デバイスのアクションを説明する
デバイスを調査するときは、アクションを実行したり、データを収集したり、コンピューターにリモート アクセスしたりすることができます。 Defender for Endpoint には、必要なデバイスの制御が用意されています。
次の封じ込めアクションを実行できます。
デバイスを分離する
アプリの実行を制限する
ウィルス対策のスキャンを実行する
次の調査アクションを実行できます。
自動調査を開始する
調査パッケージを収集する
ライブ応答セッションを開始する
アクション センターからは、デバイスまたはファイルに実行されたアクションに関する情報が得られます。
ネットワークからデバイスを分離する
攻撃の重大度とデバイスの機密度によっては、ネットワークからデバイスを分離することが必要になる場合があります。 このアクションにより、攻撃者が侵害されたデバイスを制御し、データ流出や侵入拡大などのアクティビティを実行するのを防ぐことができます。
このデバイス分離機能を使用すると、侵害されたデバイスはネットワークから切断されますが、Defender for Endpoint サービスとの接続は維持され、デバイスの監視が続けられます。
Windows 10 バージョン 1709 以降では、ネットワーク分離レベルに対して別の制御を行うことができます。 また、Outlook、Microsoft Teams、Skype for Business の接続を有効にすることもできます ("選択的分離" とも呼ばれます)。
デバイス ページでデバイスの分離を選択した後、コメントを入力して、[確認] を選択します。 アクション センターにスキャン情報が表示され、デバイスのタイムラインに新しいイベントが含まれるようになります。
デバイスが分離されていると、デバイスがネットワークから分離されていることをユーザーに知らせる通知が表示されます。
アプリの実行を制限する
悪意のあるプロセスを停止することによって攻撃を阻止するだけでなく、デバイスをロックダウンし、悪意がある可能性のあるプログラムによる試みが実行されないようにすることもできます。
重要
このアクションは、Windows 10 バージョン 1709 以降のデバイスで使用できます。 この機能は、組織で Microsoft Defender ウイルス対策が使用されている場合に利用できます。 このアクションは、Windows Defender Application Control のコード整合性ポリシーの形式と署名の要件を満たしている必要があります。 アプリケーションの実行を制限するには、コードの整合性ポリシーが適用され、Microsoft が発行した証明書によって署名されている場合にのみ、ファイルの実行が許可されます。 この制限方法は、攻撃者が侵害されたデバイスを制御し、悪意のあるアクティビティをさらに実行するのを防ぐのに役立ちます。
アプリケーションの実行制限はいつでも解除することができます。 デバイス ページのボタンによって表示が [Remove app restrictions](アプリの制限を削除する) に変わるので、アプリの実行を制限する場合と同じ手順を実行します。
デバイス ページで [アプリ実行の制限] を選択した後、コメントを入力して、[確認] を選択します。 アクション センターにスキャン情報が表示され、デバイスのタイムラインに新しいイベントが含まれるようになります。
アプリが制限されていると、アプリの実行が制限されていることをユーザーに知らせる通知が表示されます。