クライアントの動作ブロック
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
概要
クライアントの動作ブロックは、Defender for Endpoint の 動作ブロックと封じ込め機能 のコンポーネントです。 デバイス (クライアントまたはエンドポイントとも呼ばれます) で疑わしい動作が検出されると、成果物 (ファイルやアプリケーションなど) が自動的にブロック、チェック、修復されます。
ウイルス対策保護は、クラウド保護と組み合わせて使用すると最適です。
クライアント動作ブロックのしくみ
Microsoft Defenderウイルス対策は、疑わしい動作、悪意のあるコード、ファイルレス攻撃やメモリ内攻撃などをデバイスで検出できます。 不審な動作が検出されると、ウイルス対策Microsoft Defender監視し、それらの不審な動作とそのプロセス ツリーをクラウド保護サービスに送信します。 機械学習は、悪意のあるアプリケーションと良好な動作をミリ秒単位で区別し、各成果物を分類します。 ほぼリアルタイムで、アーティファクトが悪意があると検出されるとすぐに、デバイスでブロックされます。
疑わしい動作が検出されると、アラートが生成され、攻撃が検出され、停止されている間に表示されます。"初期アクセス アラート" などのアラートがトリガーされ、Microsoft Defender ポータル (以前のMicrosoft Defender XDR) に表示されます。
クライアントの動作ブロックは、攻撃の開始を防ぐだけでなく、実行を開始した攻撃を停止するのに役立つ可能性があるため、有効です。 また、フィードバック ループ ブロック (動作ブロックと封じ込みのもう 1 つの機能) を使用すると、organization内の他のデバイスで攻撃が防止されます。
動作ベースの検出
動作ベースの検出には、 MITRE ATT&CK Matrix for Enterprise に従って名前が付けられます。 名前付け規則は、悪意のある動作が観察された攻撃段階を特定するのに役立ちます。
| 戦術 | 検出の脅威名 |
|---|---|
| 初期アクセス | Behavior:Win32/InitialAccess.*!ml |
| 実行 | Behavior:Win32/Execution.*!ml |
| 永続性 | Behavior:Win32/Persistence.*!ml |
| 特権エスカレーション | Behavior:Win32/PrivilegeEscalation.*!ml |
| 防御回避 | Behavior:Win32/DefenseEvasion.*!ml |
| 資格情報へのアクセス | Behavior:Win32/CredentialAccess.*!ml |
| 検出 | Behavior:Win32/Discovery.*!ml |
| 横方向の移動 | Behavior:Win32/LateralMovement.*!ml |
| コレクション | Behavior:Win32/Collection.*!ml |
| コマンドとコントロール | Behavior:Win32/CommandAndControl.*!ml |
| 流出 | Behavior:Win32/Exfiltration.*!ml |
| 影響 | Behavior:Win32/Impact.*!ml |
| 未分類 | Behavior:Win32/Generic.*!ml |
ヒント
特定の脅威の詳細については、最近の グローバル脅威アクティビティに関するページを参照してください。
クライアント動作ブロックの構成
organizationが Defender for Endpoint を使用している場合、クライアント動作ブロックは既定で有効になっています。 ただし、 動作ブロックや封じ込めなど、Defender for Endpoint のすべての機能の恩恵を受けるために、Defender for Endpoint の次の機能が有効および構成されていることを確認します。
- Defender for Endpoint ベースライン
- Defender for Endpoint にオンボードされているデバイス
- ブロック モードの EDR
- 攻撃面の減少
- 次世代保護 (ウイルス対策、マルウェア対策、およびその他の脅威保護機能)
ヒント
他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。
- macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Mac 用 Microsoft Defender for Endpoint
- Intune の Microsoft Defender ウイルス対策の macOS ウイルス対策ポリシー設定
- Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Linux 用 Microsoft Defender for Endpoint
- Android 機能用 Defender for Endpoint を構成する
- iOS 機能用 Microsoft Defender for Endpoint を構成する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示