監査モードでの Microsoft Defender のエンドポイント機能の動作をテストするTest how Microsoft Defender for Endpoint features work in audit mode

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

Attack surface reduction ルール、exploit protection、ネットワーク保護、制御されたフォルダーアクセスを監査モードで有効にすることができます。You can enable attack surface reduction rules, exploit protection, network protection, and controlled folder access in audit mode. 監査モードでは、この機能を有効に した場合 に発生する問題の記録を確認できます。Audit mode lets you see a record of what would have happened if you had enabled the feature.

組織での機能の動作をテストするときに、監査モードを有効にすることができます。You may want to enable audit mode when testing how the features will work in your organization. 基幹業務アプリに影響がないことを確認して、特定の期間に発生した、疑わしいファイル変更の試行回数を把握してください。Ensure it doesn't affect your line-of-business apps, and get an idea of how many suspicious file modification attempts generally occur over a certain period of time.

この機能によってブロックされることはありません。また、アプリ、スクリプト、またはファイルを変更することはできません。The features won't block or prevent apps, scripts, or files from being modified. ただし、Windows イベントログでは、機能が完全に有効になっているかのようにイベントが記録されます。However, the Windows Event Log will record events as if the features were fully enabled. 監査モードでは、イベントログを確認して、機能を有効にした場合の影響を確認することができます。With audit mode, you can review the event log to see what impact the feature would have had if it was enabled.

監査されたエントリを見つけるには、「アプリケーションとサービス > Microsoft > windows > Defenderの動作」を参照 > Operationalしてください。To find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

エンドポイント用の Defender を使って、各イベントの詳細を取得することができます。特に、攻撃面の削減ルールを調査する場合に適しています。You can use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. エンドポイントコンソールとして Defender を使用すると、 アラートのタイムラインと調査シナリオの一部として問題を調査できます。Using the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

この記事では、各機能の監査機能を有効にする方法と、Windows イベントビューアーでイベントを表示する方法について説明するリンクを提供します。This article provides links that describe how to enable the audit functionality for each feature and how to view events in the Windows Event Viewer.

グループポリシー、PowerShell、構成サービスプロバイダー (Csp) を使用して、監査モードを有効にすることができます。You can use Group Policy, PowerShell, and configuration service providers (CSPs) to enable audit mode.

ヒント

Windows Defender Testground の Web サイト demo.wd.microsoft.com にアクセスすることで、この機能が動作していることを確認し、そのしくみを参照することもできます。You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

監査オプションAudit options 監査モードを有効にする方法How to enable audit mode イベントの表示方法How to view events
監査はすべてのイベントに適用されます。Audit applies to all events フォルダー アクセスの制御を有効にするEnable controlled folder access フォルダー アクセスの制御イベントControlled folder access events
監査は個々のルールに適用されます。Audit applies to individual rules 攻撃表面の縮小ルールを有効にするEnable attack surface reduction rules Attack surface reduction ルールイベントAttack surface reduction rule events
監査はすべてのイベントに適用されます。Audit applies to all events ネットワーク保護を有効にするEnable network protection ネットワーク保護イベントNetwork protection events
監査は個々の軽減策に適用されます。Audit applies to individual mitigations Exploit Protection を有効にするEnable exploit protection Exploit Protection イベントExploit protection events

関連トピックRelated topics