証明書に基づいてインジケーターを作成する

適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

証明書のインジケーターを作成できます。一般的なユースケースには、次のようなものがあります。

攻撃面の縮小ルールなど、ブロックテクノロジを展開する必要があるが、許可リストに証明書を追加して署名されたアプリケーションからの動作を許可する必要があるシナリオ。
organization全体で特定の署名済みアプリケーションの使用をブロックする。アプリケーションの証明書をブロックするインジケーターを作成することで、Microsoft Defenderウイルス対策によってファイルの実行 (ブロックと修復) が防止され、自動調査と修復が同じように動作します。

開始する前に

証明書のインジケーターを作成する前に、次の要件を理解しておくことが重要です。

この機能は、organizationでMicrosoft Defenderウイルス対策 (アクティブモード) を使用していて、クラウドベースの保護が有効になっている場合に使用できます。詳細については、「クラウドベースの保護を管理する」を参照してください。
マルウェア対策クライアントのバージョンは、 4.18.1901.x 以降である必要があります。
Windows 10、バージョン 1703 以降、Windows Server 2012 R2 以降、または Azure Stack HCI OS バージョン 23H2 以降のマシンでサポートされます。

注:

Windows Server 2016 R2 と Windows Server 2012 R2 のオンボードは、「Windows Server 2012 R2 のオンボード」の手順に従ってオンボーディングする必要があります Windows Server 2016。この機能を機能させるためにMicrosoft Defender for Endpoint。
ウイルスと脅威の保護の定義は最新である必要があります。
この機能では、現在、の入力がサポートされています。CER または。PEM ファイル拡張子。

重要

有効なリーフ証明書は、有効な証明書パスを持ち、Microsoft によって信頼されているルート証明機関 (CA) にチェーンされている必要がある署名証明書です。または、カスタム (自己署名) 証明書は、クライアントによって信頼されている限り使用できます (ルート CA 証明書は、ローカルコンピューターの [信頼されたルート証明機関] の下にインストールされます)。
許可/ブロック証明書 IOC の子または親は、許可/ブロック IoC 機能に含まれていません。リーフ証明書のみがサポートされています。
Microsoft 署名付き証明書はブロックできません。

重要

証明書 IoC の作成と削除には、最大で 3 時間かかることがあります。

ナビゲーションウィンドウで、設定>Endpoints>Indicators ( [ルール] の下) を選択します。
[ インジケーターの追加] を選択します。
次の詳細を指定します。
- インジケーター: エンティティの詳細を指定し、インジケーターの有効期限を定義します。
- アクション: 実行するアクションを指定し、説明を指定します。
- スコープ: マシングループのスコープを定義します。
[ 概要 ] タブで詳細を確認し、[保存] を選択 します。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。

このページはお役に立ちましたか?