証明書に基づくCreateインジケーター
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
証明書のインジケーターを作成できます。 一般的なユース ケースには、次のようなものがあります。
- 攻撃面の縮小ルールやフォルダー アクセスの制御など、ブロックテクノロジを展開する必要があるが、許可リストに証明書を追加して署名されたアプリケーションからの動作を許可する必要があるシナリオ。
- organization全体で特定の署名済みアプリケーションの使用をブロックする。 アプリケーションの証明書をブロックするインジケーターを作成することで、WINDOWS DEFENDER AV はファイルの実行 (ブロックと修復) を防ぎ、自動調査と修復は同じように動作します。
はじめに
証明書のインジケーターを作成する前に、次の要件を理解しておくことが重要です。
この機能は、organizationでウイルス対策とクラウドベースの保護が有効Microsoft Defender使用している場合に使用できます。 詳細については、「 クラウドベースの保護を管理する」を参照してください。
マルウェア対策クライアントのバージョンは 4.18.1901.x 以降である必要があります。
Windows 10 バージョン 1703 以降の Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、および Windows Server 2022 上のマシンでサポートされます。
注:
この機能を機能させるには、「Windows サーバーのオンボード」の手順を使用して、R2 のWindows Server 2016とWindows Server 2012をオンボードする必要があります。
ウイルスと脅威の保護の定義は最新である必要があります。
この機能では、現在、 の入力がサポートされています。CER または 。PEM ファイル拡張子。
重要
- 有効なリーフ証明書は、有効な証明書パスを持ち、Microsoft によって信頼されているルート証明機関 (CA) にチェーンされている必要がある署名証明書です。 または、カスタム (自己署名) 証明書は、クライアントによって信頼されている限り使用できます (ルート CA 証明書は、ローカル コンピューターの [信頼されたルート証明機関] の下にインストールされます)。
- 許可/ブロック証明書 IOC の子または親は、許可/ブロック IoC 機能には含まれず、リーフ証明書のみがサポートされます。
- Microsoft 署名付き証明書はブロックできません。
[設定] ページから証明書のインジケーターをCreateします。
重要
証明書 IoC の作成と削除には、最大で 3 時間かかることがあります。
ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>インジケーター ] ( [ルール] の下) を選択します。
[ インジケーターの追加] を選択します。
次の詳細を指定します。
- インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。
- [アクション] - 実行するアクションを指定し、説明を指定します。
- スコープ - マシン グループのスコープを定義します。
[概要] タブで詳細を確認し、[ 保存] をクリックします。
関連記事
- インジケーターの作成
- ファイルのインジケーターを作成
- IP および URL/ドメインのインジケーターを作成
- インジケーターの管理
- Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示