Defender for Endpoint で高度な機能を構成する
適用対象:
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
使用する Microsoft セキュリティ製品によっては、Defender for Endpoint を統合できる高度な機能がいくつか用意されている場合があります。
高度な機能を有効にする
Microsoft Defender ポータルに移動し、サインインします。
ナビゲーション ウィンドウで、 設定>Endpoints>Advanced 機能を選択します。
構成する高度な機能を選択し、 設定を [オン ] と [ オフ] の間で切り替えます。
[環境設定の保存] を選択します。
次の高度な機能を使用して、潜在的に悪意のあるファイルから保護を強化し、セキュリティ調査中により良い分析情報を得ることができます。
スコープ付きデバイス グループ内への関連付けを制限する
この構成は、ローカル SOC 操作でアラートの関連付けを、アクセスできるデバイス グループのみに制限するシナリオに使用できます。 この設定をオンにすると、デバイス間グループが 1 つのインシデントと見なされなくなるアラートで構成されるインシデントが発生します。 ローカル SOC は、関連するデバイス グループのいずれかにアクセスできるため、インシデントに対してアクションを実行できます。 ただし、グローバル SOC では、1 つのインシデントではなく、デバイス グループごとに複数の異なるインシデントが表示されます。 この設定を有効にすることは、organization全体のインシデント相関関係の利点を上回る場合を除き、お勧めしません。
注:
この設定を変更すると、将来のアラートの相関関係にのみ影響します。
デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
ブロック モードで EDR を有効にする
ブロック モードのエンドポイント検出と応答 (EDR) は、ウイルス対策がパッシブ モードで実行されている場合でも、悪意のある成果物からの保護Microsoft Defender提供します。 オンにすると、ブロック モードの EDR は、デバイスで検出された悪意のあるアーティファクトまたは動作をブロックします。 ブロック モードの EDR は、侵害後に検出された悪意のある成果物を修復するためにバックグラウンドで機能します。
アラートを自動的に解決する
この設定をオンにすると、脅威が見つからなかった場合や、検出された脅威が修復されたアラートが自動的に解決されます。 アラートを自動解決したくない場合は、機能を手動でオフにする必要があります。
注:
- 自動解決アクションの結果は、デバイスで検出されたアクティブなアラートに基づくデバイス リスク レベルの計算に影響する可能性があります。
- セキュリティ運用アナリストがアラートの状態を "進行中" または "解決済み" に手動で設定した場合、自動解決機能によって上書きされることはありません。
ファイルを許可またはブロックする
ブロックは、organizationが次の要件を満たしている場合にのみ使用できます。
- Microsoft Defenderウイルス対策をアクティブなマルウェア対策ソリューションとして使用し、
- クラウドベースの保護機能が有効になっている
この機能を使用すると、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。 ファイルをブロックすると、organization内のデバイスでファイルの読み取り、書き込み、または実行ができなくなります。
[ファイルの許可またはブロック] をオンにするには:
Microsoft Defender ポータルのナビゲーション ウィンドウで、設定>Endpoints>General>Advanced features>Allow または block file を選択します。
設定を [オン] と [オフ] の間で切り替えます。
ページの下部にある [ 設定の保存] を選択します。
この機能を有効にした後、 ファイル のプロファイル ページの [ インジケーターの追加 ] タブを使用してファイルをブロックできます。
重複する可能性のあるデバイス レコードを非表示にする
この機能を有効にすると、重複する可能性があるデバイス レコードを非表示にすることで、デバイスに関する最も正確な情報が確実に表示されるようになります。 重複するデバイス レコードが発生する理由はさまざまです。たとえば、Microsoft Defender for Endpointのデバイス検出機能によって、ネットワークがスキャンされ、既にオンボードされているか、最近オフボードされているデバイスが検出される場合があります。
この機能は、ホスト名と最後に表示された時刻に基づいて、重複する可能性のあるデバイスを特定します。 重複するデバイスは、コンピューター データのデバイス インベントリ、Microsoft Defender 脆弱性の管理 ページ、パブリック API など、ポータル内の複数のエクスペリエンスから非表示になり、最も正確なデバイス レコードが表示されます。 ただし、重複は引き続きグローバル検索、高度なハンティング、アラート、インシデント の各ページに表示されます。
この設定は既定でオンになり、テナント全体に適用されます。 重複する可能性のあるデバイス レコードを非表示にしたくない場合は、機能を手動でオフにする必要があります。
カスタム ネットワーク インジケーター
この機能をオンにすると、IP アドレス、ドメイン、または URL のインジケーターを作成できます。これにより、カスタム インジケーター リストに基づいて許可されるかブロックされるかが決まります。
この機能を使用するには、デバイスがバージョン 1709 以降Windows 10実行されているか、Windows 11されている必要があります。 また、ブロック モードでネットワーク保護を行い、マルウェア対策プラットフォームのバージョン 4.18.1906.3 以降の場合は 、「KB 4052623」を参照してください。
詳細については、「 インジケーターの概要」を参照してください。
注:
ネットワーク保護は、Defender for Endpoint データ用に選択した場所の外部にある可能性がある場所で要求を処理する評判サービスを利用します。
改ざん防止
一部の種類のサイバー攻撃では、悪意のあるアクターは、コンピューター上のウイルス対策保護などのセキュリティ機能を無効にしようとします。 不適切なアクターは、セキュリティ機能を無効にして、データへのアクセスを容易にしたり、マルウェアをインストールしたり、データ、ID、デバイスを悪用したりします。 改ざん防止は基本的にウイルス対策Microsoft Defenderロックし、アプリや方法によってセキュリティ設定が変更されるのを防ぎます。
改ざん防止の構成方法など、詳細については、「改ざん防止 によるセキュリティ設定の保護」を参照してください。
ユーザーの詳細を表示する
この機能をオンにすると、Microsoft Entra IDに保存されているユーザーの詳細を確認できます。 詳細には、ユーザー アカウント エンティティを調査するときのユーザーの画像、名前、タイトル、部署の情報が含まれます。 ユーザー アカウント情報は、次のビューで確認できます。
- アラート キュー
- [デバイスの詳細] ページ
詳細については、「 ユーザー アカウントを調査する」を参照してください。
Skype for Business 統合
Skype for Business統合を有効にすると、Skype for Business、電子メール、または電話を使用してユーザーと通信できます。 このアクティブ化は、ユーザーと通信し、リスクを軽減する必要がある場合に便利です。
注:
デバイスがネットワークから分離されている場合は、Outlook と Skype の通信を有効にして、ユーザーがネットワークから切断されている間にユーザーとの通信を許可するポップアップが表示されます。 この設定は、デバイスが分離モードの場合に Skype と Outlook の通信に適用されます。
Microsoft Defender for Cloud Apps
この設定を有効にすると、Defender for Endpoint 信号がMicrosoft Defender for Cloud Appsに転送され、クラウド アプリケーションの使用状況をより詳細に把握できます。 転送されたデータは、Defender for Cloud Apps データと同じ場所に格納および処理されます。
注:
この機能は、Windows 10、バージョン 1709 (OS ビルド 16299.108 Enterprise Mobility + Security 5 KB4493441)、Windows 10、バージョン 1803 (OS ビルド 17134.704 KB4493464)、Windows 10 Version 1809(OS ビルド 17763.379 とKB4489899)、以降のWindows 10バージョン、またはWindows 11。
Web コンテンツ フィルタリング
不要なコンテンツを含む Web サイトへのアクセスをブロックし、すべてのドメインにわたる Web アクティビティを追跡します。 ブロックする Web コンテンツ カテゴリを指定するには、 Web コンテンツ フィルタリング ポリシーを作成します。 Microsoft Defender for Endpointセキュリティ ベースラインをデプロイするときに、ネットワーク保護がブロック モードになっていることを確認します。
統合監査ログ
Microsoft Purview で検索すると、セキュリティとコンプライアンス チームが重要な監査ログ イベント データを表示して、分析情報を得てユーザー アクティビティを調査できます。 監査されたアクティビティがユーザーまたは管理者によって実行されるたびに、監査レコードが生成され、organizationの Microsoft 365 監査ログに格納されます。 詳細については、「 監査ログを検索する」を参照してください。
デバイス検出
余分なアプライアンスや面倒なプロセスの変更を必要とせずに、会社のネットワークに接続されている管理されていないデバイスを見つけるのに役立ちます。 オンボードデバイスを使用すると、ネットワーク内のアンマネージド デバイスを見つけ、脆弱性とリスクを評価できます。 詳細については、「 デバイスの検出」を参照してください。
注:
いつでもフィルタを適用して、管理対象外のデバイスをデバイス インベントリ リストから除外できます。 API クエリのオンボーディング ステータス列を使用して、管理されていないデバイスを除外することもできます。
検疫済みファイルをダウンロードする
検疫されたファイルを安全で準拠した場所にバックアップして、検疫から直接ダウンロードできるようにします。 [ ファイルのダウンロード ] ボタンは常にファイル ページで使用できます。 この設定は既定でオンになっています。 要件の詳細を確認する
Defender ポータルでデバイスをオンボードするときの、既定の合理化された接続
この設定により、既定のオンボード パッケージが、該当するオペレーティング システムの 合理化された接続 に設定されます。 オンボード ページ内で標準オンボード パッケージを使用することもできますが、ドロップダウンで特別に選択する必要があります。
ライブ応答
適切なアクセス許可を持つユーザーがデバイスでライブ応答セッションを開始できるように、この機能を有効にします。
ロールの割り当ての詳細については、「ロールの 作成と管理」を参照してください。
サーバーのライブ応答
適切なアクセス許可を持つユーザーがサーバーでライブ応答セッションを開始できるように、この機能を有効にします。
ロールの割り当ての詳細については、「ロールの 作成と管理」を参照してください。
ライブ応答の符号なしスクリプトの実行
この機能を有効にすると、ライブ応答セッションで署名されていないスクリプトを実行できます。
欺騙
詐欺により、セキュリティ チームは、環境内の攻撃者を捕まえるために、誘惑とデコイを管理および展開できます。 これを有効にした後、[ルール] > [欺瞞ルール] に移動して、詐欺キャンペーンを実行します。 「Microsoft Defender XDRでの詐欺機能の管理」を参照してください。
エンドポイント アラートを Microsoft コンプライアンス センターと共有する
エンドポイントセキュリティアラートとそのトリアージステータスをMicrosoft Purview コンプライアンス ポータルに転送し、アラートを使用してインサイダーリスク管理ポリシーを強化し、内部リスクを修復してから損害を引き起こします。 転送されたデータは、Office 365 データと同じ場所に処理され、格納されます。
インサイダー リスク管理設定で セキュリティ ポリシー違反インジケーター を構成した後、Defender for Endpoint アラートは、該当するユーザーのインサイダー リスク管理と共有されます。
Microsoft Intune接続
Defender for Endpoint をMicrosoft Intuneと統合して、デバイスのリスクベースの条件付きアクセスを有効にすることができます。 この機能を有効にすると、Defender for Endpoint デバイス情報をIntuneと共有できるようになり、ポリシーの適用が強化されます。
重要
この機能を使用するには、Intuneと Defender for Endpoint の両方で統合を有効にする必要があります。 特定の手順の詳細については、「 Defender for Endpoint で条件付きアクセスを構成する」を参照してください。
この機能は、次の前提条件がある場合にのみ使用できます。
- Enterprise Mobility + Security E3および Windows E5 (または E5 Microsoft 365 Enterprise) のライセンステナント
- Intuneマネージド Windows デバイスが参加しているアクティブなMicrosoft Intune環境Microsoft Entra。
認証済みテレメトリ
認証されたテレメトリ を有効に して、ダッシュボードへのテレメトリのなりすましを防ぐことができます。
プレビュー機能
Defender for Endpoint プレビュー リリースの新機能について説明します。
プレビュー エクスペリエンスを有効にして、今後の機能をお試しください。 機能が一般公開される前に、全体的なエクスペリエンスを向上させるためにフィードバックを提供できる、今後の機能にアクセスできます。
プレビュー機能が既に有効になっている場合は、メイン Defender XDR設定から設定を管理します。
詳細については、「Microsoft Defender XDR プレビュー機能」を参照してください。
エンドポイント攻撃の通知
エンドポイント攻撃通知 を使用すると、緊急性とエンドポイント データへの影響に基づいて重要な脅威を積極的に検出できます。
メール、コラボレーション、ID、クラウド アプリケーション、エンドポイントにまたがる脅威など、Microsoft Defender XDRの全範囲にわたるプロアクティブハンティングについては、Microsoft Defenderエキスパートの詳細をご覧ください。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。