インジケーターを管理する

完了

侵害のインジケーター (IoC) の照合は、すべてのエンドポイント保護ソリューションで不可欠な機能です。 この機能を使用すると、SecOps で検出インジケーターのリストを設定し、ブロック (防止と対応) を行うことができます。 エンティティの検出、防止、除外を定義するインジケーターを作成します。 実行するアクション、アクションを適用する期間、適用先のデバイス グループのスコープを定義することができます。

現在サポートされているソースは、Defender for Endpoint のクラウド検出エンジン、自動調査および修復エンジン、エンドポイント防止エンジン (Microsoft Defender AV) です。

クラウド検出エンジン

Defender for Endpoint のクラウド検出エンジンは、収集されたデータを定期的にスキャンして、設定したインジケーターとの照合を試みます。 一致するものがある場合は、指定した IoC 設定に従ってアクションが実行されます。

エンドポイント防止エンジン

同じインジケーターのリストが、防止エージェントによって受け入れられます。 つまり、Microsoft Defender AV が構成されたプライマリ AV である場合、一致したインジケーターは設定に従って処理されます。 たとえば、アクションが "アラートとブロック" の場合、Microsoft Defender AV によってファイルの実行が防止され (ブロックと修復)、対応するアラートが生成されます。 それ以外の場合、アクションが "許可" に設定されていると、Microsoft Defender AV はファイルの実行を検出したりブロックしたりしません。

自動調査および修復エンジン

自動調査と修復は同じように動作します。 インジケーターが "許可" に設定されている場合、自動調査と修復では "不良" 判定が無視されます。 "ブロック" に設定すると、自動調査と修復では "不良" と扱います。

サポートされているアクションは次のとおりです。

  • Allow

  • アラートのみ

  • アラートとブロック

次に関するインジケーターを作成できます。

  • ファイル

  • IP アドレス、URL/ドメイン

  • 証明書

テナントごとに、インジケーターに 15,000 個の制限があります。

インジケーターを管理する

インジケーターを管理するには、次のようにします。

  • ナビゲーション ウィンドウで、[設定] > [エンドポイント] を選択し、[ルール] 領域で [インジケーター] を選択します。

  • 管理するエンティティの種類のタブを選択します。

  • インジケーターの詳細を更新して [保存] を選択するか、リストからエンティティを削除する場合は [削除] ボタンを選択します。

ファイルのインジケーターを作成する

潜在的に悪意のあるファイルや疑いのあるマルウェアを禁止して、組織内の攻撃のさらなる伝播を防ぐことができます。 悪意のある可能性のある移植可能な実行可能 (PE) ファイルが既知の場合は、ブロックできます。 この操作によって、組織内のコンピューター上でそのファイルの読み取り、書き込み、実行を防ぐことができます。

ファイルのインジケーターを作成するには、次の 2 つの方法があります。

  • [設定] ページでインジケーターを作成する

  • [ファイルの詳細] ページの [インジケーターの追加] ボタンを使用してコンテキスト インジケーターを作成する

前提条件

ファイルのインジケーターを作成する前に、次の前提条件を理解しておく必要があります。

  • この機能は、組織が Windows Defender ウイルス対策を使用して、クラウド ベースの保護が有効になっている場合にのみ利用できます。 詳細については、「クラウド ベースの保護の管理」を参照してください。

  • マルウェア対策クライアントのバージョンは、4.18.1901.x 以降である必要があります。

  • Windows 10、バージョン 1703 以降、Windows Server 2016 および 2019 を搭載したコンピューターでサポートされています。

  • ファイルのブロックを開始するには、まず、[設定] でブロックまたは許可の機能をオンにする必要があります。

  • この機能は、マルウェアの疑いのあるソフトウェア (または悪意のある可能性のあるファイル) の Web からのダウンロードを防ぐための機能です。 現在、.exe ファイルや .dll ファイルなど、移植可能な実行可能 (PE) ファイルがサポートされています。 時間の経過と共に、対象範囲が拡大されます。

重要

許可またはブロック アクションの前にファイルの分類がデバイスのキャッシュにある場合、許可またはブロック機能はそのファイルに対して実行できません。 信頼された署名付きファイルは、別の方法で処理されます。 Defender for Endpoint は、悪意のあるファイルを処理するように最適化されています。 信頼された署名付きファイルをブロックしようとすると、パフォーマンスに影響する場合があります。 通常、ファイル ブロックは数分以内に適用されますが、30 分以上かかることがあります。

[ファイルの詳細] ページからコンテキスト インジケーターを作成する

ファイルに対して応答アクションを実行するときのオプションの 1 つは、ファイルのインジケーターを追加するというものです。 ファイルのインジケーター ハッシュを追加すると、組織内のマシンがそのファイルを実行しようとするたびにアラートを生成してファイルをブロックすることを選択できます。 インジケーターによって自動的にブロックされたファイルは、ファイルのアクション センターには表示されなくなりますが、アラートはアラート キューで引き続き表示されます。

IP と URL/ドメインのインジケーターを作成する

Defender for Endpoint は、Microsoft ブラウザーについては Windows Defender SmartScreen を通じて、Microsoft 以外のブラウザーやブラウザー外で行われた呼び出しについてはネットワーク保護を通じて、Microsoft が悪意があると見なしている IP/URL をブロックできます。

これについて設定された脅威インテリジェンス データセットは、Microsoft によって管理されています。

IP と URL、またはドメインのインジケーターを作成すると、独自の脅威インテリジェンスに基づいて、IP、URL、またはドメインを許可またはブロックできるようになります。 特定のグループが他のグループよりも多少リスクが高いと思われた場合、[設定] ページから、またはマシン グループを使用してこれを行うことができます。 IP アドレスのクラスレス ドメイン間ルーティング (CIDR) 表記はサポートされていません。

前提条件

IP、URL、またはドメインのインジケーターを作成する前に、次の前提条件を理解しておく必要があります。

  • URL/IP の許可およびブロックは、Defender for Endpoint コンポーネントのネットワーク保護がブロック モードで有効になっているかどうかに依存します。 ネットワーク保護と構成手順の詳細については、「ネットワーク保護を有効にする」を参照してください。

  • マルウェア対策クライアントのバージョンは、4.18.1906.x 以降である必要があります。

  • Windows 10、バージョン 1709 以降のマシンでサポートされています。

  • [Microsoft Defender セキュリティ センター] > [設定] > [高度な機能] で、[カスタム ネットワーク インジケーター] が有効になっていることを確認します。 詳細については、「高度な機能」を参照してください。

インジケーター リストに追加できるのは、外部 IP のみです。 内部 IP に対してインジケーターを作成することはできません。 Web 保護のシナリオでは、Microsoft Edge の組み込み機能を使用することをお勧めします。 Microsoft Edge はネットワーク保護を使用してネットワーク トラフィックを検査し、TCP、HTTP、HTTPS (TLS) のブロックを許可します。 他のすべてのプロセスについては、Web 保護シナリオでは検査と実施にネットワーク保護を使用します。

  • IP は 3 つのプロトコルすべてでサポートされます

  • 1 つの IP アドレスのみがサポートされています (CIDR ブロックも IP 範囲もサポートされません)

  • 暗号化された URL (完全パス) は、ファースト パーティ ブラウザーでのみブロックできます

  • 暗号化された URL (FQDN のみ) は、ファースト パーティ ブラウザー外からブロックできます

  • 完全な URL パス ブロックは、ドメイン レベルおよび暗号化されていないすべての URL で適用できます

アクションが実行されてから、URL と IP がブロックされるまでに、最大 2 時間の待機時間 (通常はこれより短い) が発生する場合があります。

IP、URL、またはドメインのインジケーターを作成する

  1. ナビゲーション ウィンドウで、[設定] > [インジケーター] を選択します。

  2. [IP addresses or URLs/Domains] (IP アドレスまたは URL/ドメイン) タブを選択します。

  3. [項目の追加] を選択します。

  4. 次の詳細情報を指定します。

    • インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。

    • アクション - 実行するアクションを指定し、説明を入力します。

    • スコープ - コンピューター グループのスコープを定義します。

  5. [概要] タブで詳細を確認し、[保存] を選択します。

証明書に基づいてインジケーターを作成する

証明書のインジケーターを作成できます。 一般的なユース ケースは次のとおりです。

  • 攻撃面を減らすルールやフォルダー アクセスの制御などのブロック テクノロジをデプロイする必要があるが、許可リストに証明書を追加して署名済みアプリケーションからの動作を許可する必要がある場合。

  • 組織全体にわたって特定の署名済みアプリケーションの使用をブロックする。 アプリケーションの証明書をブロックするインジケーターを作成すると、Windows Defender AV はファイルの実行を防止し (ブロックと修復)、自動調査と修復が同じように動作します。

前提条件

証明書のインジケーターを作成する前に、次の要件を理解しておく必要があります。

  • この機能は、組織が Windows Defender ウイルス対策を使用して、クラウド ベースの保護が有効になっている場合にのみ利用できます。 詳細については、「クラウド ベースの保護の管理」を参照してください。

  • マルウェア対策クライアントのバージョンは、4.18.1901.x 以降である必要があります。

  • Windows 10、バージョン 1703 以降、Windows Server 2016 および 2019 を搭載したマシンでサポートされています。

  • ウイルスおよび脅威保護の定義は最新である必要があります。

  • この機能は現在、.CER または .PEM ファイル拡張子の入力をサポートしています。

有効なリーフ証明書は、有効な証明書パスを持つ署名証明書であり、Microsoft が信頼するルート証明機関 (CA) までチェーンされている必要があります。 または、クライアントによって信頼されている限り、カスタム (自己署名) 証明書を使用することもできます (ルート CA 証明書は、ローカルコンピューターの "信頼されたルート証明機関" の下にインストールされます)。 許可/ブロック証明書 IoC の子または親は、許可/ブロック IoC 機能には含まれておらず、リーフ証明書のみがサポートされています。 Microsoft 署名入り証明書をブロックすることはできません。

証明書 IoC を作成および削除するには、最大 3 時間かかる場合があります。

証明書のインジケーターを作成します。

  1. Microsoft Defender ポータルで、[設定] > [エンドポイント] > [インジケーター] を選びます。

  2. [証明書] タブを選択します。

  3. [+ 項目の追加] を選択します。

  4. 次の詳細情報を指定します。

    • インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。

    • アクション - 実行するアクションを指定し、説明を入力します。

    • スコープ - コンピューター グループのスコープを定義します。

  5. [概要] タブで詳細を確認し、[保存] を選択します。

IoC のリストをインポートする

インジケーターの属性、実行するアクション、その他の詳細を定義する CSV ファイルをアップロードすることもできます。

サポートされている列の属性については、サンプルの CSV をダウンロードしてください。

  1. Microsoft Defender ポータルで、[設定] > [エンドポイント] > [インジケーター] を選びます。

  2. インジケーターをインポートするエンティティの種類のタブを選択します。

  3. [インポート] > [ファイルの選択] を選択します。

  4. [インポート] を選択します。 インポートするすべてのファイルに対してこれを行います。

  5. [完了] を選択します。

サポートするパラメーターを次の表に示します。

パラメーター 説明
indicatorType 列挙型 インジケーターの種類。 指定できる値は、"FileSha1"、"FileSha256"、"IpAddress"、"DomainName"、"Url" です。 必須
indicatorValue String インジケーター エンティティの ID。 必須
action 列挙型 インジケーターが組織内で検出された場合に行われるアクション。 指定できる値は、"Alert"、"AlertAndBlock"、"Allowed" です。 必須
title String インジケーター アラートのタイトル。 必須
description String インジケーターの説明。 必須
expirationTime DateTimeOffset YYYY-MM-DDTHH:MM:SS.0Z の形式で表されるインジケーターの有効期限。 省略可能
severity 列挙型 インジケーターの重要度。 指定できる値は、"情報"、"低"、"中"、"高" です。 省略可能
recommendedActions String TI インジケーター アラート推奨のアクション。 省略可能
rbacGroupNames String インジケーターが適用される RBAC グループのコンマ区切りのリスト。 省略可能
category String アラートのカテゴリ。 例としては、実行と資格情報へのアクセスがあります。 省略可能
MITRE 手法 String MITRE 手法コード/ID (コンマ区切り)。 詳細については、「エンタープライズの方針」を参照してください。 省略可能な場合は、MITRE 手法のときにカテゴリに値を追加することをお勧めします。