ネットワーク保護のトラブルシューティング

適用対象:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business
• Microsoft Defender for Endpoint Plan 1

この記事では、次のような場合に 、ネットワーク保護のトラブルシューティング情報を提供します。

• ネットワーク保護は、安全な (誤検知) Web サイトをブロックします
• ネットワーク保護が疑わしいまたは既知の悪意のある Web サイトをブロックできない (偽陰性)

これらの問題をトラブルシューティングするには、次の 4 つの手順があります。

1. 前提条件を確認する
2. 監査モードを使用してルールをテストする
3. 指定したルールの除外を追加する (誤検知の場合)
4. サポート ログを送信する

前提条件を確認する

ネットワーク保護は、次の条件を持つデバイスで動作します。

監査モードを使用する

監査モードでネットワーク保護を有効にしてから、機能をデモするように設計された Web サイトにアクセスできます。 すべての Web サイト接続はネットワーク保護によって許可されますが、ネットワーク保護が有効になっている場合にブロックされる接続を示すイベントがログに記録されます。

1. [ネットワーク保護] を [監査モード] に設定します。

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. 問題の原因となっている接続アクティビティを実行します (たとえば、サイトにアクセスしようとしたり、ブロックする IP アドレスに接続したりします)。

3. ネットワーク保護イベント ログを確認 して、機能が [有効] に設定されている場合に接続がブロックされるかどうかを確認します。

   ネットワーク保護が、ブロックする必要がある接続をブロックしていない場合は、この機能を有効にします。

   Set-MpPreference -EnableNetworkProtection Enabled
   

誤検知または偽陰性を報告する

デモ サイトと監査モードで機能をテストし、構成済みのシナリオでネットワーク保護が機能しているが、特定の接続で期待どおりに機能しない場合は、Windows Defender Security Intelligence Web ベースの送信フォームを使用して、ネットワーク保護の偽陰性または誤検知を報告します。 E5 サブスクリプションでは、 関連付けられているアラートへのリンクを指定することもできます。

「Microsoft Defender for Endpointでの誤検知/負のアドレス指定」を参照してください。

除外を追加する

現在の除外オプションは次のとおりです。

1. カスタム許可インジケーターを設定する。

2. IP 除外の使用: Add-MpPreference -ExclusionIpAddress 192.168.1.1。

3. プロセス全体を除外します。 詳細については、「Microsoft Defenderウイルス対策の除外」を参照してください。

ネットワーク パフォーマンスの問題

特定の状況では、ネットワーク保護コンポーネントによって、ドメイン コントローラーや Exchange サーバーへのネットワーク接続が遅くなる可能性があります。 イベント ID 5783 NETLOGON エラーにも気付く場合があります。

これらの問題を解決するには、ネットワーク保護を "ブロック モード" から "監査モード" または "無効" に変更します。 ネットワークの問題が修正されている場合は、次の手順に従って、Network Protection のどのコンポーネントが動作に影響を受けるかを確認します。

次のコンポーネントを順番に無効にし、各コンポーネントを無効にした後でネットワーク接続のパフォーマンスをテストします。

1. Windows Server でデータグラム処理を無効にする
2. ネットワーク保護 Perf テレメトリを無効にする
3. FTP 解析を無効にする
4. SSH 解析を無効にする
5. RDP 解析を無効にする
6. HTTP 解析を無効にする
7. SMTP 解析を無効にする
8. TCP 解析で DNS を無効にする
9. DNS 解析を無効にする
10. 受信接続のフィルター処理を無効にする
11. TLS 解析を無効にする

これらのトラブルシューティング手順に従った後もネットワーク パフォーマンスの問題が解決しない場合は、ネットワーク保護に関連していない可能性があるため、ネットワーク パフォーマンスの問題の他の原因を探す必要があります。

ファイル送信の診断データを収集する

ネットワーク保護に関する問題を報告すると、問題のトラブルシューティングに役立つ Microsoft サポートチームとエンジニアリング チームの診断データを収集して送信するように求められます。

1. 管理者特権のコマンド プロンプトを開き、Windows Defender ディレクトリに変更します。

   cd c:\program files\windows defender
   

2. 診断ログを生成するには、次のコマンドを実行します。

   mpcmdrun -getfiles
   

3. 提出フォームにファイルを添付します。 既定では、診断ログは に C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab保存されます。

ネットワーク保護に関する接続の問題を解決する (E5 のお客様向け)

ネットワーク保護が実行される環境のため、Microsoft はオペレーティング システム プロキシ設定を表示できません。 場合によっては、ネットワーク保護クライアントがクラウド サービスに到達できない場合があります。 ネットワーク保護に関する接続の問題を解決するには、ネットワーク保護がプロキシ構成を認識できるように、次のいずれかのレジストリ キーを構成します。

Set-MpPreference -ProxyServer <proxy IP address: Port>

---または---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

レジストリ キーは、PowerShell、Microsoft Configuration Manager、またはグループ ポリシーを使用して構成できます。 役立つリソースを次に示します。

• レジストリ キーの操作
• Endpoint Protection 向けカスタム クライアント設定の構成
• グループ ポリシー設定を使用して Endpoint Protection を管理する

関連項目

• ネットワーク保護
• ネットワーク保護と TCP 3 方向ハンドシェイク
• ネットワーク保護を評価する
• ネットワーク保護を有効にする
• Defender for Endpoint での誤検知/負のアドレス指定