Linux 上のMicrosoft Defender for Endpointを使用して望ましくない可能性のあるアプリケーションを検出してブロックする
適用対象:
- Microsoft Defender for Endpoint Server
- サーバーのMicrosoft Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
Defender for Endpoint on Linux の望ましくない可能性のあるアプリケーション (PUA) 保護機能は、ネットワーク内のエンドポイント上の PUA ファイルを検出してブロックできます。
これらのアプリケーションは、ウイルス、マルウェア、またはその他の種類の脅威とは見なされませんが、パフォーマンスや使用に悪影響を与えるエンドポイントでアクションを実行する可能性があります。 PUA は、評判が低いと見なされるアプリケーションを参照することもできます。
これらのアプリケーションは、ネットワークがマルウェアに感染するリスクを高め、マルウェア感染の識別が困難になり、アプリケーションをクリーンアップする IT リソースを無駄にすることができます。
メカニズム
Defender for Endpoint on Linux では、PUA ファイルを検出して報告できます。 ブロッキング モードで構成すると、PUA ファイルは検疫に移動されます。
エンドポイントで PUA が検出されると、Defender for Endpoint on Linux は脅威履歴に感染の記録を保持します。 履歴は、Microsoft Defender ポータルまたはmdatp
コマンド ライン ツールを使用して視覚化できます。 脅威名には"Application"という単語が含まれます。
PUA 保護を構成する
Linux 上の Defender for Endpoint の PUA 保護は、次のいずれかの方法で構成できます。
- オフ: PUA 保護が無効になっています。
- 監査: PUA ファイルは製品ログに報告されますが、Microsoft Defender XDRでは報告されません。 感染の記録は脅威履歴に保存されておらず、製品によって何も行われません。
- ブロック: PUA ファイルは、製品ログとMicrosoft Defender XDRで報告されます。 感染の記録は脅威履歴に保存され、製品によってアクションが実行されます。
警告
既定では、PUA 保護は 監査 モードで構成されます。
PUA ファイルの処理方法は、コマンド ラインまたは管理コンソールから構成できます。
コマンド ライン ツールを使用して PUA 保護を構成します。
ターミナルで、次のコマンドを実行して PUA 保護を構成します。
mdatp threat policy set --type potentially_unwanted_application --action [off|audit|block]
PUA 保護を構成するには、管理コンソールを使用します。
企業では、他の製品設定の構成方法と同様に、Puppet や Ansible などの管理コンソールから PUA 保護を構成できます。 詳細については、「Linux 上の Defender for Endpoint の基本設定を設定する」の「脅威の種類の設定」を参照してください。
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。