次の方法で共有

Microsoft Defender for Endpointでのトラブルシューティング モードの概要

適用対象:

Microsoft Defender for Endpointのトラブルシューティング モードを使用すると、デバイスが組織のポリシーによって管理されている場合でも、管理者はさまざまなMicrosoft Defenderウイルス対策機能のトラブルシューティングを行うことができます。 たとえば、 改ざん防止 が有効になっている場合、 特定の設定 を変更またはオフにすることはできませんが、デバイスでトラブルシューティング モードを使用してそれらの設定を一時的に編集できます。

トラブルシューティング モードは既定で無効になっており、デバイス (またはデバイスのグループ) に対して一定期間有効にする必要があります。 トラブルシューティング モードはエンタープライズ専用の機能であり、ポータルへのアクセスMicrosoft Defender必要です。

この記事では、Windows デバイスのトラブルシューティング モードについて説明します。 Mac でのトラブルシューティング モードの詳細については、「macOS のMicrosoft Defender for Endpointのトラブルシューティング モード」を参照してください。

ヒント

  • トラブルシューティング モードでは、Windows デバイスで PowerShell コマンド Set-MPPreference -DisableTamperProtection $true を使用できます。
  • 改ざん防止の状態をチェックするには、Get-MpComputerStatus PowerShell コマンドレットを使用します。 結果の一覧で、 IsTamperProtected または RealTimeProtectionEnabledを探します。 ( true の値は、改ざん防止が有効になっていることを意味します)。
  • Mac デバイスの場合は、「macOS でのMicrosoft Defender for Endpointのトラブルシューティング モード」を参照してください。

はじめに把握しておくべき情報

トラブルシューティング モードでは、PowerShell コマンド Set-MPPreference -DisableTamperProtection $true 使用するか、クライアント オペレーティング システムの Security Center アプリを使用して、デバイスの改ざん防止を一時的に無効にし、必要な構成を変更できます。

トラブルシューティング モードを使用すると、アプリケーション ブロックで誤検知が発生した場合など、Microsoft Defender ウイルス対策とのアプリケーションの互換性をトラブルシューティングまたはチェックできます。

適切なアクセス許可を持つローカル管理者は、通常ポリシーによってロックされている個々のデバイスの構成を変更できます。 デバイスをトラブルシューティング モードにすることは、ウイルス対策のパフォーマンスと互換性のシナリオMicrosoft Defender診断するときに役立ちます。 ローカル管理者は、ウイルス対策Microsoft Defenderオフにしたり、アンインストールしたりすることはできません。 ローカル管理者は、Microsoft Defenderウイルス対策スイート内の他のすべてのセキュリティ設定 (クラウド保護、改ざん防止など) を構成できます。

管理者は、トラブルシューティング モードを有効にするには、"セキュリティ設定の管理" アクセス許可を持っている必要があります。

Defender for Endpoint は、トラブルシューティング プロセス全体を通じてログと調査データを収集します。

  • トラブルシューティング モードが開始される前に、MpPreferenceのスナップショットが実行されます。
  • トラブルシューティング モードの有効期限が切れる直前に、2 つ目のスナップショットが実行されます。
  • トラブルシューティング モード中の操作ログも収集されます。
  • ログとスナップショットは収集され、管理者はデバイス ページの [調査パッケージの収集 ] 機能を使用して収集できます。 Microsoft は、管理者がデータを収集するまで、このデータをデバイスから削除しません。

管理者は、デバイス自体のイベント ビューアーでトラブルシューティング モード中に行われた設定の変更を確認することもできます。

トラブルシューティング モードは、有効期限に達すると自動的にオフになります (4 時間続きます)。 トラブルシューティング モードの有効期限が切れると、ポリシーで管理されているすべての構成が再び読み取り専用になり、トラブルシューティング モードを有効にする前にデバイスの構成方法に戻ります。

コマンドがMicrosoft Defender XDRからデバイスでアクティブになるまでに最大で 15 分かかる場合があります。

トラブルシューティング モードの開始時とトラブルシューティング モードの終了時に、通知がユーザーに送信されます。 トラブルシューティング モードが間もなく終了することを示す警告も送信されます。 トラブルシューティング モードの開始と終了は、Microsoft Defender ポータル[デバイス のタイムライン] ページでも識別されます。

高度なハンティングでは、すべてのトラブルシューティング モード イベントに対してクエリを実行できます。

注:

ポリシー管理の変更は、トラブルシューティング モードでアクティブな場合にデバイスに適用されます。 ただし、トラブルシューティング モードの有効期限が切れるまで、変更は有効になりません。 さらに、Microsoft Defenderウイルス対策プラットフォームの更新プログラムは、トラブルシューティング モードでは適用されません。 プラットフォーム更新プログラムは、トラブルシューティング モードが Windows 更新プログラムで終了したときに適用されます。

前提条件

トラブルシューティング モードを有効にする

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. トラブルシューティング モードを有効にするデバイスのデバイス ページ/コンピューター ページに移動します。 [ トラブルシューティング モードを有効にする] を選択します。 Microsoft Defender for Endpointに対する "Security Center でのセキュリティ設定の管理" アクセス許可が必要です。

    トラブルシューティング モードを有効にする

    注:

    [ トラブルシューティング モードを有効にする ] オプションは、デバイスがトラブルシューティング モードの前提条件を満たしていない場合でも、すべてのデバイスで使用できます。

  3. デバイスのトラブルシューティング モードを有効にすることを確認します。

    構成ポップアップ

  4. [デバイス] ページに、デバイスがトラブルシューティング モードになっていることを示します。

    デバイスがトラブルシューティング モードになりました

高度なハンティング クエリ

環境で発生しているトラブルシューティング イベントを可視化するために、事前構築済みの高度なハンティング クエリをいくつか次に示します。 これらのクエリを使用して、デバイスがトラブルシューティング モードのときにアラートを生成する 検出ルールを作成 することもできます。

特定のデバイスのトラブルシューティング イベントを取得する

それぞれの行をコメントアウトして、deviceId または deviceName で検索します。

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

現在トラブルシューティング モードのデバイス

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

デバイス別のトラブルシューティング モード インスタンスの数

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

総件数

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。