Defender for Endpoint で高度な機能を構成するConfigure advanced features in Defender for Endpoint

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

使用する Microsoft セキュリティ製品によっては、Defender for Endpoint を統合できる高度な機能がいくつか用意されている場合があります。Depending on the Microsoft security products that you use, some advanced features might be available for you to integrate Defender for Endpoint with.

高度な機能を有効にするEnable advanced features

  1. ナビゲーション ウィンドウで、[基本設定]セットアップの [高度な > 機能] を選択しますIn the navigation pane, select Preferences setup > Advanced features.
  2. 構成する高度な機能を選択し、設定を [オン] と [オフ] の間で切りえますSelect the advanced feature you want to configure and toggle the setting between On and Off.
  3. [設定 の保存] をクリックしますClick Save preferences.

次の高度な機能を使用して、潜在的に悪意のあるファイルから保護され、セキュリティ調査中により良い洞察を得る。Use the following advanced features to get better protected from potentially malicious files and gain better insight during security investigations.

自動調査Automated investigation

この機能を有効にし、サービスの自動調査および修復機能を利用します。Turn on this feature to take advantage of the automated investigation and remediation features of the service. 詳細については、「自動調査 」を参照してくださいFor more information, see Automated investigation.

ライブ応答Live response

適切なアクセス許可を持つユーザーがデバイスでライブ応答セッションを開始できるよう、この機能を有効にします。Turn on this feature so that users with the appropriate permissions can start a live response session on devices.

役割の割り当ての詳細については、「役割の作成と 管理」を参照してくださいFor more information about role assignments, see Create and manage roles.

サーバーのライブ応答Live response for servers

この機能を有効にし、適切なアクセス許可を持つユーザーがサーバーでライブ応答セッションを開始できます。Turn on this feature so that users with the appropriate permissions can start a live response session on servers.

役割の割り当ての詳細については、「役割の作成と 管理」を参照してくださいFor more information about role assignments, see Create and manage roles.

ライブ応答の署名されていないスクリプトの実行Live response unsigned script execution

この機能を有効にすると、ライブ応答セッションで署名されていないスクリプトを実行できます。Enabling this feature allows you to run unsigned scripts in a live response session.

PUA を常に修復するAlways remediate PUA

望ましくない可能性のあるアプリケーション (PUA) は、コンピューターの動作が遅くなる、予期しない広告を表示する、または最悪の場合は予期しないソフトウェアや望ましくない可能性のある他のソフトウェアをインストールするソフトウェアのカテゴリです。Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software which might be unexpected or unwanted.

この機能を有効にし、PUA 保護がデバイスで構成されていない場合でも、不要な可能性のあるアプリケーション (PUA) がテナント内のすべてのデバイスで修復されます。Turn on this feature so that potentially unwanted applications (PUA) are remediated on all devices in your tenant even if PUA protection is not configured on the devices. これにより、ユーザーがデバイスに不要なアプリケーションを誤ってインストールすることを防役立ちます。This will help protect users from inadvertently installing unwanted applications on their device. オフにすると、修復はデバイスの構成に依存します。When turned off, remediation is dependent on the device configuration.

スコープ付きデバイス グループ内への相関関係の制限Restrict correlation to within scoped device groups

この設定を有効にすると、アラートはスコープ設定されたデバイス グループに基づいて個別のインシデントに関連付けされます。When this setting is turned on, alerts are correlated into separate incidents based on their scoped device group. 既定では、インシデントの相関関係はテナント スコープ全体で発生します。By default, incident correlation happens across the entire tenant scope.

注意

この設定を変更すると、将来のアラートの相関関係にのみ影響します。Changing this setting impacts future alert correlations only.

ブロック モードで EDR を有効にするEnable EDR in block mode

ブロック モードのエンドポイント検出と応答 (EDR) は、Microsoft Defender Antivirus がパッシブ モードで実行されている場合でも、悪意のあるアーティファクトからの保護を提供します。Endpoint detection and response (EDR) in block mode provides protection from malicious artifacts, even when Microsoft Defender Antivirus is running in passive mode. オンにすると、ブロック モードの EDR は、デバイスで検出された悪意のあるアーティファクトや動作をブロックします。When turned on, EDR in block mode blocks malicious artifacts or behaviors that are detected on a device. ブロック モードの EDR は、侵害後に検出された悪意のあるアーティファクトを修復するために、舞台裏で動作します。EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post breach.

Autoresolve 修復されたアラートAutoresolve remediated alerts

Windows 10 バージョン 1809 以降に作成されたテナントの場合、自動分析結果の状態が "脅威が見つかりません" または "修復済み" であるアラートを解決するように、自動調査と修復機能が既定で構成されています。For tenants created on or after Windows 10, version 1809, the automated investigation and remediation capability is configured by default to resolve alerts where the automated analysis result status is "No threats found" or "Remediated". アラートを自動解決したくない場合は、手動で機能をオフにする必要があります。If you don't want to have alerts auto-resolved, you'll need to manually turn off the feature.

ヒント

そのバージョンより前に作成されたテナントの場合は、[高度な機能] ページからこの機能を手動で 有効にする必要 があります。For tenants created prior to that version, you'll need to manually turn this feature on from the Advanced features page.

注意

  • 自動解決アクションの結果は、デバイスで検出されたアクティブなアラートに基づくデバイス リスク レベルの計算に影響を与える可能性があります。The result of the auto-resolve action may influence the Device risk level calculation which is based on the active alerts found on a device.
  • セキュリティ運用アナリストが手動でアラートの状態を "進行中" または "解決済み" に設定した場合、自動解決機能は上書きされません。If a security operations analyst manually sets the status of an alert to "In progress" or "Resolved" the auto-resolve capability will not overwrite it.

ファイルを許可またはブロックするAllow or block file

ブロックは、組織が次の要件を満たしている場合にのみ使用できます。Blocking is only available if your organization fulfills these requirements:

  • アクティブなマルウェア対策ソリューションとして Microsoft Defender ウイルス対策を使用し、Uses Microsoft Defender Antivirus as the active antimalware solution and,
  • クラウドベースの保護機能が有効になっているThe cloud-based protection feature is enabled

この機能を使用すると、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。This feature enables you to block potentially malicious files in your network. ファイルをブロックすると、組織内のデバイスでファイルが読み取り、書き込み、または実行されるのを防ぐ。Blocking a file will prevent it from being read, written, or executed on devices in your organization.

ファイルを 許可またはブロックするには 、次の手順を実行します。To turn Allow or block files on:

  1. ナビゲーション ウィンドウで、[設定の詳細設定]機能 > [ファイルの > 許可またはブロック] を選択しますIn the navigation pane, select Settings > Advanced features > Allow or block file.

  2. [オン] と [オフ]の間で設定を****切り替えますToggle the setting between On and Off.

    ブロック ファイル機能の詳細設定のイメージ

  3. ページ の下部にある [基本 設定の保存] を選択します。Select Save preferences at the bottom of the page.

この機能を有効にした後、ファイルのプロファイルページの [インジケーターの追加] タブを使用してファイルをブロックできます。After turning on this feature, you can block files via the Add Indicator tab on a file's profile page.

カスタム ネットワーク インジケーターCustom network indicators

この機能を有効にすることで、IP アドレス、ドメイン、または URL のインジケーターを作成し、カスタム インジケーター リストに基づいて許可またはブロックするかどうかを決定できます。Turning on this feature allows you to create indicators for IP addresses, domains, or URLs, which determine whether they will be allowed or blocked based on your custom indicator list.

この機能を使用するには、デバイスで Windows 10 バージョン 1709 以降を実行している必要があります。To use this feature, devices must be running Windows 10 version 1709 or later. また、ブロック モードでネットワーク保護を行い、マルウェア対策プラットフォームのバージョン 4.18.1906.3 以降は KB 4052623を参照してください。They should also have network protection in block mode and version 4.18.1906.3 or later of the antimalware platform see KB 4052623.

詳細については、「指標の管理 」を参照してくださいFor more information, see Manage indicators.

注意

ネットワーク保護は、Defender for Endpoint データで選択した場所の外部にある可能性がある場所で要求を処理する評判サービスを活用します。Network protection leverages reputation services that process requests in locations that might be outside of the location you have selected for your Defender for Endpoint data.

タンパープロテクションTamper protection

一部の種類のサイバー攻撃では、悪いアクターがコンピューターでウイルス対策保護などのセキュリティ機能を無効にしようとします。During some kinds of cyber attacks, bad actors try to disable security features, such as anti-virus protection, on your machines. 悪いアクターは、データに簡単にアクセスしたり、マルウェアをインストールしたり、データ、ID、デバイスを悪用したりするために、セキュリティ機能を無効にしています。Bad actors like to disable your security features to get easier access to your data, to install malware, or to otherwise exploit your data, identity, and devices.

タンパープロテクションは基本的に Microsoft Defender ウイルス対策をロックし、アプリやメソッドを通じてセキュリティ設定が変更されるのを防ぐ。Tamper protection essentially locks Microsoft Defender Antivirus and prevents your security settings from being changed through apps and methods.

セキュリティ ソリューションとその重要な機能に対する望ましくない変更を防止するために、改ざん防止を有効にしてください。Keep tamper protection turned on to prevent unwanted changes to your security solution and its essential features.

ユーザーの詳細を表示するShow user details

この機能を有効にし、Azure Active Directory に格納されているユーザーの詳細を確認できます。Turn on this feature so that you can see user details stored in Azure Active Directory. 詳細には、ユーザー アカウント エンティティを調査する際のユーザーの画像、名前、タイトル、および部署情報が含まれます。Details include a user's picture, name, title, and department information when investigating user account entities. ユーザー アカウント情報は、次のビューで確認できます。You can find user account information in the following views:

  • セキュリティ運用ダッシュボードSecurity operations dashboard
  • アラート キューAlert queue
  • [デバイスの詳細] ページDevice details page

詳細については、「ユーザー アカウントの 調査」を参照してくださいFor more information, see Investigate a user account.

Skype for Business 統合Skype for Business integration

Skype for Business 統合を有効にすると、Skype for Business、電子メール、または電話を使用してユーザーと通信できます。Enabling the Skype for Business integration gives you the ability to communicate with users using Skype for Business, email, or phone. これは、ユーザーと通信し、リスクを軽減する必要がある場合に便利です。This can be handy when you need to communicate with the user and mitigate risks.

注意

デバイスがネットワークから分離されている場合、ユーザーがネットワークから切断されている間にユーザーに通信できる Outlook と Skype の通信を有効にできるポップアップが表示されます。When a device is being isolated from the network, there's a pop-up where you can choose to enable Outlook and Skype communications which allows communications to the user while they are disconnected from the network. この設定は、デバイスが分離モードの場合に Skype と Outlook の通信に適用されます。This setting applies to Skype and Outlook communication when devices are in isolation mode.

Id 統合用 Microsoft DefenderMicrosoft Defender for Identity integration

Azure Advanced Threat Protection との統合により、別の Microsoft Identity セキュリティ製品に直接ピボットできます。The integration with Azure Advanced Threat Protection allows you to pivot directly into another Microsoft Identity security product. Azure Advanced Threat Protection は、侵害された疑いのあるアカウントと関連リソースに関する追加の分析情報を使用して調査を強化します。Azure Advanced Threat Protection augments an investigation with additional insights about a suspected compromised account and related resources. この機能を有効にすると、識別の観点からネットワーク全体をピボットすることで、デバイスベースの調査機能を強化できます。By enabling this feature, you'll enrich the device-based investigation capability by pivoting across the network from an identify point of view.

注意

この機能を有効にするには、適切なライセンスが必要です。You'll need to have the appropriate license to enable this feature.

Office 365 脅威インテリジェンス接続Office 365 Threat Intelligence connection

この機能は、アクティブな 365 E5 Office脅威インテリジェンス アドオンがある場合にのみ使用できます。This feature is only available if you have an active Office 365 E5 or the Threat Intelligence add-on. 詳細については、「365 Enterprise E5 Office」を参照してください。For more information, see the Office 365 Enterprise E5 product page.

この機能を有効にした場合、Office 365 Advanced Threat Protection のデータを Microsoft Defender セキュリティ センターに組み込み、Office 365 メールボックスと Windows デバイス全体で包括的なセキュリティ調査を実行できます。When you turn this feature on, you'll be able to incorporate data from Office 365 Advanced Threat Protection into Microsoft Defender Security Center to conduct a comprehensive security investigation across Office 365 mailboxes and Windows devices.

注意

この機能を有効にするには、適切なライセンスが必要です。You'll need to have the appropriate license to enable this feature.

Office 365 脅威インテリジェンスでコンテキスト デバイスの統合を受け取る場合は、[セキュリティ とコンプライアンス] ダッシュボードで Defender for Endpoint &する必要があります。To receive contextual device integration in Office 365 Threat Intelligence, you'll need to enable the Defender for Endpoint settings in the Security & Compliance dashboard. 詳細については、「脅威の調査 と対応」を参照してくださいFor more information, see Threat investigation and response.

Microsoft Threat Experts - 標的型攻撃通知Microsoft Threat Experts - Targeted Attack Notifications

2 つの Microsoft Threat Expert コンポーネントの中で、標的型攻撃通知は一般提供です。Out of the two Microsoft Threat Expert components, targeted attack notification is in general availability. エキスパートオンデマンド機能はまだプレビュー中です。Experts-on-demand capability is still in preview. experts-on-demand 機能は、プレビューを申請し、アプリケーションが承認されている場合にのみ使用できます。You can only use the experts-on-demand capability if you have applied for preview and your application has been approved. Microsoft Threat Experts から、Defender for Endpoint ポータルのアラート ダッシュボードを介して、および構成した場合は電子メールを介して標的型攻撃通知を受け取ることができます。You can receive targeted attack notifications from Microsoft Threat Experts through your Defender for Endpoint portal's alerts dashboard and via email if you configure it.

注意

Defender for Endpoint の Microsoft Threat Experts 機能は、エンタープライズ モビリティ + セキュリティの E5 ライセンス で利用できますThe Microsoft Threat Experts capability in Defender for Endpoint is available with an E5 license for Enterprise Mobility + Security.

Microsoft Cloud App SecurityMicrosoft Cloud App Security

この設定を有効にすると、Defender for Endpoint シグナルが Microsoft Cloud App Security に転送され、クラウド アプリケーションの使用状況を詳細に可視化できます。Enabling this setting forwards Defender for Endpoint signals to Microsoft Cloud App Security to provide deeper visibility into cloud application usage. 転送されたデータは、Cloud App Security データと同じ場所に格納され、処理されます。Forwarded data is stored and processed in the same location as your Cloud App Security data.

注意

この機能は、Windows 10 バージョン1709 (OS ビルド 16299.1085 およびKB4493441)、Windows 10 を実行しているデバイスの E5 ライセンスで利用できます。 バージョン 1803 (KB4493464の OS ビルド 17134.704)、Windows 10 バージョン 1809 (OS ビルド 17763.379 およびKB4489899)以降の Windows 10 バージョン。This feature will be available with an E5 license for Enterprise Mobility + Security on devices running Windows 10, version 1709 (OS Build 16299.1085 with KB4493441), Windows 10, version 1803 (OS Build 17134.704 with KB4493464), Windows 10, version 1809 (OS Build 17763.379 with KB4489899), or later Windows 10 versions.

Microsoft セキュア スコアMicrosoft Secure Score

Microsoft Defender for Endpoint シグナルを Microsoft 365 セキュリティ センターの Microsoft Secure Score に転送します。Forwards Microsoft Defender for Endpoint signals to Microsoft Secure Score in the Microsoft 365 security center. この機能を有効にすることで、Microsoft Secure Score でデバイスのセキュリティ状態を確認できます。Turning on this feature gives Microsoft Secure Score visibility into the device's security posture. 転送されたデータは、Microsoft Secure Score データと同じ場所に保存および処理されます。Forwarded data is stored and processed in the same location as your Microsoft Secure Score data.

Microsoft Defender for Identity ポータルから Microsoft Defender for Endpoint の統合を有効にするEnable the Microsoft Defender for Endpoint integration from the Microsoft Defender for Identity portal

Microsoft Defender for Identity でコンテキスト デバイスの統合を受け取る場合は、Microsoft Defender for Identity ポータルで機能を有効にする必要があります。To receive contextual device integration in Microsoft Defender for Identity, you'll also need to enable the feature in the Microsoft Defender for Identity portal.

  1. グローバル管理者または セキュリティ管理者の 役割を持つ Microsoft Defender for Identity ポータルにログインします。Log in to the Microsoft Defender for Identity portal with a Global Administrator or Security Administrator role.

  2. [インスタンス の作成] をクリックしますClick Create your instance.

  3. [統合] 設定を [オン] に切り替え、[ 保存] を クリックしますToggle the Integration setting to On and click Save.

両方のポータルの統合手順を完了すると、デバイスの詳細またはユーザーの詳細ページに関連するアラートを表示できます。After completing the integration steps on both portals, you'll be able to see relevant alerts in the device details or user details page.

Web コンテンツ フィルタリングWeb content filtering

望ましくないコンテンツを含む Web サイトへのアクセスをブロックし、すべてのドメインで Web アクティビティを追跡します。Block access to websites containing unwanted content and track web activity across all domains. ブロックする Web コンテンツ カテゴリを指定するには、Web コンテンツ フィルター ポリシー を作成しますTo specify the web content categories you want to block, create a web content filtering policy. Microsoft Defender for Endpoint セキュリティ ベースラインを展開する場合は、ブロック モードでネットワーク 保護を行いますEnsure you have network protection in block mode when deploying the Microsoft Defender for Endpoint security baseline.

Microsoft コンプライアンス センターとエンドポイント通知を共有するShare endpoint alerts with Microsoft Compliance Center

エンドポイント のセキュリティアラートとそのトリアージの状態を Microsoft コンプライアンス センターに転送し、警告を使用してインサイダーリスク管理ポリシーを強化し、内部リスクを害する前に修復することができます。Forwards endpoint security alerts and their triage status to Microsoft Compliance Center, allowing you to enhance insider risk management policies with alerts and remediate internal risks before they cause harm. 転送されたデータは、365 データと同じ場所Office保存されます。Forwarded data is processed and stored in the same location as your Office 365 data.

Insider リスク管理設定で セキュリティ ポリシー 違反インジケーターを構成すると、Defender for Endpoint アラートが該当するユーザーのインサイダー リスク管理と共有されます。After configuring the Security policy violation indicators in the insider risk management settings, Defender for Endpoint alerts will be shared with insider risk management for applicable users.

Microsoft Intune 接続Microsoft Intune connection

エンドポイントの Defender を Microsoft Intune と統合して、デバイスリスクベースの条件付きアクセス を有効にできますDefender for Endpoint can be integrated with Microsoft Intune to enable device risk-based conditional access. この機能 を有効にした場合、Defender for Endpoint デバイス情報を Intune と共有し、ポリシーの適用を強化できます。When you turn on this feature, you'll be able to share Defender for Endpoint device information with Intune, enhancing policy enforcement.

重要

この機能を使用するには、Intune と Defender for Endpoint の両方で統合を有効にする必要があります。You'll need to enable the integration on both Intune and Defender for Endpoint to use this feature. 特定の手順の詳細については、「Endpoint 用 Defender で条件付きアクセスを構成する」を参照してくださいFor more information on specific steps, see Configure Conditional Access in Defender for Endpoint.

この機能は、次の場合にのみ使用できます。This feature is only available if you have the following:

  • エンタープライズ モビリティ + セキュリティ E3、および Windows E5 (または Microsoft 365 Enterprise E5) のライセンステナントA licensed tenant for Enterprise Mobility + Security E3, and Windows E5 (or Microsoft 365 Enterprise E5)
  • アクティブな Microsoft Intune 環境で、Intune で管理される Windows 10 デバイス Azure AD 参加していますAn active Microsoft Intune environment, with Intune-managed Windows 10 devices Azure AD-joined.

条件付きアクセス ポリシーConditional Access policy

Intune 統合を有効にした場合、Intune は従来の条件付きアクセス (CA) ポリシーを自動的に作成します。When you enable Intune integration, Intune will automatically create a classic Conditional Access (CA) policy. この従来の CA ポリシーは、Intune に状態レポートを設定する前提条件です。This classic CA policy is a prerequisite for setting up status reports to Intune. 削除する必要があります。It should not be deleted.

注意

Intune によって作成される従来の CA ポリシーは、エンドポイントの構成に使用される最新の条件付きアクセス ポリシーとは異なります。The classic CA policy created by Intune is distinct from modern Conditional Access policies, which are used for configuring endpoints.

デバイスの検出Device discovery

追加のアプライアンスや面倒なプロセス変更を必要とせずに、企業ネットワークに接続されている管理されていないデバイスを見つけるのに役立ちます。Helps you find unmanaged devices connected to your corporate network without the need for extra appliances or cumbersome process changes. オンボード デバイスを使用すると、ネットワーク内の管理されていないデバイスを見つけて、脆弱性とリスクを評価できます。Using onboarded devices, you can find unmanaged devices in your network and assess vulnerabilities and risks. 詳細については、「デバイスの検出 」を参照してくださいFor more information, see Device discovery.

プレビュー機能Preview features

Defender for Endpoint プレビュー リリースの新機能について説明し、プレビュー エクスペリエンスをオンにして、今後の機能を最初に試してみてください。Learn about new features in the Defender for Endpoint preview release and be among the first to try upcoming features by turning on the preview experience.

今後の機能にアクセスできます。これは、機能が一般に利用可能になる前に全体的なエクスペリエンスを向上させるためにフィードバックを提供できます。You'll have access to upcoming features, which you can provide feedback on to help improve the overall experience before features are generally available.