セキュリティ

「Windows Defender」マルウェア定義データベース検索術--「PowerShell」を使う

「Windows 10」では、「Windows Defender」のコマンドラインユーティリティだけでなく、「PowerShell」のコマンドレットセットも利用できる。ここでは、その利用を紹介する。

 筆者は「How to get more from Windows Defender by using its command-line tool」(「Windows Defender」のコマンドライン活用術--より高度な機能の実行を可能に)という記事で、Windows Defenderのコマンドラインユーティリティを使えば、基本的なタスクを自動化したり、いくつかの高度な機能を実行したりできることを紹介した。さらに、同ツールの使い方を解説し、便利な活用方法の例をいくつか提示した。

 「Windows 10」では、Windows Defenderのコマンドラインユーティリティだけでなく、「PowerShell」のコマンドレットセットも利用できる。Windows Defenderでは、「Windows」ユーザーインターフェースやコマンドラインユーティリティを使ってさまざまな機能を実行できるが、PowerShellのコマンドレットセットでも、それと同種の機能の多くを実行することが可能だ。しかし、こうしたDefenderのコマンドレット群を詳しく調べていくうちに、筆者はほかのバージョンでは不可能なやり方でWindows Defenderを精査する興味深い方法がいくつかあることを発見した。

 筆者が特に注目したのは、「Get-MpThreatCatalog」と呼ばれるDefenderのコマンドレットだ。Get-MpThreatCatalogを使うと、Windows Defenderのマルウェアシグネチャ定義データベースを調べることができる。もっと具体的に言うと、Windows Defenderで撃退可能なマルウェア脅威をすべて確認できる。Get-MpThreatCatalogコマンドレット自体は、Windows Defenderの全シグネチャ定義の包括的なリストを提供する。これを理解するのは大変だ。しかし、このコマンドレットをPowerShellのほかのツールや機能と組み合わせると、このデータベースを深く探索し、具体的で興味深い情報を見つけることができる。

 この方法でデータベースを探索することで、筆者はWindows Defenderの能力に対する理解を深められた。また、Windows Defenderのマルウェア撃退能力は、もっと成熟したほかのアンチウイルスソフトウェアパッケージに比べると見劣りするという主張について、疑問を抱くようにもなった。

 それでは、PowerShellのDefenderコマンドレットについて、詳しく見ていこう。その後で、Windows Defenderのマルウェアシグネチャ定義データベースの中身を探索する。

PowerShellを起動する

 PowerShellを使ってDefenderコマンドレットにアクセスするには、「Administrator」(管理者)モードでPowerShellを起動する必要がある。最も手っ取り早いのは、「File Explorer」(エクスプローラー)を起動して、どれか1つのフォルダを開いた後、「File」メニューをクリックして、「Open Windows PowerShell As Administrator」(Windows PowerShellを管理者として開く)コマンドを選択する方法だ(図A)。

図A:File Explorer内から「Administrator Windows PowerShell」(管理者:Windows PowerShell)プロンプトを開くことができる。
図A:File Explorer内から「Administrator Windows PowerShell」(管理者:Windows PowerShell)プロンプトを開くことができる。

PowerShellのDefenderコマンドレット

 Windows PowerShellは12種類のDefenderコマンドレットを提供する。そのリストを見るには、PowerShellプロンプトで以下のコマンドを入力する(図B)。

 Get-Command -Module Defender
図B:「Get-Command」を使って、Defenderコマンドレットのリストを表示させることが可能だ。
図B:「Get-Command」を使って、Defenderコマンドレットのリストを表示させることが可能だ。

 これら12種類のDefenderコマンドレットの機能を表にまとめると、以下のようになる。

コマンドレット説明
Add-MpPreference Windows Defenderの設定を修正する。
Get-MpComputerStatus コンピュータ上のアンチマルウェアソフトウェアの状態を確認する。
Get-MpPreference Windows Defenderのスキャンとアップデートの設定を確認する。
Get-MpThreat コンピュータ上で検知された脅威の履歴を確認する。
Get-MpThreatCatalog 定義カタログから既知の脅威情報を取得する。
Get-MpThreatDetection Windows Defenderが検知したアクティブなマルウェア脅威と過去のマルウェア脅威を確認する。
Remove-MpPreference 除外やデフォルトのアクションを削除する。
Remove-MpThreat アクティブな脅威をコンピュータから削除する。
Set-MpPreference Windows Defenderのスキャンとアップデートの設定を構成する。
Start-MpScan コンピュータのスキャンを開始する。
Start-MpWDOScan Windows Defenderのオフラインスキャンを開始する。
Update-MpSignature コンピュータ上のアンチマルウェア定義をアップデートする。

ヘルプを参照する

 それらのコマンドレットについて、もっと詳しく知りたい場合は、「Get-Help」コマンドレットを使用する。

 詳細なヘルプ

 Get-Help <コマンドレット名> -Detailed

 例

 Get-Help <コマンドレット名> -Examples

 完全なヘルプ

 Get-Help <コマンドレット名> -Full

関連記事

ホワイトペーパーランキング

  1. クラウドファーストと言うけれど…理由あって実現できない企業の「次の手」
  2. IBM Watson が拡げるビジネスの可能性
  3. 次世代 モダンBI・分析プラットフォームを正しく選ぶための選定ポイントとは
  4. “できる中小企業”の人材採用――事例から紐解く「コア人材」獲得のポイントとは?
  5. これまでのやり方では不都合がたくさん。メールマーケティングの価値を最大化するためには

編集部おすすめ

ピックアップ製品

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan