セキュリティ

「Windows Defender」マルウェア定義データベース検索術--「PowerShell」を使う

「Windows 10」では、「Windows Defender」のコマンドラインユーティリティだけでなく、「PowerShell」のコマンドレットセットも利用できる。ここでは、その利用を紹介する。

 筆者は「How to get more from Windows Defender by using its command-line tool」(「Windows Defender」のコマンドライン活用術--より高度な機能の実行を可能に)という記事で、Windows Defenderのコマンドラインユーティリティを使えば、基本的なタスクを自動化したり、いくつかの高度な機能を実行したりできることを紹介した。さらに、同ツールの使い方を解説し、便利な活用方法の例をいくつか提示した。

 「Windows 10」では、Windows Defenderのコマンドラインユーティリティだけでなく、「PowerShell」のコマンドレットセットも利用できる。Windows Defenderでは、「Windows」ユーザーインターフェースやコマンドラインユーティリティを使ってさまざまな機能を実行できるが、PowerShellのコマンドレットセットでも、それと同種の機能の多くを実行することが可能だ。しかし、こうしたDefenderのコマンドレット群を詳しく調べていくうちに、筆者はほかのバージョンでは不可能なやり方でWindows Defenderを精査する興味深い方法がいくつかあることを発見した。

 筆者が特に注目したのは、「Get-MpThreatCatalog」と呼ばれるDefenderのコマンドレットだ。Get-MpThreatCatalogを使うと、Windows Defenderのマルウェアシグネチャ定義データベースを調べることができる。もっと具体的に言うと、Windows Defenderで撃退可能なマルウェア脅威をすべて確認できる。Get-MpThreatCatalogコマンドレット自体は、Windows Defenderの全シグネチャ定義の包括的なリストを提供する。これを理解するのは大変だ。しかし、このコマンドレットをPowerShellのほかのツールや機能と組み合わせると、このデータベースを深く探索し、具体的で興味深い情報を見つけることができる。

 この方法でデータベースを探索することで、筆者はWindows Defenderの能力に対する理解を深められた。また、Windows Defenderのマルウェア撃退能力は、もっと成熟したほかのアンチウイルスソフトウェアパッケージに比べると見劣りするという主張について、疑問を抱くようにもなった。

 それでは、PowerShellのDefenderコマンドレットについて、詳しく見ていこう。その後で、Windows Defenderのマルウェアシグネチャ定義データベースの中身を探索する。

PowerShellを起動する

 PowerShellを使ってDefenderコマンドレットにアクセスするには、「Administrator」(管理者)モードでPowerShellを起動する必要がある。最も手っ取り早いのは、「File Explorer」(エクスプローラー)を起動して、どれか1つのフォルダを開いた後、「File」メニューをクリックして、「Open Windows PowerShell As Administrator」(Windows PowerShellを管理者として開く)コマンドを選択する方法だ(図A)。

図A:File Explorer内から「Administrator Windows PowerShell」(管理者:Windows PowerShell)プロンプトを開くことができる。
図A:File Explorer内から「Administrator Windows PowerShell」(管理者:Windows PowerShell)プロンプトを開くことができる。

PowerShellのDefenderコマンドレット

 Windows PowerShellは12種類のDefenderコマンドレットを提供する。そのリストを見るには、PowerShellプロンプトで以下のコマンドを入力する(図B)。

 Get-Command -Module Defender
図B:「Get-Command」を使って、Defenderコマンドレットのリストを表示させることが可能だ。
図B:「Get-Command」を使って、Defenderコマンドレットのリストを表示させることが可能だ。

 これら12種類のDefenderコマンドレットの機能を表にまとめると、以下のようになる。

コマンドレット説明
Add-MpPreference Windows Defenderの設定を修正する。
Get-MpComputerStatus コンピュータ上のアンチマルウェアソフトウェアの状態を確認する。
Get-MpPreference Windows Defenderのスキャンとアップデートの設定を確認する。
Get-MpThreat コンピュータ上で検知された脅威の履歴を確認する。
Get-MpThreatCatalog 定義カタログから既知の脅威情報を取得する。
Get-MpThreatDetection Windows Defenderが検知したアクティブなマルウェア脅威と過去のマルウェア脅威を確認する。
Remove-MpPreference 除外やデフォルトのアクションを削除する。
Remove-MpThreat アクティブな脅威をコンピュータから削除する。
Set-MpPreference Windows Defenderのスキャンとアップデートの設定を構成する。
Start-MpScan コンピュータのスキャンを開始する。
Start-MpWDOScan Windows Defenderのオフラインスキャンを開始する。
Update-MpSignature コンピュータ上のアンチマルウェア定義をアップデートする。

ヘルプを参照する

 それらのコマンドレットについて、もっと詳しく知りたい場合は、「Get-Help」コマンドレットを使用する。

 詳細なヘルプ

 Get-Help <コマンドレット名> -Detailed

 例

 Get-Help <コマンドレット名> -Examples

 完全なヘルプ

 Get-Help <コマンドレット名> -Full

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法
  2. AWS資料、ジョブに特化した目的別データベースを選定するためのガイド
  3. Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス
  4. 「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ
  5. データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]