環境の高度な機能を構成する

  • 7 分

[全般設定] 領域の [高度な機能] 領域には、製品内の機能のオン/オフ スイッチが多数用意されています。 これらの機能のいくつかについては、後のモジュールで説明します。

お使いの Microsoft セキュリティ製品によっては、Defender for Endpoint を統合するために、一部の高度な機能を利用できる可能性があります。

ナビゲーション ウィンドウで、[設定] > [エンドポイント] > [高度な機能] の順に選択します。

構成する高度な機能を選んで、オンとオフを切り替えます。

[環境設定の保存] を選択します。

次の高度な機能を使用して、悪意のある可能性があるファイルに対する保護を強化したり、セキュリティ調査時に詳細な情報を取得したりすることができます。

Automated Investigation (自動調査)

この機能を有効にすると、サービスの調査と修復の自動化された機能を活用できます。 詳細については、「自動調査」を参照してください。

ライブ応答

注意

ライブ応答では、ポータルの詳細設定セクションで有効にする前に、自動調査を有効にする必要があります。

適切なアクセス許可を持つユーザーがデバイスでライブ応答セッションを開始できるように、この機能を有効にします。

サーバーのライブ応答

この機能を有効にすると、適切なアクセス許可を持つユーザーはサーバーでライブ応答セッションを開始できるようになります。

ライブ応答の署名なしスクリプトの実行

この機能を有効にすると、署名なしスクリプトをライブ応答セッションで実行できます。

PUA を常に修復する

望ましくない可能性のあるアプリケーション (PUA) は、コンピューターの実行速度の低下や予期しない広告の表示を招いたり、最悪の場合は予期しないまたは不要な他のソフトウェアをインストールしたりする可能性があるソフトウェアのカテゴリです。

この機能を有効にすると、望ましくない可能性のあるアプリケーション (PUA) に対する保護がデバイスで構成されていない場合でも、テナント内のすべてのデバイスで PUA が修復されるようになります。 この機能のアクティブ化は、ユーザーが望ましくないアプリケーションを誤ってデバイスにインストールするのを防ぐために役立ちます。 オフにすると、修復はデバイスの構成によって異なります。

スコープ付きデバイス グループ内への関連付けの制限

この構成は、ローカル SOC 操作で、アクセスできるデバイス グループのみにアラートの関連付けを制限するシナリオに使用できます。 この設定を有効にすると、デバイス グループ間のアラートで構成されるインシデントは単一のインシデントと見なされなくなります。 ローカル SOC は、関連するデバイス グループのいずれかにアクセスできるため、インシデントに対してアクションを実行できます。 しかし、グローバル SOC では、1 つのインシデントではなく、デバイス グループ別の複数の異なるインシデントと見なされます。 組織全体でのインシデントの関連付けによる利点を上回る場合を除いて、この設定を有効にすることはお勧めしません。

注意

この設定の変更は、その後のアラートの関連付けにのみ影響します。

Enable EDR in block mode (ブロック モードで EDR を有効にする)

ブロック モードのエンドポイントでの検出と対応 (EDR) を使用すると、Microsoft Defender ウイルス対策がパッシブ モードで実行されている場合でも、悪意のある成果物から保護することができます。 有効にすると、ブロック モードの EDR によって、デバイスで検出された悪意のある成果物または動作がブロックされます。 ブロック モードの EDR は、侵害後に検出された悪意のある成果物を修復するためにバックグラウンドで機能します。

Autoresolve remediated alerts (修復済みアラートの自動解決)

Windows 10 バージョン 1809 以降で作成されたテナントの場合、自動調査と修復機能が既定で構成され、自動分析の結果の状態が "脅威は見つかりませんでした" または "修復済み" になっているアラートは解決されます。 アラートを自動解決しない場合は、この機能を手動で無効にする必要があります。

ヒント

そのバージョンより前に作成されたテナントの場合は、この機能を [高度な機能] ページから手動で有効にする必要があります。

注意

自動解決アクションの結果は、デバイスで検出されるアクティブなアラートに基づくデバイス リスク レベルの計算に影響を与える可能性があります。 セキュリティ運用アナリストが手動でアラートの状態を "進行中" または "解決済み" に設定した場合は、自動解決機能によってそれが上書きされることはありません。

Allow or block file (ファイルの許可またはブロック)

ブロックは、組織が次の要件を満たしている場合にのみ使用できます。

  • アクティブなマルウェア対策ソリューションとして Microsoft Defender ウイルス対策を使用している
  • クラウドベースの保護機能が有効になっている

この機能を使って、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。 ファイルをブロックすると、組織内のデバイスでその読み取り、書き込み、または実行ができなくなります。

この機能を有効にすると、ファイルのプロファイル ページの [インジケーターの追加] タブを使用してファイルをブロックできます。

カスタム ネットワーク インジケーター

この機能を有効にすると、IP アドレス、ドメイン、または URL のインジケーターを作成できます。これにより、カスタム インジケーター リストに基づいてこれらを許可またはブロックするかどうかが決まります。

この機能を使用するには、デバイスで Windows 10 バージョン 1709 以降または Windows 11 が実行されている必要があります。 また、ブロック モードのネットワーク保護と、マルウェア対策プラットフォームのバージョン 4.18.1906.3 以降 (KB 4052623 を参照) も必要です。

注意

ネットワーク保護は、Defender for Endpoint データ用に選択した場所の外部にある可能性がある場所で要求を処理する評価サービスを利用します。

改ざん保護

サイバー攻撃の種類によっては、悪質なアクターがマシンでウイルス対策保護などのセキュリティ機能を無効にしようとします。 悪質なアクターは、データへのアクセスを容易にしたり、マルウェアをインストールしたり、データ、ID、デバイスを悪用したりするために、セキュリティ機能を無効にすることを好みます。

改ざん保護は、基本的に Microsoft Defender ウイルス対策をロックし、アプリや方法を使用して、セキュリティ設定が変更されるのを防止します。

この機能は、組織が Microsoft Defender ウイルス対策を使用し、クラウドベースの保護が有効になっている場合に使用できます。

セキュリティ ソリューションとその不可欠な機能に対する望ましくない変更を防ぐには、改ざん保護を有効のままにしておきます。

ユーザー情報を表示する

Microsoft Entra ID に保存されているユーザーの詳細を表示できるように、この機能をオンにします。 詳細には、ユーザー アカウント エンティティを調査するときのユーザーの画像、名前、役職、および部署の情報が含まれます。 次のビューでユーザー アカウント情報を確認することができます。

  • セキュリティ操作ダッシュボード
  • アラート キュー
  • [デバイスの詳細] ページ

Skype for Business の統合

Skype for Business の統合を有効にすると、Skype for Business、電子メール、または電話を使ってユーザーに連絡できます。 このアクティブ化は、ユーザーと通信し、リスクを軽減する必要がある場合に便利です。

注意

デバイスがネットワークから分離されている場合、Outlook と Skype の通信を有効にすることを選択できるポップアップが表示され、ユーザーがネットワークから切断されているときにユーザーとの通信が可能になります。 この設定は、デバイスが分離モードの場合に Skype と Outlook の通信に適用されます。

Microsoft Defender for Identity の統合

Microsoft Defender for Identity との統合により、別の Microsoft Identity セキュリティ製品に直接ピボットすることができます。 Microsoft Defender for Identity では、侵害された疑いのあるアカウントと関連リソースに関する詳細な洞察で調査を強化しています。 この機能を有効にすると、特定の観点からネットワーク全体をピボットして、デバイス ベースの調査機能を強化できます。

注意

この機能を有効にするには、適切なライセンスが必要です。

Office 365 脅威インテリジェンス接続

この機能は、アクティブな Office 365 E5 または脅威インテリジェンス アドオンがある場合にのみ使用できます。

この機能を有効にすると、Microsoft Defender for Office 365 のデータを Microsoft Defender XDR に組み込み、Office 365 メールボックスと Windows デバイス全体で包括的なセキュリティ調査を行うことができます。

Note

この機能を有効にするには、適切なライセンスが必要です。

Office 365 脅威インテリジェンスでコンテキスト デバイス統合を受けるには、セキュリティ/コンプライアンス ダッシュボードで、Defender for Endpoint 設定を有効にする必要があります。

Microsoft 脅威エキスパート - 標的型攻撃通知

エキスパート オンデマンド機能は、プレビューに申請し、アプリケーションが承認されている場合にのみ使用できます。 Microsoft 脅威エキスパートからポータルのアラート ダッシュボードを介して、および構成した場合は電子メールで、標的型攻撃通知を受け取ることができます。

Microsoft Defender for Cloud Apps

この設定を有効にすると、Defender for Endpoint 信号が Microsoft Defender for Cloud Apps に転送され、クラウド アプリケーションの使用状況をより詳細に把握できるようになります。 転送されたデータは、Defender for Cloud Apps データと同じ場所で格納および処理されます。

Microsoft Defender for Identity ポータルから Microsoft Defender for Endpoint の統合を有効にする

Microsoft Defender for Identity でコンテキスト デバイスの統合を受け取るには、Microsoft Defender for Identity ポータルでこの機能を有効にする必要もあります。

Web コンテンツ フィルタリング

すべてのドメインで、望ましくないコンテンツを含む Web サイトへのアクセスをブロックし、Web アクティビティを追跡します。 ブロックする Web コンテンツ カテゴリを指定するには、Web コンテンツ フィルタリング ポリシーを作成します。 Microsoft Defender for Endpoint セキュリティ ベースラインをデプロイするときに、ブロック モードでネットワーク保護を行っていることを確認します。

Microsoft Purview コンプライアンス ポータルとエンドポイント アラートを共有する

エンドポイントのセキュリティ アラートとそのトリアージの状態を Microsoft Purview コンプライアンス センターに転送します。これにより、アラートを含むインサイダー リスク管理ポリシーを強化し、内部のリスクが害を与える前にこれを修正することができます。 転送されたデータは処理され、Office 365 データと同じ場所に保存されます。

インサイダー リスク管理設定でセキュリティ ポリシー違反インジケーターを構成した後、Defender for Endpoint アラートは該当するユーザーのインサイダー リスク管理と共有されます。

Microsoft Intune 接続

Defender for Endpoint を Microsoft Intune と統合すると、デバイスのリスク ベースの条件付きアクセスを有効にできます。 この機能を有効にすると、Defender for Endpoint デバイス情報を Intune と共有して、ポリシーの適用を強化することができます。

重要

この機能を使用するには、Intune と Defender for Endpoint の両方で統合を有効にする必要があります。

この機能は、次の前提条件を備えている場合にのみ使用できます。

Enterprise Mobility + Security E3 および Windows E5 (または Microsoft 365 Enterprise E5) のライセンスを持つテナント

Microsoft Entra 参加済みの Intune マネージド Windows デバイスを含むアクティブな Microsoft Intune 環境。

条件付きアクセス ポリシー

Intune 統合を有効にすると、Intune によって従来の条件付きアクセス (CA) ポリシーが自動的に作成されます。 この従来の CA ポリシーは、Intune への状態レポートを設定するための前提条件です。 絶対に削除しないでください。

注意

Intune によって作成されるクラシック CA ポリシーは、エンドポイントの構成に使用される最新の条件付きアクセス ポリシーとは異なります。

デバイスの検出

余分なアプライアンスや煩雑なプロセス変更を必要とせずに、企業ネットワークに接続されているアンマネージド デバイスを見つけるのに役立ちます。 オンボードされたデバイスを使用すると、ネットワーク内のアンマネージド デバイスを検出して、脆弱性とリスクを評価できます。

注意

デバイス インベントリ リストからアンマネージド デバイスを除外するには、いつでもフィルターを適用できます。 また、API クエリのオンボード状態列を使用して、アンマネージド デバイスを除外することもできます。

プレビュー機能

Defender for Endpoint プレビュー リリースの新機能について説明します。 今後の機能を試すには、プレビュー エクスペリエンスをオンにしてください。

今後の機能が一般に利用可能になる前に、それらの機能にアクセスして、エクスペリエンス全体の改善に役立つフィードバックを提供することができます。

検疫済みファイルのダウンロード

検疫済みファイルを安全で法令準拠した場所にバックアップし、検疫から直接ダウンロードできるようにします。 [ファイルのダウンロード] ボタンは、ファイル ページで常に使用できます。 この設定は既定で有効になっています。