Microsoft Defender ATP の高度な機能を構成する

適用対象

Microsoft Defender ATP を体験するには、 無料試用版にサインアップしてください。

使用している Microsoft security 製品によっては、Microsoft Defender ATP との統合に、いくつかの高度な機能が用意されている場合があります。

以下の高度な機能を使用して、悪意のあるファイルからの保護を強化し、セキュリティ調査中に理解を深めます。

自動調査

この機能を有効にすると、サービスの自動調査および修復機能を利用できるようになります。 詳細については、「自動調査」を参照してください。

実際の返信

この機能を有効にすると、適切なアクセス許可を持つユーザーは、コンピューターでライブ応答セッションを開始できます。

役割の割り当ての詳細については、「ロールを作成および管理する」を参照してください。

本物の返信の未署名のスクリプトの実行

この機能を有効にすると、ライブ応答セッションで署名されていないスクリプトを実行できるようになります。

改善アラートの自動解決

Windows 10 バージョン1809以降で作成されたテナントの場合、自動調査の結果状態が "脅威は見つかりませんでした" または "修復済み" であるという通知を解決するために、自動調査と修復機能が既定で構成されています。 アラートを自動解決したくない場合は、この機能を手動で無効にする必要があります。

ヒント

このバージョンより前に作成されたテナントの場合は、[高度な機能] ページから手動でこの機能を有効にする必要があります。

注意

  • 自動解決アクションの結果は、コンピューターで検出されたアクティブなアラートに基づいて、コンピューターのリスクレベルの計算に影響を与える可能性があります。
  • セキュリティ運用アナリストが警告の状態を "進行中" または "解決済み" に手動で設定した場合、自動解決機能は上書きしません。

ファイルを許可または禁止する

ブロック機能を使用できるのは、組織で Windows Defender ウイルス対策をアクティブなマルウェア対策ソリューションとして使用している場合と、クラウドベースの保護機能が有効になっている場合のみです。

この機能を使って、ネットワーク内の悪意のある可能性のあるファイルをブロックできます。 ファイルをブロックすると、組織内のコンピューターでファイルの読み取り、書き込み、または実行ができなくなります。

許可またはブロックするファイルを有効にするには、次の操作を行います。

  1. ナビゲーションウィンドウで、[設定 > ] の [高度な機能 > を許可または禁止する] を選びます。

  2. [オン][オフ] の設定を切り替えます。

    ブロックファイル機能の詳細設定の画像

  3. ページの下部にある [保存環境設定] を選択します。

この機能を有効にすると、ファイルのプロファイルページの [インジケーターの追加] タブでファイルをブロックできます。

カスタムネットワークインジケーター

この機能を有効にすると、ユーザー設定のインジケーターリストに基づいて、IP アドレス、ドメイン、または Url のインジケーターを作成して、それらを許可またはブロックするかどうかを決定することができます。

この機能を使用するには、コンピューターで Windows 10 バージョン1709以降を実行している必要があります。 また、ブロックモードではネットワーク保護も使用し、マルウェア対策4052623プラットフォームではバージョン4.18.1906.3 以降を使用する必要があります。

詳細については、「インジケーターを管理する」を参照してください。

注意

ネットワーク保護は、Microsoft Defender ATP データ用に選択されている場所以外の場所にある要求を処理する評価サービスを活用します。

ユーザーの詳細の表示

この機能を有効にすると、ユーザー アカウント エンティティを調べるときに、Azure Active Directory に保存されている、ユーザーの画像、名前、役職、部門の情報などのユーザーの詳細を確認できます。 次のビューでユーザー アカウント情報を確認することができます。

  • セキュリティ操作ダッシュボード
  • アラート キュー
  • コンピューターの詳細ページ

詳しくは、「ユーザー アカウントを調査する」をご覧ください。

Skype for Business の統合

Skype for Business の統合を有効にすると、Skype for Business、電子メール、または電話を使ってユーザーに連絡できます。 この機能はユーザーに連絡する必要がある場合に便利で、リスクも軽減できます。

注意

コンピューターがネットワークから分離されている場合は、ユーザーがネットワークから切断されている間も、Outlook と Skype の通信を有効にすることができます。 この設定は、マシンが分離モードのときに Skype および Outlook の通信に適用されます。

Azure Advanced Threat Protection の統合

Azure Advanced Threat Protection との統合により、別の Microsoft Identity security 製品に直接ピボットすることができます。 Azure Advanced Threat Protection は、侵害された可能性があるアカウントと関連リソースに関する調査を強化します。 この機能を有効にすることで、特定の観点からネットワーク上にピボットすることで、コンピューターベースの調査機能が強化されます。

注意

この機能を有効にするには、適切なライセンスが必要です。

Microsoft セキュリティスコア

Microsoft Defender ATP シグナルを microsoft 365 セキュリティセンターの Microsoft セキュリティスコアに転送します。 この機能を有効にすると、Microsoft セキュアスコアは、デバイスのセキュリティの状況に応じて表示されます。 転送されたデータは、Microsoft セキュリティスコアデータと同じ場所に保存されて処理されます。

Azure ATP ポータルからの Microsoft Defender ATP の統合を有効にする

Azure ATP でコンテキストマシンの統合を受けるには、Azure ATP ポータルでこの機能を有効にする必要もあります。

  1. グローバル管理者またはセキュリティ管理者の役割を持つAzure ポータルにログインします。

  2. [ワークスペースの作成] または [プライマリワークスペースの使用] をクリックします。

  3. インテグレーション設定をオンに切り替えて、[保存] をクリックします。

両方のポータルで統合手順を完了すると、[コンピューターの詳細] ページまたは [ユーザーの詳細] ページで、関連する通知を確認できます。

Office 365 脅威インテリジェンス接続

この機能は、アクティブな Office 365 E5 または脅威インテリジェンス アドオンがある場合にのみ利用できます。 詳しくは、Office 365 Enterprise E5 の製品ページをご覧ください。

この機能を有効にすると、office 365 Advanced Threat Protection のデータを Microsoft Defender セキュリティセンターに組み込んで、Office 365 メールボックスと Windows コンピューター全体で全体的なセキュリティ調査を実施することができます。

注意

この機能を有効にするには、適切なライセンスが必要です。

Office 365 の脅威インテリジェンスでコンテキストマシンの統合を実現するには、セキュリティ & コンプライアンスダッシュボードで Microsoft Defender ATP の設定を有効にする必要があります。 詳しくは、Office 365 脅威インテリジェンスの概要をご覧ください。

Microsoft 脅威エキスパート

Microsoft Threat Expert の2つのコンポーネントがありません。ターゲットとなる攻撃通知は一般的な可用性であり、専門家のオンデマンド機能はプレビューのままです。 [プレビュー] に適用し、アプリケーションが承認されている場合にのみ、専門家オンデマンド機能を使用できます。 Microsoft Defender ATP ポータルの [通知] ダッシュボードを通じて、Microsoft の脅威の専門家から対象指定された攻撃の通知を受け取ることができます。また、構成している場合はメールを使用できます。

注意

Microsoft Defender ATP の Microsoft Threat の専門家の機能は、 Enterprise Mobility + Securityの E5 ライセンスで利用できます。

Microsoft Cloud App Security

この設定を有効にすると、Microsoft Defender ATP シグナルが Microsoft Cloud App Security に転送され、クラウドアプリケーションの使用をより深く把握できます。 転送されたデータは、クラウドアプリのセキュリティデータと同じ場所に保存されて処理されます。

注意

この機能は、Windows 10 1709 を実行しているコンピューター ( KB4493441)、windows 10、バージョン 17134.704 1803 (os ビルド 16299.1085 with KB4493464)、windows 10、バージョン 1809 (os ビルド 17763.379 KB4489899)、またはそれ以降の windows 10 バージョンを実行しているコンピューターの E5ライセンスとして使用できます。

Azure Information Protection

この設定を Azure Information Protection に転送することにより、データ所有者と管理者が onboarded マシンとマシンのリスク評価の保護されたデータに表示されるようにします。

Microsoft Intune 接続

Microsoft Defender ATP をMicrosoft Intuneと統合して、デバイスのリスクベースの条件付きアクセスを有効にすることができます。 この機能を有効にすると、Intune で MICROSOFT Defender ATP デバイス情報を共有できるようになり、ポリシーの適用が強化されます。

重要

この機能を使用するには、Intune と Microsoft Defender ATP の両方に対して統合を有効にする必要があります。 特定の手順の詳細については、「 Microsoft DEFENDER ATP の条件付きアクセスを構成する」を参照してください。

この機能を使用できるのは、次の場合のみです。

  • Enterprise Mobility + Security E3 のライセンス付与されたテナントと、Windows E5 (または Microsoft 365 Enterprise E5)
  • Intune で管理された Windows 10 デバイスを使用するアクティブな Microsoft Intune 環境。 AZURE AD-参加

条件付きアクセスポリシー

Intune との統合を有効にすると、Intune で従来の条件付きアクセス (CA) ポリシーが自動的に作成されます。 このクラシック CA ポリシーは、Intune に状態レポートを設定するための前提条件となります。 削除することはできません。

注意

Intune によって作成された従来の CA ポリシーは、エンドポイントを構成するために使用されるモダンの条件付きアクセスポリシーとは異なります。

プレビュー機能

Microsoft Defender ATP preview リリースの新機能について説明します。また、プレビューエクスペリエンスを有効にして、初めての機能を試すことができます。

新機能が一般に提供される前に、それらの機能にアクセスして、全体的なエクスペリエンスを向上させるためのフィードバックを提供することができます。

高度な機能を有効にする

  1. ナビゲーション ウィンドウで、[Preferences setup] (ユーザー設定のセットアップ) > [高度な機能] の順に選びます。
  2. 構成する高度な機能を選んで、オンオフを切り替えます。
  3. [ユーザー設定の保存] をクリックします。

関連トピック