Microsoft Defender for Endpoint の機能が監査モードで動作する方法をテストするTest how Microsoft Defender for Endpoint features work in audit mode

適用対象:Applies to:

監査モードでは、攻撃表面の縮小ルール、エクスプロイト保護、ネットワーク保護、およびフォルダー アクセスの制御を有効にできます。You can enable attack surface reduction rules, exploit protection, network protection, and controlled folder access in audit mode. 監査モードでは、機能を有効にした場合に何が起こったかの記録を確認できます。Audit mode lets you see a record of what would have happened if you had enabled the feature.

組織での機能の動作をテストするときに、監査モードを有効にできます。You may want to enable audit mode when testing how the features will work in your organization. これにより、一行のアプリが影響を受けずに行うのに役立ちます。This will help make sure your line-of-business apps aren't affected. また、一定の期間に発生する疑わしいファイル変更の試行回数を確認できます。You can also get an idea of how many suspicious file modification attempts occur over a certain period of time.

この機能は、アプリ、スクリプト、またはファイルが変更されるのをブロックまたは防止できません。The features won't block or prevent apps, scripts, or files from being modified. ただし、Windows イベント ログは、機能が完全に有効になっているかのようにイベントを記録します。However, the Windows Event Log will record events as if the features were fully enabled. 監査モードでは、イベント ログを確認して、機能が有効な場合にどのような影響を与えたかを確認できます。With audit mode, you can review the event log to see what impact the feature would have had if it was enabled.

監査されたエントリを見つけるには 、「Applications and Services Microsoft Windows Windows Defender > > > 」 > 参照してくださいTo find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

Defender for Endpoint を使用すると、特に攻撃表面の縮小ルールを調査するために、各イベントの詳細を取得できます。You can use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. Defender for Endpoint コンソールを使用すると、アラートタイムラインと調査シナリオの一部として問題 を調査できますUsing the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

グループ ポリシー、PowerShell、および構成サービス プロバイダー (CSP) を使用して監査モードを有効にできます。You can use Group Policy, PowerShell, and configuration service providers (CSPs) to enable audit mode.

ヒント

また、テストグラウンドの Windows Defenderにアクセス して demo.wd.microsoft.com 機能を確認し、機能の動作を確認できます。You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

監査オプションAudit options 監査モードを有効にする方法How to enable audit mode イベントを表示する方法How to view events
監査はすべてのイベントに適用されますAudit applies to all events 制御されたフォルダー アクセスを有効にするEnable controlled folder access フォルダー アクセスイベントの制御Controlled folder access events
監査は個々のルールに適用されますAudit applies to individual rules 攻撃面の減少ルールを有効にするEnable attack surface reduction rules 攻撃表面の縮小ルール イベントAttack surface reduction rule events
監査はすべてのイベントに適用されますAudit applies to all events ネットワーク保護を有効にするEnable network protection ネットワーク保護イベントNetwork protection events
監査は個々の軽減策に適用されますAudit applies to individual mitigations エクスプロイト保護を有効にするEnable exploit protection エクスプロイト保護イベントExploit protection events