ネットワーク保護を使用して、悪意のあるサイトや疑わしいサイトへの接続を防ぐ
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
- macOS
- Linux
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップします。
ネットワーク保護の概要
ネットワーク保護は、悪意のあるサイトや疑わしいサイトへの接続を防ぐことで、特定のインターネット ベースのイベントからデバイスを保護するのに役立ちます。 ネットワーク保護は、organizationのユーザーがアプリケーションを通じて危険と見なされるドメインにアクセスするのを防ぐのに役立つ攻撃面の縮小機能です。 危険なドメインの例としては、フィッシング詐欺、悪用、その他の悪意のあるコンテンツをインターネット上でホストするドメインがあります。 ネットワーク保護により、Microsoft Defender SmartScreen のスコープが拡張され、低評価ソースへの接続を試みるすべての送信 HTTP (S) トラフィックがブロックされます (ドメインまたはホスト名に基づきます)。
ネットワーク保護は 、Web 保護 の保護をオペレーティング システム レベルに拡張し、 Web コンテンツ フィルター 処理 (WCF) のコア コンポーネントです。 Microsoft Edge で見つかった Web 保護機能は、サポートされている他のブラウザーと非ブラウザー アプリケーションに提供されます。 また、ネットワーク保護は、 エンドポイントの検出と応答で使用する場合に、侵害のインジケーター (IOC) の可視性とブロックも提供します。 たとえば、ネットワーク保護は、特定のドメインまたはホスト名をブロックするために使用できる カスタム インジケーター と連携します。
ネットワーク保護カバレッジ
次の表は、カバレッジのネットワーク保護領域をまとめたものです。
機能 | Microsoft Edge | Microsoft 以外のブラウザー | 非browser プロセス (PowerShell など) |
---|---|---|---|
Web Threat Protection | SmartScreen を有効にする必要があります | ネットワーク保護はブロック モードである必要があります | ネットワーク保護はブロック モードである必要があります |
カスタム インジケーター | SmartScreen を有効にする必要があります | ネットワーク保護はブロック モードである必要があります | ネットワーク保護はブロック モードである必要があります |
Web コンテンツ のフィルター処理 | SmartScreen を有効にする必要があります | ネットワーク保護はブロック モードである必要があります | 非サポート |
注:
Mac および Linux では、これらの機能を Microsoft Edge ブラウザーでサポートするには、ブロック モードのネットワーク保護が必要です。 Windows では、ネットワーク保護は Microsoft Edge を監視しません。 Microsoft Edge およびインターネット エクスプローラー以外のプロセスの場合、Web 保護シナリオでは、検査と適用のためにネットワーク保護を利用します。
留意すべき重要な点を次に示します。
IP は、3 つのプロトコル (
TCP
、HTTP
、HTTPS
(TLS)) すべてでサポートされています。カスタム インジケーターでサポートされている IP アドレスは 1 つだけ (CIDR ブロックまたは IP 範囲なし)。
暗号化された URL (フル パス) は、Microsoft ブラウザー (インターネット エクスプローラー、Microsoft Edge) でのみブロックされます。
暗号化された URL (FQDN のみ) は、Microsoft 以外のブラウザーではブロックされます。
最新の CDN によって読み込まれたコンテンツなど、HTTP 接続を介して読み込まれた URL は、CDN URL 自体がインジケーター リストに追加されていない限り、Microsoft ブラウザー (インターネット エクスプローラー、Microsoft Edge) でのみブロックされます。
Network Protection では、標準ポートと非標準ポートの両方での接続がブロックされます。
完全な URL パス ブロックは、暗号化されていない URL に適用されます。
アクションが実行されてから URL/IP がブロックされてから最大 2 時間 (通常は短い) 待機時間が発生する可能性があります。
このビデオでは、ネットワーク保護によって、フィッシング詐欺、悪用、その他の悪意のあるコンテンツからデバイスの攻撃対象を減らす方法について説明します。
ネットワーク保護の要件
ネットワーク保護には、次のいずれかのオペレーティング システムを実行しているデバイスが必要です。
- Windows 10または 11 (Pro または Enterprise) (サポートされている Windows バージョンを参照)
- Windows Serverバージョン 1803 以降 (「サポートされている Windows バージョン」を参照)
- macOS バージョン 12 (モントレー) 以降 (Mac でのMicrosoft Defender for Endpointを参照)
- サポートされている Linux バージョン (Linux でのMicrosoft Defender for Endpointを参照)
ネットワーク保護では、リアルタイム保護が有効になっているMicrosoft Defenderウイルス対策も必要です。
Windows バージョン | Microsoft Defender ウイルス対策 |
---|---|
バージョン 1709 以降、Windows 11、Windows Server 1803 以降Windows 10 | Microsoft Defenderウイルス対策リアルタイム保護、動作監視、クラウド配信保護が有効になっていることを確認します (アクティブ) |
最新の統合エージェントを使用して R2 とWindows Server 2016をWindows Server 2012する | プラットフォーム更新プログラムのバージョン 4.18.2001.x.x 以降 |
ネットワーク保護が重要な理由
ネットワーク保護は、Microsoft Defender for Endpointのソリューションの攻撃面削減グループの一部です。 ネットワーク保護を使用すると、ネットワーク レイヤーは URL と IP アドレスをブロックできます。 ネットワーク保護は、特定のブラウザーと標準のネットワーク接続を使用して URL へのアクセスをブロックできます。 既定では、ネットワーク保護は SmartScreen フィードを使用して既知の悪意のある URL からコンピューターを保護します。これにより、Microsoft Edge ブラウザーの SmartScreen のような方法で悪意のある URL がブロックされます。 ネットワーク保護機能は、次の機能に拡張できます。
- 独自の脅威インテリジェンス (インジケーター) から IP/URL アドレスをブロックする
- 承認されていないサービスをMicrosoft Defender for Cloud Appsからブロックする
- カテゴリに基づいて Web サイトへのブラウザー アクセスをブロックする (Web コンテンツのフィルター処理)
ネットワーク保護は、Microsoft の保護と応答スタックの重要な部分です。
ヒント
Windows Server、Linux、MacOS、Mobile Threat Defense (MTD) のネットワーク保護の詳細については、「高度なハンティングを使用して脅威を事前に検出する」を参照してください。
コマンド攻撃と制御攻撃をブロックする
コマンドおよび制御 (C2) サーバー コンピューターは、悪意のあるユーザーが、以前にマルウェアによって侵害されたシステムにコマンドを送信するために使用されます。 C2 攻撃は、通常、ファイル共有や Web メール サービスなどのクラウドベースのサービスでは非表示になり、C2 サーバーは一般的なトラフィックと組み合わせて検出を回避できます。
C2 サーバーを使用して、次のコマンドを開始できます。
- データを盗む
- ボットネットで侵害されたコンピューターを制御する
- 正当なアプリケーションを中断する
- ランサムウェアなどのマルウェアを拡散する
Defender for Endpoint のネットワーク保護コンポーネントは、機械学習やインテリジェントな侵害インジケーター (IoC) 識別などの手法を使用して、人間が操作するランサムウェア攻撃で使用される C2 インフラストラクチャへの接続を識別およびブロックします。
ネットワーク保護: C2 の検出と修復
最初の形式では、ランサムウェアは、事前にプログラミングされ、限られた特定の結果 (コンピューターの暗号化など) に焦点を当てたコモディティの脅威です。 しかし、ランサムウェアは人間主導の適応型の高度な脅威へと進化し、organizationの資産全体や身代金のデータを保持するなど、より大規模で広範な結果に焦点を当てています。
コマンドおよび制御サーバー (C2) のサポートは、このランサムウェアの進化の重要な部分であり、これらの攻撃がターゲット環境に適応できるようにします。 コマンド アンド コントロール インフラストラクチャへのリンクを解除すると、次のステージへの攻撃の進行が停止します。 C2 の検出と修復の詳細については、「 ネットワーク 層でのコマンド攻撃と制御攻撃の検出と修復」を参照してください。
ネットワーク保護: 新しいトースト通知
新しいマッピング | 応答カテゴリ | ソース |
---|---|---|
phishing |
Phishing |
SmartScreen |
malicious |
Malicious |
SmartScreen |
command and control |
C2 |
SmartScreen |
command and control |
COCO |
SmartScreen |
malicious |
Untrusted |
SmartScreen |
by your IT admin |
CustomBlockList |
|
by your IT admin |
CustomPolicy |
注:
customAllowList はエンドポイントで通知を生成しません。
ネットワーク保護の決定に関する新しい通知
ネットワーク保護の新機能では、SmartScreen の関数を使用して、悪意のあるコマンドおよび制御サイトからのフィッシング アクティビティをブロックします。 エンド ユーザーがネットワーク保護が有効になっている環境の Web サイトにアクセスしようとすると、次の表に示すように、3 つのシナリオが可能になります。
シナリオ | 動作 |
---|---|
URL には既知の評判があります | ユーザーは障害物なしでアクセスが許可され、エンドポイントにトースト通知は表示されません。 実際には、ドメインまたは URL が [許可] に設定されます。 |
URL に不明または不確実な評判がある | ユーザーのアクセスはブロックされますが、ブロックを回避 (ブロック解除) する機能があります。 実際には、ドメインまたは URL が [監査] に設定されます。 |
URL に既知の悪意のある (悪意のある) 評判がある | ユーザーはアクセスできなくなります。 実際には、ドメインまたは URL は [ブロック] に設定されます。 |
警告エクスペリエンス
ユーザーが Web サイトにアクセスする。 URL に不明または不確実な評判がある場合は、トースト通知によってユーザーに次のオプションが表示されます。
- Ok: トースト通知がリリース (削除) され、サイトへのアクセス試行が終了します。
- ブロック解除: ユーザーは 24 時間サイトにアクセスできます。その時点でブロックが再び有効になります。 ユーザーは、管理者がサイトを禁止 (ブロック) するまで、 ブロック解除 を使用してサイトにアクセスし続けることができるため、[ ブロック解除] オプションを削除できます。
- フィードバック: トースト通知により、チケットを送信するためのリンクがユーザーに表示されます。このリンクを使用すると、ユーザーはサイトへのアクセスを正当化するために管理者にフィードバックを送信できます。
注:
warn
エクスペリエンスと block
エクスペリエンスの両方について、この記事に示す画像では、プレースホルダー テキストの例として "ブロックされた url" を使用します。 機能している環境では、実際の URL またはドメインが一覧表示されます。
エクスペリエンスをブロックする
ユーザーが Web サイトにアクセスする。 URL の評判が悪い場合は、トースト通知によってユーザーに次のオプションが表示されます。
- Ok: トースト通知がリリース (削除) され、サイトへのアクセス試行が終了します。
- フィードバック: トースト通知により、チケットを送信するためのリンクがユーザーに表示されます。このリンクを使用すると、ユーザーはサイトへのアクセスを正当化するために管理者にフィードバックを送信できます。
SmartScreen のブロック解除
Defender for Endpoint のインジケーターを使用すると、管理者はエンド ユーザーが一部の URL と IP に対して生成された警告をバイパスできます。 URL がブロックされる理由に応じて、SmartScreen ブロックが検出されると、ユーザーは最大 24 時間サイトのブロックを解除できます。 このような場合は、Windows セキュリティトースト通知が表示され、ユーザーが [ブロック解除] を選択できるようになります。 このような場合、URL または IP は指定された期間ブロック解除されます。
Microsoft Defender for Endpoint管理者は、IP、URL、ドメインの許可インジケーターを使用して、Microsoft Defender ポータルで SmartScreen のブロック解除機能を構成できます。
「IP と URL/ドメインのインジケーターを作成する」を参照してください。
ネットワーク保護の使用
ネットワーク保護はデバイスごとに有効になります。これは通常、管理インフラストラクチャを使用して行われます。 サポートされている方法については、「 ネットワーク保護を有効にする」を参照してください。
注:
Microsoft Defenderネットワーク保護を有効にするには、ウイルス対策がアクティブ モードである必要があります。
audit
モードまたはblock
モードでネットワーク保護を有効にすることができます。 IP アドレスまたは URL を実際にブロックする前にネットワーク保護を有効にすることの影響を評価する場合は、監査モードでネットワーク保護を有効にし、ブロックされる内容に関するデータを収集できます。 エンド ユーザーがネットワーク保護によってブロックされるアドレスまたはサイトに接続するたびに、監査モードのログが記録されます。 侵害 (IoC) または Web コンテンツ フィルター (WCF) のインジケーターを機能させるには、ネットワーク保護が block
モードである必要があります。
Linux と macOS のネットワーク保護の詳細については、次の記事を参照してください。
高度な追及
高度なハンティングを使用して監査イベントを特定する場合は、コンソールから最大 30 日間の履歴を使用できます。 詳細なハンティングに関するページを参照してください。
監査イベントは、Defender for Endpoint ポータル (https://security.microsoft.com) の高度なハンティングで確認できます。
監査イベントは、ActionType が ExploitGuardNetworkProtectionAudited
の DeviceEvents にあります。 ブロックは、 ExploitGuardNetworkProtectionBlocked
の ActionType で表示されます。
Microsoft 以外のブラウザーの Network Protection イベントを表示するためのクエリの例を次に示します。
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
ヒント
これらのエントリには AdditionalFields 列のデータがあり、アクションに関する優れた情報が得られます。 AdditionalFields を展開すると、 IsAudit、 ResponseCategory、 DisplayName というフィールドを取得することもできます。
別の例を次に示します。
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
応答カテゴリは、次の例のように、イベントの原因を示します。
ResponseCategory | イベントを担当する機能 |
---|---|
CustomPolicy |
WCF |
CustomBlockList |
カスタム インジケーター |
CasbPolicy |
Defender for Cloud Apps |
Malicious |
Web 脅威 |
Phishing |
Web 脅威 |
詳細については、「 エンドポイント ブロックのトラブルシューティング」を参照してください。
Microsoft Edge ブラウザーを使用している場合は、次のクエリを使用して SmartScreen イベントMicrosoft Defenderします。
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
結果として得られる URL と IP の一覧を使用して、ネットワーク保護がデバイスのブロック モードに設定されている場合にブロックされる内容を決定できます。 URL と IP をブロックする機能も確認できます。 一覧を確認して、環境に必要な URL または IP を特定します。 その後、それらの URL または IP アドレスの許可インジケーターを作成できます。 許可インジケーターは、任意のブロックよりも優先されます。
インジケーターを作成したら、基になる問題の解決を次のように確認できます。
- SmartScreen: 要求レビュー
- インジケーター: 既存のインジケーターを変更する
- MCA: 承認されていないアプリを確認する
- WCF: 要求の再分類
このデータを使用すると、ブロック モードでネットワーク保護を有効にすることに関する情報に基づいた決定を下すことができます。 「ネットワーク保護ブロックの優先順位」を参照してください。
注:
これはデバイスごとの設定であるため、ブロック モードに移行できないデバイスがある場合は、チャレンジを修正して監査イベントを受け取るまで、監査のままにすることができます。
誤検知を報告する方法については、「誤検知を 報告する」を参照してください。
独自の Power BI レポートを作成する方法の詳細については、「Power BI を 使用してカスタム レポートを作成する」を参照してください。
ネットワーク保護の構成
ネットワーク保護を有効にする方法の詳細については、「ネットワーク保護を 有効にする」を参照してください。 グループ ポリシー、PowerShell、または MDM CSP を使用して、ネットワーク内のネットワーク保護を有効および管理します。
ネットワーク保護を有効にした後、エンドポイント デバイスと Web サービス間の接続を許可するようにネットワークまたはファイアウォールを構成する必要がある場合があります。
.smartscreen.microsoft.com
.smartscreen-prod.microsoft.com
ネットワーク保護イベントの表示
ネットワーク保護はMicrosoft Defender for Endpointに最適です。これにより、アラート調査シナリオの一部として、悪用保護イベントとブロックに関する詳細なレポートが提供されます。
ネットワーク保護によって接続がブロックされると、アクション センターから通知が表示されます。 セキュリティ運用チームは、organizationの詳細と連絡先情報を使用して通知をカスタマイズできます。 さらに、個々の攻撃面の縮小ルールを有効にし、監視する特定の手法に合わせてカスタマイズできます。
また、監査モードを使用して、ネットワーク保護が有効になっている場合にorganizationに与える影響を評価することもできます。
Microsoft Defender ポータルでネットワーク保護イベントを確認する
Defender for Endpoint では、 アラート調査シナリオの一部として、イベントとブロックに関する詳細なレポートが提供されます。 これらの詳細は、アラート キューのMicrosoft Defender ポータル (https://security.microsoft.com) または高度なハンティングを使用して表示できます。 監査モードを使用している場合は、高度なハンティングを使用して、ネットワーク保護設定が有効になっている場合の環境への影響を確認できます。
Windows イベント ビューアーのネットワーク保護イベントを確認する
Windows イベント ログを確認して、ネットワーク保護が悪意のある IP またはドメインへのアクセスをブロック (または監査) したときに作成されるイベントを確認できます。
[OK] を選択します。
この手順では、ネットワーク保護に関連する次のイベントのみを表示するようにフィルター処理するカスタム ビューを作成します。
イベント ID | 説明 |
---|---|
5007 |
設定が変更されたときのイベント |
1125 |
監査モードでネットワーク保護が起動した場合のイベント |
1126 |
ブロック モードでネットワーク保護が発生した場合のイベント |
ネットワーク保護と TCP 3 方向ハンドシェイク
ネットワーク保護では、 TCP/IP 経由の 3 方向ハンドシェイクが完了した後に、サイトへのアクセスを許可するかブロックするかを決定します。 そのため、ネットワーク保護によってサイトがブロックされると、サイトがブロックされていても、Microsoft Defender ポータルのDeviceNetworkEvents
の下にアクションの種類のConnectionSuccess
が表示されることがあります。
DeviceNetworkEvents
は TCP 層から報告され、ネットワーク保護からは報告されません。 3 方向ハンドシェイクが完了すると、ネットワーク保護によってサイトへのアクセスが許可またはブロックされます。
その動作の例を次に示します。
ユーザーがデバイス上の Web サイトにアクセスしようとするとします。 サイトは危険なドメインでホストされ、ネットワーク保護によってブロックする必要があります。
TCP/IP 経由の 3 方向ハンドシェイクが開始されます。 完了する前に、
DeviceNetworkEvents
アクションがログに記録され、そのActionType
がConnectionSuccess
として一覧表示されます。 ただし、3 方向ハンドシェイク プロセスが完了するとすぐに、ネットワーク保護によってサイトへのアクセスがブロックされます。 このすべてがすぐに発生します。 同様のプロセスは、SmartScreen Microsoft Defenderで発生します。これは、3 方向ハンドシェイクが完了して決定が完了し、サイトへのアクセスがブロックまたは許可されたときです。Microsoft Defender ポータルでは、アラートがアラート キューに一覧表示されます。 そのアラートの詳細には、
DeviceNetworkEvents
とAlertEvidence
の両方が含まれます。 ActionType がConnectionSuccess
のDeviceNetworkEvents
項目がある場合でも、サイトがブロックされていることがわかります。
マルチセッションを実行している Windows 仮想デスクトップWindows 10 Enterprise関する考慮事項
Windows 10 Enterpriseのマルチユーザーの性質上、次の点に注意してください。
ネットワーク保護はデバイス全体の機能であり、特定のユーザー セッションを対象にすることはできません。
Web コンテンツ フィルタリング ポリシーは、デバイス全体にも適用されます。
ユーザー グループを区別する必要がある場合は、個別の Windows Virtual Desktop ホスト プールと割り当てを作成することを検討してください。
ロールアウトする前に、監査モードでネットワーク保護をテストし、その動作を評価します。
多数のユーザーまたは多数のマルチユーザー セッションがある場合は、デプロイのサイズを変更することを検討してください。
ネットワーク保護の代替オプション
最新の統合ソリューションを使用Windows Server 2012 R2 とWindows Server 2016の場合は、バージョン 1803 以降をWindows Serverし、Windows 10 EnterpriseAzure 上の Windows Virtual Desktop で使用されるマルチセッション 1909 以降では、次の方法を使用して Microsoft Edge のネットワーク保護を有効にすることができます。
[ネットワーク保護を有効にする] を使用し、指示に従ってポリシーを適用します。
次の PowerShell コマンドを実行します。
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
注:
場合によっては、インフラストラクチャ、トラフィックの量、その他の状況によっては、
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
がネットワーク パフォーマンスに影響を与える可能性があります。
Windows サーバーのネットワーク保護
Windows サーバーに固有の情報を次に示します。
ネットワーク保護が有効になっていることを確認する
レジストリ エディターを使用して、ローカル デバイスでネットワーク保護が有効になっているかどうかを確認します。
タスク バーの [スタート] ボタンを選択し、「
regedit
」と入力して Registry エディターを開きます。サイド メニューから [HKEY_LOCAL_MACHINE ] を選択します。
入れ子になったメニューから SOFTWARE>Policies>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection に移動します。
(キーが存在しない場合は、SOFTWARE に移動します>Microsoft>Windows Defender>Windows Defender Exploit Guard>ネットワーク保護)
[EnableNetworkProtection] を選択して、デバイスのネットワーク保護の現在の状態を確認します。
-
0
= オフ -
1
= オン (有効) -
2
= 監査モード
-
詳細については、「 ネットワーク保護を有効にする」を参照してください。
ネットワーク保護の推奨レジストリ キー
最新の統合ソリューションを使用Windows Server 2012 R2 とWindows Server 2016の場合、バージョン 1803 以降をWindows Serverし、マルチセッション 1909 以降 (Azure 上の Windows Virtual Desktop で使用) をWindows 10 Enterpriseする場合は、他のレジストリ キーを有効にします。次:
[HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection] に移動します。
次のキーを構成します。
-
AllowNetworkProtectionOnWinServer
(DWORD) を1
(16 進数) に設定する -
EnableNetworkProtection
(DWORD) を1
(16 進数) に設定する - (Windows Server 2012 R2 および Windows Server 2016 のみ)
AllowNetworkProtectionDownLevel
(DWORD) を1
(16 進) に設定します
-
注:
インフラストラクチャ、トラフィックの量、その他の条件によっては、HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows Defender>NIS>>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (16 進数) がネットワーク パフォーマンスに影響する可能性があります。
詳細については、「 ネットワーク保護を有効にする」を参照してください。
Windows サーバーと Windows マルチセッション構成には PowerShell が必要です
Windows サーバーと Windows マルチセッションの場合、PowerShell コマンドレットを使用して有効にする必要があるその他の項目があります。 最新の統合ソリューションを使用して R2 とWindows Server 2016をWindows Server 2012する場合は、バージョン 1803 以降をWindows Serverし、Azure 上の Windows Virtual Desktop で使用されるマルチセッション 1909 以降をWindows 10 Enterpriseするには、次の PowerShell コマンドを実行します。:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
注:
場合によっては、インフラストラクチャ、トラフィックの量、その他の状況によっては、 Set-MpPreference -AllowDatagramProcessingOnWinServer 1
がネットワーク パフォーマンスに影響を与える可能性があります。
ネットワーク保護のトラブルシューティング
ネットワーク保護が実行される環境により、この機能でオペレーティング システム プロキシ設定を検出できない場合があります。 場合によっては、ネットワーク保護クライアントがクラウド サービスに到達できない場合があります。 接続の問題を解決するには、Microsoft Defenderウイルス対策用の静的プロキシを構成します。
注:
トラブルシューティングを開始する前に、使用されているブラウザーで QUIC プロトコルを disabled
に設定してください。 QUIC プロトコルは、ネットワーク保護機能ではサポートされていません。
グローバル セキュリティで保護されたアクセスは現在 UDP トラフィックをサポートしていないため、ポート 443
への UDP トラフィックはトンネリングできません。 QUIC プロトコルを無効にして、グローバル セキュア アクセス クライアントが HTTPS (ポート 443 の TCP トラフィック) を使用してフォールバックするようにすることができます。 アクセスしようとしているサーバーが QUIC をサポートしている場合は、この変更を行う必要があります (例: Microsoft Exchange Online)。 QUIC を無効にするには、次のいずれかのアクションを実行できます。
Windows ファイアウォールで QUIC を無効にする
QUIC を無効にする最も一般的な方法は、Windows ファイアウォールでその機能を無効にすることです。 このメソッドは、ブラウザーやクライアント アプリ (Microsoft Office など) を含むすべてのアプリケーションに影響します。 PowerShell で、 New-NetFirewallRule
コマンドレットを実行して、デバイスからの送信トラフィックすべてに対して QUIC を無効にする新しいファイアウォール規則を追加します。
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
Web ブラウザーで QUIC を無効にする
WEB ブラウザー レベルで QUIC を無効にできます。 ただし、QUIC を無効にするこの方法は、QUIC が引き続き非ブローカー アプリケーションで動作することを意味します。 Microsoft Edge または Google Chrome で QUIC を無効にするには、ブラウザーを開き、試験的な QUIC プロトコル設定 (#enable-quic
フラグ) を見つけて、設定を Disabled
に変更します。 次の表に、ブラウザーのアドレス バーに入力する URI を示し、その設定にアクセスできるようにします。
ブラウザー | URI |
---|---|
Microsoft Edge | edge://flags/#enable-quic |
Google Chrome | chrome://flags/#enable-quic |
ネットワーク保護のパフォーマンスの最適化
ネットワーク保護には、 block
モードで有効期間の長い接続を非同期的に検査できるパフォーマンスの最適化が含まれており、パフォーマンスが向上する可能性があります。 この最適化は、アプリの互換性の問題にも役立ちます。 この機能は既定でオンになっています。 この機能をオフにするには、次の PowerShell コマンドレットを使用します。
Set-MpPreference -AllowSwitchToAsyncInspection $false
関連項目
- ネットワーク保護を評価する |機能のしくみと、通常作成されるイベントを示す簡単なシナリオを実行します。
- ネットワーク保護を有効にする |グループ ポリシー、PowerShell、または MDM CSP を使用して、ネットワーク内のネットワーク保護を有効および管理します。
- Microsoft Intuneでの攻撃面の縮小機能の構成
- Linux のネットワーク保護 |Linux デバイスに対する Microsoft Network Protection の使用について説明します。
- macOS のネットワーク保護 |macOS 用の Microsoft ネットワーク保護の詳細については、こちらをご覧ください
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。