Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の申請、抑制、除外
適用対象:
- Microsoft Defender ウイルス対策
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
プラットフォーム
- Windows
注:
Microsoft MVP として、 Fabian Bader はこの記事に投稿し、重要なフィードバックを提供しました。
Microsoft Defender for Endpointには、高度なサイバー脅威を防止、検出、調査、対応するための幅広い機能が含まれています。 これらの機能には、次世代の保護 (Microsoft Defenderウイルス対策が含まれます) が含まれます。 エンドポイント保護またはウイルス対策ソリューションと同様に、実際には脅威ではないファイル、フォルダー、またはプロセスは、Defender for Endpoint または Microsoft Defender ウイルス対策によって悪意のあるものとして検出される場合があります。 これらのエンティティは、実際には脅威ではないにもかかわらず、ブロックまたは検疫に送信できます。
この記事では、この動作が発生する最も一般的なシナリオと、生産性に影響を与えずに安全に防止または対処するために Defender for Endpoint および Microsoft Defender ウイルス対策で使用できる機能について説明します。 それらの操作を次に示します。
注意
除外を定義すると、Defender for Endpoint と Microsoft Defender ウイルス対策によって提供される保護のレベルが低下します。 最後の手段として除外を使用し、必要な除外のみを定義してください。 除外を定期的に確認し、不要になった除外を削除してください。 除外に関する重要なポイントと、回避する一般的な間違いを参照してください。
提出、抑制、除外
誤検知、またはアラートを生成している既知のエンティティを処理する場合は、必ずしも除外を追加する必要はありません。 場合によっては、アラートを分類して抑制するだけで十分です。 分析のために、誤検知 (および偽陰性) を Microsoft に送信することをお勧めします。 次の表では、いくつかのシナリオと、ファイルの送信、アラートの抑制、除外に関して実行する手順について説明します。
シナリオ | 考慮する手順 |
---|---|
誤検知: エンティティが脅威ではない場合でも、ファイルやプロセスなどのエンティティが検出され、悪意のあるものとして識別されました。 | 1. 検出されたエンティティの結果として生成された アラートを確認して分類 します。 2. 既知 のエンティティのアラートを抑制 します。 3. 検出されたエンティティに対して実行された 修復アクションを確認 します。 4. 分析のために誤検知を Microsoft に送信 します。 5. エンティティ の除外を定義 します (必要な場合のみ)。 |
次のいずれかの問題などのパフォーマンスの問題: - システムで CPU 使用率が高い、またはその他のパフォーマンスの問題が発生しています。 - システムでメモリ リークの問題が発生しています。 - アプリの読み込みに時間がかかります。 - アプリがデバイス上のファイルを開くのに時間がかかります。 |
1. Microsoft Defenderウイルス対策の診断データを収集します。 2. Microsoft 以外のウイルス対策ソリューションを使用している場合は、必要な除外についてベンダーとチェックします。 3. Microsoft 保護ログを分析 して、推定パフォーマンスへの影響を確認します。 4. Microsoft Defenderウイルス対策の除外を定義します (必要な場合)。 5. Defender for Endpoint のインジケーターを作成します (必要な場合のみ)。 |
Microsoft 以外のウイルス対策製品との互換性の問題。 例: Defender for Endpoint は、ウイルス対策または Microsoft 以外のウイルス対策ソリューションを実行しているかどうかに関係なく、デバイスのセキュリティ インテリジェンス更新プログラムMicrosoft Defender依存しています。 |
1. Microsoft 以外のウイルス対策製品をプライマリ ウイルス対策/マルウェア対策ソリューションとして使用している場合は、[ウイルス対策] Microsoft Defenderパッシブ モードに設定します。 2. Microsoft 以外のウイルス対策/マルウェア対策ソリューションから Defender for Endpoint に切り替える場合は、「Defender for Endpoint に切り替える」を参照してください。 このガイダンスは次のとおりです。 - Microsoft 以外のウイルス対策/マルウェア対策ソリューションに対して定義する必要がある可能性がある除外。 - Microsoft Defenderウイルス対策に対して定義する必要がある場合がある除外。 - トラブルシューティング情報 (移行中に問題が発生した場合に備え)。 |
重要
"許可" インジケーターは、Defender for Endpoint で定義できる最も強い種類の除外です。 インジケーターは控えめに使用し (必要な場合のみ)、すべての除外を定期的に確認してください。
分析のためにファイルを送信する
誤ってマルウェアとして検出されたと思われるファイル (誤検知) がある場合、または検出されなかった場合でもマルウェアと思われるファイル (偽陰性) がある場合は、分析のためにファイルを Microsoft に送信できます。 申請はすぐにスキャンされ、Microsoft セキュリティ アナリストによって確認されます。 申請履歴ページで申請の状態をチェックできます。
分析のためにファイルを提出すると、すべての顧客の誤検知と偽陰性を減らすことができます。 詳細については、次の記事を参照してください。
- 分析のためにファイルを送信 する (すべての顧客が利用できます)
- Defender for Endpoint の新しい統合申請ポータルを使用してファイルを送信する (Defender for Endpoint Plan 2 または Microsoft Defender XDRを持つお客様が利用できます)
アラートの抑制
Microsoft Defender ポータルで、実際には脅威ではないことがわかっているツールまたはプロセスに関するアラートを受け取る場合は、それらのアラートを抑制できます。 アラートを抑制するには、抑制ルールを作成し、他の同一のアラートに対して実行するアクションを指定します。 1 つのデバイスで特定のアラートに対して抑制ルールを作成することも、organization全体で同じタイトルを持つすべてのアラートに対して抑制ルールを作成することもできます。
詳細については、次の記事を参照してください。
- アラートを抑制する
- 新しいアラート抑制エクスペリエンスの概要 (Defender for Endpoint 用)
除外とインジケーターの使用
場合によっては、用語の除外は、Defender for Endpoint と Microsoft Defender ウイルス対策全体に適用される例外を指すために使用されます。 これらの例外をより正確に記述する方法は次のとおりです。
- Defender for Endpoint のインジケーター。(Defender for Endpoint と Microsoft Defender ウイルス対策全体に適用されます)。;
- Microsoft Defenderウイルス対策の除外。
詳細については、「 除外の概要」を参照してください。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。