が見つかりません) に達します。 自動化レベルやその他のセキュリティ設定に応じて、修復アクションは自動的に、またはセキュリティ運用チームによる承認時にのみ実行できます。
フォルダー、特定のディレクトリ内のファイル拡張子、および自動調査および修復機能から除外するファイル名を指定できます。 このようなオートメーション フォルダーの除外は、Defender for Endpoint にオンボードされているすべてのデバイスに適用されます。 これらの除外は引き続きウイルス対策スキャンの対象となります。
詳細については、「 Automation フォルダーの除外を管理する」を参照してください。
フォルダー アクセスの除外の制御
フォルダー アクセスの制御 は、悪意のあるものとして検出されたアクティビティのアプリを監視し、Windows デバイス上の特定の (保護された) フォルダーの内容を保護します。 フォルダーアクセスの制御により、一般的なシステム フォルダー (ブート セクターを含む) や指定した他のフォルダーなど、保護されたフォルダーにアクセスできるのは信頼できるアプリのみです。 除外を定義することで、保護されたフォルダーへのアクセスを特定のアプリまたは署名済み実行可能ファイルに許可できます。
詳細については、「 制御されたフォルダー アクセスのカスタマイズ」を参照してください。
カスタム修復アクション
Microsoft Defenderウイルス対策は、スキャンの実行中に潜在的な脅威を検出すると、検出された脅威の修復または削除を試みます。 カスタム修復アクションを定義して、ウイルス対策Microsoft Defender特定の脅威に対処する方法、修復前に復元ポイントを作成するかどうか、および脅威を削除するタイミングを構成できます。
詳細については、「Microsoft Defenderウイルス対策検出の修復アクションを構成する」を参照してください。
除外とインジケーターの評価方法
ほとんどの組織には、ユーザーがファイルまたはプロセスにアクセスして使用できるかどうかを判断するためのさまざまな種類の除外とインジケーターがあります。 除外とインジケーターは、 ポリシーの競合が体系的に処理されるように、特定の順序で処理されます。
次に、動作のしくみを示します。
検出されたファイル/プロセスが Windows Defender アプリケーションコントロールと AppLocker によって許可されていない場合、ブロックされます。 それ以外の場合は、ウイルス対策のMicrosoft Defenderに進みます。
検出されたファイル/プロセスがMicrosoft Defenderウイルス対策の除外の一部でない場合、ブロックされます。 それ以外の場合、Defender for Endpoint は、ファイル/プロセスのカスタム インジケーターをチェックします。
検出されたファイル/プロセスにブロックまたは警告インジケーターがある場合、そのアクションが実行されます。 それ以外の場合、ファイル/プロセスが許可され、攻撃面の縮小ルール、制御されたフォルダー アクセス、SmartScreen 保護による評価に進みます。
検出されたファイル/プロセスが攻撃面の縮小ルール、制御されたフォルダー アクセス、または SmartScreen 保護によってブロックされていない場合は、ウイルス対策Microsoft Defenderに進みます。
検出されたファイル/プロセスがMicrosoft Defenderウイルス対策によって許可されていない場合は、その脅威 ID に基づいてアクションがチェックされます。
ポリシーの競合の処理方法
Defender for Endpoint インジケーターが競合する場合は、次のことが想定されます。
競合するファイル インジケーターがある場合は、最も安全なハッシュを使用するインジケーターが適用されます。 たとえば、SHA256 は SHA-1 よりも優先され、MD5 よりも優先されます。
競合する URL インジケーターがある場合は、より厳密なインジケーターが使用されます。 SmartScreen Microsoft Defenderの場合、最も長い URL パスを使用するインジケーターが適用されます。 たとえば、
www.dom.ainよりもwww.dom.ain/admin/が優先されます。 (ネットワーク保護 は、ドメイン内のサブページではなく、ドメインに適用されます)。異なるアクションを持つファイルまたはプロセスに対して同様のインジケーターがある場合、特定のデバイス グループを対象とするインジケーターが、すべてのデバイスを対象とするインジケーターよりも優先されます。
自動調査と修復がインジケーターとどのように連携するか
Defender for Endpoint の自動調査と修復機能は、まず各証拠の判定を決定してから、Defender for Endpoint インジケーターに応じてアクションを実行します。 したがって、ファイル/プロセスは "良い" (脅威が見つからなかったことを意味します) という評決を受け、そのアクションを持つインジケーターがある場合でもブロックされる可能性があります。 同様に、エンティティは "bad" (悪意があると判断される) の判定を受け、そのアクションを持つインジケーターがある場合でも許可される可能性があります。
詳細については、「 自動調査と修復とインジケーター」を参照してください。
その他のサーバー ワークロードと除外
organizationが他のサーバー ワークロード (Exchange Server、SharePoint Server、SQL Serverなど) を使用している場合は、Windows Server 上の組み込みのサーバー ロール (後でインストールするソフトウェアの前提条件となる可能性がある) のみが、自動サーバー ロールの除外機能 (既定のインストール場所を使用する場合のみ) によって除外されることに注意してください。 これらの他のワークロード、または自動除外を無効にした場合は、すべてのワークロードに対してウイルス対策の除外を定義する必要があります。
必要な除外を特定して実装するための技術ドキュメントの例を次に示します。
- Exchange Serverでウイルス対策ソフトウェアを実行する
- SharePoint Server のウイルス対策スキャンから除外するフォルダー
- SQL Serverのウイルス対策ソフトウェアの選択
使用している内容によっては、そのサーバー ワークロードのドキュメントを参照する必要がある場合があります。
関連項目
- 除外を使用して一般的な誤検知シナリオに対処する
- Microsoft Defender ウイルス対策の除外を構成する
- 除外を定義する際に避ける必要のある一般的な間違い
- Microsoft Defender for Endpointのインジケーターの概要
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。