Endpoint Detection and Response(EDR)機能を有効にする
いずれの保護計画でもEDRを有効にすることができます。
EDRを有効化するには
- Cyber Protectコンソールで、[管理] > [保護計画] に移動します。
- 表示されたリストから該当する保護計画を選択し、右サイドバーで [編集] をクリックします。
または、新しい保護計画を作成し、次の手順に進むこともできます。保護計画との連携の詳細については、保護計画とモジュールを参照してください。
-
保護計画のサイドバーで、モジュール名の横にあるスイッチをクリックして、Endpoint Detection and Response(EDR)モジュールを有効にします。
-
表示されたダイアログで、[有効] をクリックします。EDRを有効にした場合でも、保護計画でウイルスおよびマルウェア対策、Active Protection、URLフィルタリングの機能を無効にすることができます。
必要なライセンスを持っていない場合、トグルの横にライセンス警告アイコン (
) が表示されます。以下に示すように、Detection and Response アイコンが保護計画の実装に必要な保護パックのリストに追加されます。
ライセンスの問題を解決しない場合、計画がワークロードに適用されるときにEDR機能が無効になります。 -
特定の検出がない場合でも、EDRイベントのデータを継続的に収集するには、拡張監視を有効にします。
拡張監視は保護されたワークロード上で追加のCPUリソースを消費するため、機能を有効にした後、そのパフォーマンスを確認することをお勧めします。収集されたイベントの数に応じて、データセンターとの通信に使用される帯域幅も増加する可能性があります。セキュリティイベントに関する収集されたデータは、データセンターで180日間保存されます。
リアルタイム保護のためにMicrosoft Defender ウイルス対策を有効にすると、競合を防ぐためにリアルタイム保護モジュールが自動的に無効になります。ウイルス/マルウェアの検出と隔離は Microsoft Defender ウイルス対策によって処理され、ウイルス/マルウェアの検出に関連する EDR インシデントは、Microsoft Defender ウイルス対策によって提供された情報から作成されます。EDR には、Microsoft Defender ウイルス対策を介さずに他の種類のインシデントを作成できる他の検出エンジンが含まれています。
同様に、リアルタイム保護を有効にすると、Microsoft Defender ウイルス対策モジュールが自動的に無効になります。
Microsoft Defender ウイルス対策が Cyber Protect Cloud で正しく機能するように、Windows の改ざん保護設定も無効にする必要があります。詳細については、このナレッジベースの記事を参照してください。
EDRが有効になっていて、保護計画で振る舞い検知エンジンまたはウイルス対策およびマルウェア対策保護が無効になっている場合、Endpoint Detection and Response(EDR)も無効になります。