証明書に基づいてインジケーターを作成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
証明書のインジケーターを作成できます。 一般的なユース ケースには、次のようなものがあります。
- 攻撃面の縮小ルールなど、ブロック テクノロジを展開する必要があるが、許可リストに証明書を追加して署名されたアプリケーションからの動作を許可する必要があるシナリオ。
- organization全体で特定の署名済みアプリケーションの使用をブロックする。 アプリケーションの証明書をブロックするインジケーターを作成することで、Windows Defender AV はファイルの実行 (ブロックと修復) を防ぎ、自動調査と修復は同じように動作します。
開始する前に
証明書のインジケーターを作成する前に、次の要件を理解しておくことが重要です。
この機能は、organizationでウイルス対策とクラウドベースの保護が有効Microsoft Defender使用している場合に使用できます。 詳細については、「 クラウドベースの保護を管理する」を参照してください。
マルウェア対策クライアントのバージョンは 4.18.1901.x 以降である必要があります。
Windows 10 バージョン 1703 以降の Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、および Windows Server 2022 上のマシンでサポートされます。
注:
この機能を機能させるには、「Windows サーバーのオンボード」の手順を使用して、R2 のWindows Server 2016とWindows Server 2012をオンボードする必要があります。
ウイルスと脅威の保護の定義は最新である必要があります。
この機能では、現在、 の入力がサポートされています。CER または 。PEM ファイル拡張子。
重要
- 有効なリーフ証明書は、有効な証明書パスを持ち、Microsoft によって信頼されているルート証明機関 (CA) にチェーンされている必要がある署名証明書です。 または、カスタム (自己署名) 証明書は、クライアントによって信頼されている限り使用できます (ルート CA 証明書は、ローカル コンピューターの [信頼されたルート証明機関] の下にインストールされます)。
- 許可/ブロック証明書 IOC の子または親は、許可/ブロック IoC 機能には含まれず、リーフ証明書のみがサポートされます。
- Microsoft 署名付き証明書はブロックできません。
[設定] ページから証明書のインジケーターを作成します。
重要
証明書 IoC の作成と削除には、最大で 3 時間かかることがあります。
ナビゲーション ウィンドウで、 設定>Endpoints>Indicators ( [ルール] の下) を選択します。
[ インジケーターの追加] を選択します。
次の詳細を指定します。
- インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。
- [アクション] - 実行するアクションを指定し、説明を指定します。
- スコープ - マシン グループのスコープを定義します。
[概要] タブで詳細を確認し、[ 保存] をクリックします。
関連記事
- インジケーターの作成
- ファイルのインジケーターを作成
- IP および URL/ドメインのインジケーターを作成
- インジケーターの管理
- Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。