Microsoft Defender ATP の高度な機能を構成するConfigure advanced features in Microsoft Defender ATP

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

Microsoft Defender ATP を体験するには、Want to experience Microsoft Defender ATP? 無料試用版にサインアップしてください。Sign up for a free trial.

使用している Microsoft security 製品によっては、Microsoft Defender ATP との統合に、いくつかの高度な機能が用意されている場合があります。Depending on the Microsoft security products that you use, some advanced features might be available for you to integrate Microsoft Defender ATP with.

以下の高度な機能を使用して、悪意のあるファイルからの保護を強化し、セキュリティ調査中に理解を深めます。Use the following advanced features to get better protected from potentially malicious files and gain better insight during security investigations:

自動調査Automated investigation

この機能を有効にすると、サービスの自動調査と修復機能を利用できます。Turn on this feature to take advantage of the automated investigation and remediation features of the service. 詳細については、「 自動調査」を参照してください。For more information, see Automated investigation.

実際の返信Live response

適切な権限を持つユーザーがデバイスでライブ応答セッションを開始できるように、この機能をオンにします。Turn on this feature so that users with the appropriate permissions can start a live response session on devices.

役割の割り当ての詳細については、「 ロールを作成および管理する」を参照してください。For more information about role assignments, see Create and manage roles.

本物の返信の未署名のスクリプトの実行Live response unsigned script execution

この機能を有効にすると、ライブ応答セッションで署名されていないスクリプトを実行できるようになります。Enabling this feature allows you to run unsigned scripts in a live response session.

修復したアラートの解決Autoresolve remediated alerts

Windows 10 バージョン1809以降で作成されたテナントの場合、自動調査の結果状態が "脅威は見つかりませんでした" または "修復済み" であるという通知を解決するために、自動調査と修復機能が既定で構成されています。For tenants created on or after Windows 10, version 1809 the automated investigation and remediation capability is configured by default to resolve alerts where the automated analysis result status is "No threats found" or "Remediated". アラートを自動解決したくない場合は、この機能を手動で無効にする必要があります。If you don't want to have alerts auto-resolved, you'll need to manually turn off the feature.

ヒント

このバージョンより前に作成されたテナントの場合は、[ 高度な機能 ] ページから手動でこの機能を有効にする必要があります。For tenants created prior that version, you'll need to manually turn this feature on from the Advanced features page.

注意

  • 自動解決アクションの結果は、デバイスで検出されたアクティブなアラートに基づくデバイスのリスクレベルの計算に影響を与える可能性があります。The result of the auto-resolve action may influence the Device risk level calculation which is based on the active alerts found on a device.
  • セキュリティ運用アナリストが警告の状態を "進行中" または "解決済み" に手動で設定した場合、自動解決機能は上書きしません。If a security operations analyst manually sets the status of an alert to "In progress" or "Resolved" the auto-resolve capability will not overwrite it.

ファイルを許可または禁止するAllow or block file

ブロックは、組織が次の要件を満たしている場合にのみ使用できます。Blocking is only available if your organization fulfills these requirements:

  • Microsoft Defender ウイルス対策をアクティブなマルウェア対策ソリューションとして使用します。Uses Microsoft Defender Antivirus as the active antimalware solution and,
  • クラウドベースの保護機能が有効になっているThe cloud-based protection feature is enabled

この機能を使って、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。This feature enables you to block potentially malicious files in your network. ファイルをブロックすると、組織内のデバイスでファイルの読み取り、書き込み、または実行ができなくなります。Blocking a file will prevent it from being read, written, or executed on devices in your organization.

許可またはブロックするファイルを有効にするには、次の操作を行います。To turn Allow or block files on:

  1. ナビゲーションウィンドウで、[設定] の [ > 高度な機能を > 許可または禁止する] を選びます。In the navigation pane, select Settings > Advanced features > Allow or block file.

  2. [オン][オフ] の設定を切り替えます。Toggle the setting between On and Off.

    ブロックファイル機能の詳細設定の画像

  3. ページの下部にある [ 保存環境設定 ] を選択します。Select Save preferences at the bottom of the page.

この機能を有効にした後、ファイルのプロファイルページの [インジケーターの追加] タブでファイルをブロックすることができます。After turning on this feature, you can block files via the Add Indicator tab on a file's profile page.

カスタムネットワークインジケーターCustom network indicators

この機能を有効にすると、ユーザー設定のインジケーターリストに基づいて、IP アドレス、ドメイン、または Url のインジケーターを作成して、それらを許可またはブロックするかどうかを決定することができます。Turning on this feature allows you to create indicators for IP addresses, domains, or URLs, which determine whether they will be allowed or blocked based on your custom indicator list.

この機能を使用するには、デバイスで Windows 10 バージョン1709以降を実行している必要があります。To use this feature, devices must be running Windows 10 version 1709 or later. また、ブロックモードではネットワーク保護も使用し、マルウェア対策 4052623プラットフォームではバージョン4.18.1906.3 以降を使用する必要があります。They should also have network protection in block mode and version 4.18.1906.3 or later of the antimalware platform see KB 4052623.

詳細については、「 インジケーターを管理する」を参照してください。For more information, see Manage indicators.

注意

ネットワーク保護は、Microsoft Defender ATP データ用に選択されている場所以外の場所にある要求を処理する評価サービスを活用します。Network protection leverages reputation services that process requests in locations that might be outside of the location you have selected for your Microsoft Defender ATP data.

ユーザーの詳細の表示Show user details

この機能を有効にすると、Azure Active Directory に保存されているユーザーの詳細が表示されます。Turn on this feature so that you can see user details stored in Azure Active Directory. 詳細には、ユーザーアカウントのエンティティを調査するときに、ユーザーの画像、名前、役職、部門の情報が含まれます。Details include a user's picture, name, title, and department information when investigating user account entities. 次のビューでユーザー アカウント情報を確認することができます。You can find user account information in the following views:

  • セキュリティ操作ダッシュボードSecurity operations dashboard
  • アラート キューAlert queue
  • デバイスの詳細ページDevice details page

詳しくは、「ユーザー アカウントを調査する」をご覧ください。For more information, see Investigate a user account.

Skype for Business の統合Skype for Business integration

Skype for Business の統合を有効にすると、Skype for Business、電子メール、または電話を使ってユーザーに連絡できます。Enabling the Skype for Business integration gives you the ability to communicate with users using Skype for Business, email, or phone. この機能はユーザーに連絡する必要がある場合に便利で、リスクも軽減できます。This can be handy when you need to communicate with the user and mitigate risks.

注意

デバイスがネットワークから分離されている場合は、ユーザーがネットワークから切断されている間も、ユーザーに通信を許可する Outlook と Skype の通信を有効にすることができます。When a device is being isolated from the network, there's a pop-up where you can choose to enable Outlook and Skype communications which allows communications to the user while they are disconnected from the network. この設定は、デバイスが分離モードのときに Skype および Outlook の通信に適用されます。This setting applies to Skype and Outlook communication when devices are in isolation mode.

Azure Advanced Threat Protection の統合Azure Advanced Threat Protection integration

Azure Advanced Threat Protection との統合により、別の Microsoft Identity security 製品に直接ピボットすることができます。The integration with Azure Advanced Threat Protection allows you to pivot directly into another Microsoft Identity security product. Azure Advanced Threat Protection は、侵害された可能性があるアカウントと関連リソースに関する調査を強化します。Azure Advanced Threat Protection augments an investigation with additional insights about a suspected compromised account and related resources. この機能を有効にすることで、特定の観点からネットワーク上にピボットして、デバイスベースの調査機能を充実させることができます。By enabling this feature, you'll enrich the device-based investigation capability by pivoting across the network from an identify point of view.

注意

この機能を有効にするには、適切なライセンスが必要です。You'll need to have the appropriate license to enable this feature.

Microsoft セキュリティスコアMicrosoft Secure Score

Microsoft Defender ATP シグナルを microsoft 365 セキュリティセンターの Microsoft セキュリティスコアに転送します。Forwards Microsoft Defender ATP signals to Microsoft Secure Score in the Microsoft 365 security center. この機能を有効にすると、Microsoft セキュアスコアは、デバイスのセキュリティの状況に応じて表示されます。Turning on this feature gives Microsoft Secure Score visibility into the devices security posture. 転送されたデータは、Microsoft セキュリティスコアデータと同じ場所に保存されて処理されます。Forwarded data is stored and processed in the same location as the your Microsoft Secure Score data.

Azure ATP ポータルからの Microsoft Defender ATP の統合を有効にするEnable the Microsoft Defender ATP integration from the Azure ATP portal

Azure ATP でコンテキストデバイスの統合を受けるには、Azure ATP ポータルでこの機能を有効にする必要もあります。To receive contextual device integration in Azure ATP, you'll also need to enable the feature in the Azure ATP portal.

  1. グローバル管理者またはセキュリティ管理者の役割で Azure portal にログインします。Log in to the Azure portal with a Global Administrator or Security Administrator role.

  2. [ インスタンスの作成] をクリックします。Click Create your instance.

  3. インテグレーション設定を オン に切り替えて、[ 保存] をクリックします。Toggle the Integration setting to On and click Save.

両方のポータルで統合手順を完了した後は、[デバイスの詳細] ページまたは [ユーザーの詳細] ページで関連する通知を確認できます。After completing the integration steps on both portals, you'll be able to see relevant alerts in the device details or user details page.

Office 365 脅威インテリジェンス接続Office 365 Threat Intelligence connection

この機能は、アクティブな Office 365 E5 または脅威インテリジェンス アドオンがある場合にのみ利用できます。This feature is only available if you have an active Office 365 E5 or the Threat Intelligence add-on. 詳しくは、Office 365 Enterprise E5 の製品ページをご覧ください。For more information, see the Office 365 Enterprise E5 product page.

この機能を有効にすると、office 365 メールボックスと Windows デバイス全体で包括的なセキュリティ調査を実施するために、Office 365 Advanced Threat Protection から Microsoft Defender セキュリティセンターにデータを取り込むことができます。When you turn this feature on, you'll be able to incorporate data from Office 365 Advanced Threat Protection into Microsoft Defender Security Center to conduct a comprehensive security investigation across Office 365 mailboxes and Windows devices.

注意

この機能を有効にするには、適切なライセンスが必要です。You'll need to have the appropriate license to enable this feature.

Office 365 の脅威インテリジェンスでコンテキストデバイスの統合を行うには、セキュリティ & コンプライアンスダッシュボードで Microsoft Defender ATP の設定を有効にする必要があります。To receive contextual device integration in Office 365 Threat Intelligence, you'll need to enable the Microsoft Defender ATP settings in the Security & Compliance dashboard. 詳しくは、Office 365 脅威インテリジェンスの概要をご覧ください。For more information, see Office 365 Threat Intelligence overview.

Microsoft 脅威エキスパートMicrosoft Threat Experts

Microsoft Threat Expert の2つのコンポーネントのうち、対象となる攻撃の通知は、一般的に使用できるようになっています。Out of the two Microsoft Threat Expert components, targeted attack notification is in general availability. 専門家のオンデマンド機能は、引き続きプレビューに表示されます。Experts-on-demand capability is still in preview. [プレビュー] に適用し、アプリケーションが承認されている場合にのみ、専門家オンデマンド機能を使用できます。You can only use the experts-on-demand capability if you have applied for preview and your application has been approved. Microsoft Defender ATP ポータルの [通知] ダッシュボードを通じて、Microsoft の脅威の専門家から対象指定された攻撃の通知を受け取ることができます。また、構成している場合はメールを使用できます。You can receive targeted attack notifications from Microsoft Threat Experts through your Microsoft Defender ATP portal's alerts dashboard and via email if you configure it.

注意

Microsoft Defender ATP の Microsoft Threat の専門家の機能は、 Enterprise Mobility + Securityの E5 ライセンスで利用できます。The Microsoft Threat Experts capability in Microsoft Defender ATP is available with an E5 license for Enterprise Mobility + Security.

Microsoft Cloud App SecurityMicrosoft Cloud App Security

この設定を有効にすると、Microsoft Defender ATP シグナルが Microsoft Cloud App Security に転送され、クラウドアプリケーションの使用をより深く把握できます。Enabling this setting forwards Microsoft Defender ATP signals to Microsoft Cloud App Security to provide deeper visibility into cloud application usage. 転送されたデータは、クラウドアプリのセキュリティデータと同じ場所に保存されて処理されます。Forwarded data is stored and processed in the same location as your Cloud App Security data.

注意

この機能は、Windows 10 を実行しているデバイス、バージョン 1709 (OS ビルド 16299.1085 with KB4493441)、windows 10、バージョン 1803 (os ビルド 17134.704 with KB4493464)、windows 10、バージョン 1809 (os ビルド 17763.379 KB4489899)、またはそれ以降の windows 10バージョンで利用可能です。This feature will be available with an E5 license for Enterprise Mobility + Security on devices running Windows 10, version 1709 (OS Build 16299.1085 with KB4493441), Windows 10, version 1803 (OS Build 17134.704 with KB4493464), Windows 10, version 1809 (OS Build 17763.379 with KB4489899) or later Windows 10 versions.

Azure Information ProtectionAzure Information Protection

この設定を有効にすると、通知を Azure Information Protection に転送できます。Turning on this setting allows signals to be forwarded to Azure Information Protection. これにより、データ所有者と管理者が、onboarded デバイスとデバイスのリスク評価の保護されたデータに表示されるようになります。It gives data owners and administrators visibility into protected data on onboarded devices and device risk ratings.

Microsoft Intune 接続Microsoft Intune connection

Microsoft Defender ATP を Microsoft Intune と統合して、 デバイスのリスクベースの条件付きアクセスを有効にすることができます。Microsoft Defender ATP can be integrated with Microsoft Intune to enable device risk-based conditional access. この機能を有効にすると、Intune で MICROSOFT Defender ATP デバイス情報を共有できるようになり、ポリシーの適用が強化されます。When you turn on this feature, you'll be able to share Microsoft Defender ATP device information with Intune, enhancing policy enforcement.

重要

この機能を使用するには、Intune と Microsoft Defender ATP の両方に対して統合を有効にする必要があります。You'll need to enable the integration on both Intune and Microsoft Defender ATP to use this feature. 特定の手順の詳細については、「 Microsoft DEFENDER ATP の条件付きアクセスを構成する」を参照してください。For more information on specific steps, see Configure Conditional Access in Microsoft Defender ATP.

この機能を使用できるのは、次の場合のみです。This feature is only available if you have the following:

  • Enterprise Mobility + Security E3 のライセンス付与されたテナントと、Windows E5 (または Microsoft 365 Enterprise E5)A licensed tenant for Enterprise Mobility + Security E3, and Windows E5 (or Microsoft 365 Enterprise E5)
  • Intune で管理された Windows 10 デバイスを使用するアクティブな Microsoft Intune 環境。 AZURE AD-参加An active Microsoft Intune environment, with Intune-managed Windows 10 devices Azure AD-joined.

条件付きアクセスポリシーConditional Access policy

Intune との統合を有効にすると、Intune で従来の条件付きアクセス (CA) ポリシーが自動的に作成されます。When you enable Intune integration, Intune will automatically create a classic Conditional Access (CA) policy. このクラシック CA ポリシーは、Intune に状態レポートを設定するための前提条件となります。This classic CA policy is a prerequisite for setting up status reports to Intune. 削除することはできません。It should not be deleted.

注意

Intune によって作成された従来の CA ポリシーは、エンドポイントを構成するために使用されるモダンの 条件付きアクセスポリシーとは異なります。The classic CA policy created by Intune is distinct from modern Conditional Access policies, which are used for configuring endpoints.

プレビュー機能Preview features

Microsoft Defender ATP preview リリースの新機能について説明します。また、プレビューエクスペリエンスを有効にして、初めての機能を試すことができます。Learn about new features in the Microsoft Defender ATP preview release and be among the first to try upcoming features by turning on the preview experience.

今後の機能にアクセスできるようになりました。これは、一般的に機能が利用できるようになる前に、全体的なエクスペリエンスを向上させるために役立つフィードバックを提供します。You'll have access to upcoming features, which you can provide feedback on to help improve the overall experience before features are generally available.

Microsoft コンプライアンスセンターでエンドポイントの通知を共有するShare endpoint alerts with Microsoft Compliance Center

エンドポイントのセキュリティ警告とそのトリアージの状態を Microsoft コンプライアンスセンターに転送します。これにより、insider リスク管理ポリシーを通知し、問題が発生する前に内部のリスクを修正することができます。Forwards endpoint security alerts and their triage status to Microsoft Compliance Center, allowing you to enhance insider risk management policies with alerts and remediate internal risks before they cause harm. 転送されたデータは処理され、Office 365 データと同じ場所に保存されます。Forwarded data is processed and stored in the same location as your Office 365 data.

Insider リスク管理設定で セキュリティポリシー違反インジケーター を構成すると、MICROSOFT Defender ATP 通知は、該当ユーザーの insider リスク管理と共有されます。After configuring the Security policy violation indicators in the insider risk management settings, Microsoft Defender ATP alerts will be shared with insider risk management for applicable users.

高度な機能を有効にするEnable advanced features

  1. ナビゲーション ウィンドウで、[Preferences setup] (ユーザー設定のセットアップ) > [高度な機能] の順に選びます。In the navigation pane, select Preferences setup > Advanced features.
  2. 構成する高度な機能を選んで、オンオフを切り替えます。Select the advanced feature you want to configure and toggle the setting between On and Off.
  3. [ユーザー設定の保存] をクリックします。Click Save preferences.

関連トピックRelated topics