ネットワーク保護を評価する

適用対象:

ネットワーク保護 は、従業員がアプリケーションを使用して、インターネット上でフィッシング詐欺、悪用、その他の悪意のあるコンテンツをホストする可能性のある危険なドメインにアクセスできないようにするのに役立ちます。

この記事では、機能を有効にし、テスト サイトに誘導することで、ネットワーク保護を評価するのに役立ちます。 この評価記事のサイトは悪意がありません。 これらは、悪意のあるふりをする特別に作成された Web サイトです。 サイトは、ユーザーが悪意のあるサイトまたはドメインにアクセスした場合に発生する動作をレプリケートします。

監査モードでネットワーク保護を有効にする

監査モードでネットワーク保護を有効にして、ブロックされる可能性のある IP アドレスとドメインを確認します。 基幹業務アプリに影響を与えないことを確認したり、ブロックが発生する頻度を把握したりできます。

  1. スタート メニューに「powershell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] を選択します。

  2. 次のコマンドレットを実行します。

    Set-MpPreference -EnableNetworkProtection AuditMode
    

(偽の) 悪意のあるドメインにアクセスする

  1. インターネット エクスプローラー、Google Chrome、またはその他の任意のブラウザーを開きます。

  2. https://smartscreentestratings2.netに移動します。

    ネットワーク接続が許可され、テスト メッセージが表示されます。

    接続のブロック通知

注:

サイトがネットワーク保護によってブロックされている場合でも、ネットワーク接続が成功する可能性があります。 詳細については、「 ネットワーク保護と TCP 三方向ハンドシェイク」を参照してください。

Windows イベント ビューアーのネットワーク保護イベントを確認する

ブロックされたアプリを確認するには、イベント ビューアーを開き、Microsoft-Windows-Windows Defender/運用ログでイベント ID 1125 をフィルター処理します。 次の表に、すべてのネットワーク保護イベントの一覧を示します。

イベント ID 提供/ソース 説明
5007 Windows Defender (運用) 設定が変更されたときのイベント
1125 Windows Defender (運用) ネットワーク接続が監査されたときのイベント
1126 Windows Defender (運用) ネットワーク接続がブロックされたときのイベント

ネットワーク保護のトラブルシューティング

ネットワーク保護の検出に失敗した場合は、次の前提条件が有効になっていることを確認します。

  1. Microsoft Defenderウイルス対策はプライマリ ウイルス対策アプリ (アクティブ モード) です

  2. 動作の監視が有効になっている

  3. Cloud Protection が有効になっている

  4. Cloud Protection ネットワーク接続が機能している

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。