ブロック モードのエンドポイントでの検出と対応 (EDR)

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ブロック モードEDR機能とは

ブロック モードのエンドポイント検出と応答 (EDR) は、Microsoft Defender ウイルス対策 がプライマリウイルス対策製品ではなく、パッシブ モードで実行されている場合に、悪意のあるアーティファクトからの保護を強化します。 EDRモードでは、悪意のあるアーティファクトを修復するために、ブロック モードの機能によって検出された悪意のあるEDR動作します。 このようなアーティファクトは、Microsoft 以外のプライマリ ウイルス対策製品によって見逃されている可能性があります。 Microsoft Defender ウイルス対策 をプライマリ ウイルス対策として実行しているデバイスの場合、ブロック モードの EDR は、Microsoft Defender ウイルス対策 が侵害後の行動EDR検出に対して自動アクションを実行できるようにして、追加の防御層を提供します。

重要

EDRモードの場合、リアルタイム保護が有効になっている場合に使用可能Microsoft Defender ウイルス対策保護が提供されるとは言えな アクティブなウイルス対策Microsoft Defender ウイルス対策に依存しているすべての機能は、次の主要な例を含めて機能しません。

  • パッシブ モードの場合、オンアクセス スキャンを含むリアルタイムMicrosoft Defender ウイルス対策使用できません。 リアルタイム保護ポリシー設定の詳細については、「常に保護を有効にして構成する」を参照Microsoft Defender ウイルス対策 を参照してください
  • ネットワーク保護 や攻撃表面**** 縮小ルールのような機能は、アクティブ モードでMicrosoft Defender ウイルス対策場合にのみ使用できます。

Microsoft 以外のウイルス対策ソリューションがこれらの機能を提供する必要があります。

EDRモードのデータは、脅威の検出と統合& 脆弱性の管理。 組織のセキュリティ チームは、まだ有効になっていない場合EDRモードで有効にするセキュリティの推奨事項を受け取ります。

ブロック モードでEDRを有効にしてください。

何かが検出されると何が起こりますか?

ブロック EDRがオンになっていて、悪意のあるアーティファクトが検出されると、Microsoft Defender for Endpoint は、そのアーティファクトをブロックして修復します。 セキュリティ運用チームは、アクション センターに [ブロック] または[防止済み] と表示され、完了したアクションとして一覧表示されます。

次の図は、ブロック モードで検出され、ブロックされたソフトウェアのインスタンスEDR示しています。

EDRモードで何かが検出されました。

ブロック モードEDR有効にする

ヒント

ブロック モードでオンにする前に、要件EDR確認してください。

  1. ポータル ( ) にMicrosoft 365 Defenderサインイン https://security.microsoft.com/ します。
  2. [エンドポイント 設定 > 高度な > 機能 > ] を選択します
  3. 下にスクロールし、[ブロック モードでEDR を有効にする] をオンにします

重要

EDRモードの場合は、Microsoft 365 Defender ポータルまたは以前の Microsoft Defender セキュリティ センター ( ) でのみ有効にできます。テナント全体 https://securitycenter.windows.com に適用されます。 特定のデバイス グループEDRをターゲットに設定することはできません。 ブロック モードでレジストリ キー、Microsoft Intune、またはグループ ポリシーを使用して、EDRを有効または無効にすることはできません。

ブロック モードでのEDRの要件

要件 詳細
アクセス許可 [グローバル管理者] または [セキュリティ管理者] ロールが [管理者] に割り当てられている必要Azure Active Directory。 詳細については、「基本アクセス許可 」を参照してください
オペレーティング システム デバイスは、次のいずれかのバージョンのデバイスを実行している必要Windows。
- Windows 10 (すべてのリリース)
- Windows Server バージョン 1803 以降
- Windows Server 2019
- Windows Server 2022
- Windows Server 2016 (Microsoft Defender ウイルス対策モードの場合のみ)
Microsoft Defender for Endpoint デバイスは Defender for Endpoint にオンボードされている必要があります。 「 エンドポイント用 Microsoft Defender の最小要件」を参照してください
Microsoft Defender ウイルス対策 デバイスには、アクティブ Microsoft Defender ウイルス対策パッシブ モードでインストールおよび実行されている必要があります。 アクティブMicrosoft Defender ウイルス対策パッシブ モードの状態を確認します
クラウドによる保護 Microsoft Defender ウイルス対策保護を有効にするように構成する必要があります
Microsoft Defender ウイルス対策プラットフォーム デバイスは最新である必要があります。 PowerShell を使用して確認するには 、Get-MpComputerStatus コマンドレットを管理者として実行します。 AMProductVersion 行4.18.2001.10 以上 が表示されます。

詳細については、「Microsoft Defender ウイルス対策の更新プログラムの管理とベースラインの適用」を参照してください。

Microsoft Defender ウイルス対策 エンジン デバイスは最新である必要があります。 PowerShell を使用して確認するには 、Get-MpComputerStatus コマンドレットを管理者として実行します。 AMEngineVersion 行に 1.1.16700.2 以上が表示されます。

詳細については、「Microsoft Defender ウイルス対策の更新プログラムの管理とベースラインの適用」を参照してください。

重要

最高の保護値を取得するには、ウイルス対策ソリューションが定期的な更新プログラムと重要な機能を受信するように構成され、除外 が構成されていることを確認します。 EDRモードでは、Microsoft Defender for Endpoint に対して定義されているインジケーターではなく、Microsoft Defender ウイルス対策に対して定義されている除外が尊重されます。

よく寄せられる質問

デバイスで実行しているデバイスがEDR場合は、ブロック モードでMicrosoft Defender ウイルス対策する必要がありますか?

ブロック モードでEDRの主な目的は、Microsoft 以外のウイルス対策製品によって見逃された侵害後の検出を修復する方法です。 ただし、パッシブ モードEDRアクティブ モードの場合は、Microsoft Defender ウイルス対策モードをオンにすることをお勧めします。

  • パッシブ Microsoft Defender ウイルス対策モードの場合、EDRモードのユーザーは、Microsoft Defender for Endpoint と共に別の防御層を提供します。
  • アクティブ Microsoft Defender ウイルス対策モードの場合、ブロック モードの EDR は追加のスキャンを提供しませんが、Microsoft Defender ウイルス対策 は侵害後の行動検出に対して自動アクションを実行EDRします。

ブロック モードEDRユーザーのウイルス対策保護に影響しますか?

EDRモードの場合、ユーザーのデバイスで実行されているサードパーティのウイルス対策保護には影響しません。 EDRウイルス対策ソリューションで何かが見つからない場合、または侵害後の検出がある場合は、ブロック モードで動作します。 EDRモードの場合はパッシブ モードの Microsoft Defender ウイルス対策 と同様に動作しますが、ブロック モードの EDR は悪意のあるアーティファクトや検出された動作もブロックおよび修復します。

最新の状態を維持Microsoft Defender ウイルス対策する必要がある理由

悪意のあるMicrosoft Defender ウイルス対策を検出して修復するために、最新の状態に保つ必要があります。 ブロック EDRを有効にするために、最新のデバイス学習モデル、動作検出、ヒューリスティックを使用します。 Defender for Endpoint の機能 スタックは、統合された方法で動作します。 最適な保護値を取得するには、最新のMicrosoft Defender ウイルス対策する必要があります。 Microsoft Defender ウイルス対策の更新の管理を行い、ベースラインを適用する方法を参照してください。

クラウド保護 (MAPS) が必要な理由

デバイスの機能を有効にするには、クラウド保護が必要です。 クラウド保護により 、Defender for Endpoint は、セキュリティ インテリジェンスの幅と深さに基づいて、行動モデルとデバイス学習モデルに基づいて、最新の最大の保護を提供できます。

アクティブ モードとパッシブ モードの違いは何ですか?

Windows 10、Windows 11、Windows Server、バージョン 1803 以降、Windows Server 2019、Windows Server 2022 を実行しているエンドポイントでは、Microsoft Defender ウイルス対策 がアクティブ モードの場合、デバイス上のプライマリ ウイルス対策として使用されます。 パッシブ モードで実行する場合、Microsoft Defender ウイルス対策ウイルス対策製品ではありません。 この場合、脅威はリアルタイムでMicrosoft Defender ウイルス対策修復されるのではありません。

注意

Microsoft Defender ウイルス対策は、デバイスが Microsoft Defender for Endpoint にオンボードされている場合にのみパッシブ モードで実行できます。

詳細については、「互換性」をMicrosoft Defender ウイルス対策してください

アクティブまたはパッシブ モードMicrosoft Defender ウイルス対策確認する方法

アクティブ モードまたはパッシブ Microsoft Defender ウイルス対策実行されているかどうかを確認するには、コマンド プロンプトまたは PowerShell を、アクティブ モードで実行しているデバイスでWindows。



Method Procedure
PowerShell 1. 選択したスタート メニュー入力を開始し、結果 PowerShell でWindows PowerShellを開きます。

2. と入力します Get-MpComputerStatus

3. 結果の一覧の [AMRunningMode] 行で、次のいずれかの値を探します。
- Normal
- Passive Mode

詳細については 、「Get-MpComputerStatus」を参照してください
コマンド プロンプト 1. コマンド を選択スタート メニュー入力を開始し、結果 Command Prompt Windowsコマンド プロンプトを開きます。

2. と入力します sc query windefend

3. 結果の一覧の STATE 行で、サービスが実行されているのを確認します。

パッシブ モードでブロック モードEDRがオンになっていることを確認するには、Microsoft Defender ウイルス対策確認する方法を示します。

PowerShell を使用して、パッシブ モードでEDRでブロック モードのMicrosoft Defender ウイルス対策を確認できます。

  1. 選択したスタート メニュー入力を開始し、結果 PowerShell でWindows PowerShellを開きます。

  2. 種類Get-MPComputerStatus|select AMRunningMode

  3. 結果が表示 EDR Block Mode されます。

    ヒント

    アクティブ Microsoft Defender ウイルス対策モードの場合は、 の代わりに Normal 表示されます EDR Block Mode 。 詳細については 、「Get-MpComputerStatus」を参照してください

ブロック EDRは、ブロック モードでサポートWindows Server 2016。

アクティブ Microsoft Defender ウイルス対策またはパッシブ モードで実行されている場合、ブロック モードEDR次のバージョンのデバイスがサポートWindows。

  • Windows 10 (すべてのリリース)
  • Windows Server バージョン 1803 以降
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows 11

注意

Windows Server 2016および Windows Server 2012 R2 は、この機能を動作するには、「オンボード サーバー Windowsを使用してオンボードする必要があります。

ブロック モードで無効にEDRにどのくらいの時間が必要ですか?

ブロック モードで EDRを無効にした場合、システムがこの機能を無効にするには最大 30 分かかる場合があります。

関連項目