IPs と URL/ドメインのインジケーターを作成するCreate indicators for IPs and URLs/domains

適用対象:Applies to:

ヒント

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップします。Sign up for a free trial.

Defender for Endpoint は、Microsoft が悪意のある IPS/URL と見なす動作、Windows Defender SmartScreen for Microsoft ブラウザー、および Microsoft 以外のブラウザーやブラウザー外で行われた呼び出しに対するネットワーク保護を通じてブロックできます。Defender for Endpoint can block what Microsoft deems as malicious IPs/URLs, through Windows Defender SmartScreen for Microsoft browsers, and through Network Protection for non-Microsoft browsers or calls made outside of a browser.

このための脅威インテリジェンス データ セットは、Microsoft によって管理されています。The threat intelligence data set for this has been managed by Microsoft.

IP と URL またはドメインのインジケーターを作成することで、独自の脅威インテリジェンスに基づいて、IPs、URL、またはドメインを許可またはブロックできます。By creating indicators for IPs and URLs or domains, you can now allow or block IPs, URLs, or domains based on your own threat intelligence. 特定のグループが他のグループよりも多かれ少なかれ危険にさらされている場合は、設定ページまたはコンピューター グループを使用してこれを行えます。You can do this through the settings page or by machine groups if you deem certain groups to be more or less at risk than others.

注意

IP アドレスInter-Domainクラスレス ルーティング (CIDR) 表記はサポートされていません。Classless Inter-Domain Routing (CIDR) notation for IP addresses is not supported.

はじめにBefore you begin

IPS、URL、またはドメインのインジケーターを作成する前に、次の前提条件を理解することが重要です。It's important to understand the following prerequisites prior to creating indicators for IPS, URLs, or domains:

  • URL/IP 許可とブロックは、Defender for Endpoint コンポーネントのネットワーク保護をブロック モードで有効にしています。URL/IP allow and block relies on the Defender for Endpoint component Network Protection to be enabled in block mode. ネットワーク保護と構成手順の詳細については、「ネットワーク保護を有効 にする」を参照してくださいFor more information on Network Protection and configuration instructions, see Enable network protection.
  • マルウェア対策クライアントのバージョンは、4.18.1906.x 以降である必要があります。The Antimalware client version must be 4.18.1906.x or later.
  • Windows 10 バージョン 1709 以降のコンピューターでサポートされています。Supported on machines on Windows 10, version 1709 or later.
  • Microsoft Defender Security Center の [設定] ページ で[カスタム ネットワーク インジケーター] が有効 >高度>確認しますEnsure that Custom network indicators is enabled in Microsoft Defender Security Center > Settings > Advanced features. 詳細については、「高度な機能 」を参照してくださいFor more information, see Advanced features.
  • iOS でのインジケーターのサポートについては、「カスタム インジケーターの 構成」を参照してくださいFor support of indicators on iOS, see Configure custom indicators.

重要

インジケーター リストに追加できるのは外部の AP のみです。Only external IPs can be added to the indicator list. インジケーターは、内部の IPs に対して作成できません。Indicators cannot be created for internal IPs. Web 保護のシナリオでは、Microsoft Edge の組み込み機能を使用することをお勧めします。For web protection scenarios, we recommend using the built-in capabilities in Microsoft Edge. Microsoft Edge はネットワーク保護 を利用して ネットワーク トラフィックを検査し、TCP、HTTP、HTTPS (TLS) のブロックを許可します。Microsoft Edge leverages Network Protection to inspect network traffic and allows blocks for TCP, HTTP, and HTTPS (TLS). 競合する URL インジケーター ポリシーがある場合は、長いパスが適用されます。If there are conflicting URL indicator policies, the longer path is applied. たとえば、URL インジケーター ポリシーは URL インジケーター https:\\support.microsoft.com/en-us/office ポリシーよりも優先されます https:\\support.microsoft.comFor example, the URL indicator policy https:\\support.microsoft.com/en-us/office takes precedence over the URL indicator policy https:\\support.microsoft.com.

注意

その他のすべてのプロセスでは、Web 保護シナリオでネットワーク保護を活用して検査と実施を行います。For all other processes, web protection scenarios leverage Network Protection for inspection and enforcement:

  • IP は 3 つのプロトコルすべてでサポートされていますIP is supported for all three protocols
  • サポートされている IP アドレスは 1 つのみです (CIDR ブロックまたは IP 範囲なし)Only single IP addresses are supported (no CIDR blocks or IP ranges)
  • 暗号化された URL (フル パス) は、ファースト パーティのブラウザーでのみブロックできます (Internet Explorer エッジ)Encrypted URLs (full path) can only be blocked on first party browsers (Internet Explorer, Edge)
  • 暗号化された URL (FQDN のみ) は、ファースト パーティブラウザーの外部でブロックできます (Internet Explorer エッジ)Encrypted URLS (FQDN only) can be blocked outside of first party browsers (Internet Explorer, Edge)
  • 完全な URL パス ブロックは、ドメイン レベルと暗号化されていないすべての URL に適用できます。Full URL path blocks can be applied on the domain level and all unencrypted URLs

注意

アクションが実行され、URL と IP がブロックされる時間の間に最大 2 時間の待機時間 (通常は少ない) が発生する場合があります。There may be up to 2 hours of latency (usually less) between the time the action is taken, and the URL and IP being blocked.

設定ページから、IPs、URL、またはドメインのインジケーターを作成するCreate an indicator for IPs, URLs, or domains from the settings page

  1. ナビゲーション ウィンドウで、[設定インジケーター] > 選択しますIn the navigation pane, select Settings > Indicators.

  2. [IP アドレス ] タブまたは [URL/ドメイン] タブを選択 します。Select the IP addresses or URLs/Domains tab.

  3. [アイテム の追加] を選択しますSelect Add item.

  4. 次の詳細を指定します。Specify the following details:

    • Indicator - エンティティの詳細を指定し、インジケーターの有効期限を定義します。Indicator - Specify the entity details and define the expiration of the indicator.
    • Action - 実行するアクションを指定し、説明を入力します。Action - Specify the action to be taken and provide a description.
    • Scope - コンピューター グループのスコープを定義します。Scope - Define the scope of the machine group.
  5. [概要] タブで詳細を確認し、[保存] を クリックしますReview the details in the Summary tab, then click Save.