証明書に基づいてインジケーターを作成する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

証明書のインジケーターを作成できます。 一般的な使用例には、次のようなものがあります。

  • 攻撃表面の縮小ルールやフォルダー アクセスの制御など、ブロック テクノロジを展開する必要があるが、許可リストに証明書を追加して署名済みアプリケーションからの動作を許可する必要があるシナリオ。
  • 組織全体で特定の署名付きアプリケーションの使用をブロックする。 アプリケーションの証明書をブロックするインジケーターを作成すると、Windows Defender AV はファイルの実行 (ブロックと修復) を防止し、自動調査と修復は同じように動作します。

はじめに

証明書のインジケーターを作成する前に、次の要件を理解することが重要です。

  • この機能は、組織でクラウド ベースのWindows Defender ウイルス対策が有効になっている場合に使用できます。 詳細については、「クラウドベースの保護 を管理する」を参照してください

  • マルウェア対策クライアントのバージョンは、4.18.1901.x 以降である必要があります。

  • Windows 10 バージョン 1703 以降、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2022 のコンピューターでサポートされます。

    注意

    Windows Server 2016および Windows Server 2012 R2 は、この機能を動作するには、「オンボード サーバー Windowsを使用してオンボードする必要があります。

  • ウイルスおよび脅威保護の定義は最新である必要があります。

  • この機能は現在、 の入力をサポートしています。CER または .PEM ファイル拡張子。

重要

  • 有効なリーフ証明書は、有効な証明書パスを持ち、Microsoft が信頼するルート証明機関 (CA) にチェーンする必要がある署名証明書です。 または、カスタム (自己署名証明書) 証明書は、クライアントによって信頼されている限り使用できます (ルート CA 証明書は、ローカル コンピューターの [信頼されたルート証明機関] の下にインストールされます)。
  • 許可/ブロック証明書 IOC の子または親は、許可/ブロック IoC 機能には含まれません。リーフ証明書だけがサポートされます。
  • Microsoft 署名された証明書はブロックできません。

設定ページから証明書のインジケーターを作成します。

重要

証明書 IoC を作成および削除するには、最大 3 時間かかる場合があります。

  1. ナビゲーション ウィンドウで、[エンドポイントインジケーター]設定 > ([ ルール] > の下)選択します

  2. [インジケーター の追加] を選択します

  3. 次の詳細を指定します。

    • Indicator - エンティティの詳細を指定し、インジケーターの有効期限を定義します。
    • Action - 実行するアクションを指定し、説明を入力します。
    • Scope - コンピューター グループのスコープを定義します。
  4. [概要] タブで詳細を確認し、[保存] を クリックします