Microsoft Defender for Endpoint(MDE)にはブロックモードがあります。ブロックモードで検出された事項は、 PUA 保護 or ブロック モードでの 自動調査&修復機能 によって自動的に修復されます。
MSのドキュメントによると、ブロック モードの主な目的は、Microsoft 以外のウイルス対策製品によって見逃された違反後の検出を修復することです。つまり、Microsoft Defenderウイルス対策(MDAV)以外のアンチウイルスやNGAVを利用している場合にブロックモードが有効ということです。では、MDAVを利用していればMDEのブロックモードは不要かというと、この場合は『最小限の利点がある』とのことです。
参照:ブロック モードでのエンドポイントの検出と応答 | Microsoft Docs
『最小限の利点がある=ほとんど意味がない』ということだと思うのですが、これがなぜかというと、MDAVのリアルタイム保護が最初に検出をキャッチして修復することが期待されるためとのことです。ただし、MDAVをパッシブモードで利用している場合は、ブロック モードで EDR を有効にすることが推奨されています。(ただ、せっかくならブロックモードで運用しておけば良いんじゃない?という感じはします)
ブロックモードへの変更の方法
ということで、ブロックモードへの変更の仕方について記載します。
まずは、Microsoft 365 Defender ポータル (https://security.microsoft.com/) にサインインし、設定>エンドポイント>高度な設定と進みます。
さらに、ブロック モードで EDR を有効にするのトグルをオンにします。
以上で、ブロックモードへの変更は完了です。
