Exploit Protection を評価する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Exploit Protection は、悪用により拡散および他のデバイスに感染するマルウェアからデバイスを保護するのに役立ちます。 軽減策は、オペレーティング システムまたは個々のアプリに適用できます。 Enhanced Mitigation Experience Toolkit (EMET) の一部であった機能の多くは、Exploit Protection に含まれています。 (EMET はサポート終了となりました。)
監査では、テスト環境内の特定のアプリに対する軽減策のしくみを確認できます。 これは、運用環境で Exploit Protection を有効にした場合に、起こるであろうことを示します。 これにより、Exploit Protection が基幹業務アプリに悪影響を及ぼさないことを確認し、どのような疑わしいイベントまたは悪意のあるイベントが発生するかを確認できます。
テスト用の Exploit Protection を有効にする
Windows セキュリティ アプリまたは Windows PowerShell を使用して、特定のプログラムのテスト モードで軽減策を設定できます。
Windows セキュリティ アプリを開きます。
Windows セキュリティ アプリを開きます。 タスク バーのシールド アイコンを選択するか、スタート メニューで Windows セキュリティを検索します。
[アプリとブラウザーの制御] タイル (または左側のメニュー バーのアプリ アイコン) を選択し、[エクスプロイト保護] を選択します。
[プログラムの設定] に移動し、保護を適用するアプリを選択します。
- 構成するアプリが既に一覧表示されている場合は、それを選択し、[編集] を選択します
- アプリが一覧にない場合は、一覧の上部にある [プログラムの追加] を選択してカスタマイズします。 次に、アプリを追加する方法を選択します。
- [プログラム名で追加] を使用して、その名前を持つ実行中のプロセスに軽減策を適用します。 拡張子を持つファイルを指定します。 完全なパスを入力して、その場所でその名前を持つアプリのみに軽減策を制限できます。
- 標準のエクスプローラー ファイル ピッカー ウィンドウを使用して目的のファイルを検索して選択するには、[正確なファイル パスの選択] を使用します。
アプリを選択すると、適用できるすべての軽減策の一覧が表示されます。 [監査] を選択すると、テスト モードでのみ軽減策が適用されます。 プロセス、アプリ、または Windows を再起動する必要がある場合は、通知されます。
構成するすべてのアプリと軽減策について、この手順を繰り返します。 構成の設定が完了したら、[適用] を選択します。
PowerShell
アプリ レベルの軽減策をテスト モードに設定するには、監査モード コマンドレットで Set-ProcessMitigation を使用します。
次の形式で各軽減策を構成します。
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
ここで、
-
<範囲>:
- 特定のアプリに軽減策を適用する必要があることを示す
-Name。 このフラグの後にアプリの実行可能ファイルを指定します。
- 特定のアプリに軽減策を適用する必要があることを示す
-
<アクション>:
- 軽減策を有効にする
-Enable- 軽減策を無効にする
-Disable
- 軽減策を無効にする
- 軽減策を有効にする
-
<軽減策>:
- 次の表で定義されている軽減策のコマンドレット。 各軽減策はコンマで区切られます。
| 軽減策 | テスト モード コマンドレット |
|---|---|
| 任意のコード ガード (ACG) | AuditDynamicCode |
| 整合性が低いイメージのブロック | AuditImageLoad |
| 信頼されていないフォントのブロック |
AuditFont, FontAuditOnly |
| コードの整合性ガード |
AuditMicrosoftSigned, AuditStoreSigned |
| Win32k システム コールの無効化 | AuditSystemCall |
| 子プロセスを許可しない | AuditChildProcess |
たとえば、testing.exe という名前のアプリのテスト モードで任意の Code Guard (ACG) を有効にするには、次のコマンドを実行します。
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
監査モードを無効にするには、-Enable を -Disable に置き換えます。
Exploit Protection の監査イベントを確認する
ブロックされたアプリを確認するには、イベント ビューアーを開き、Security-Mitigations ログで次のイベントをフィルター処理します。
| 機能 | プロバイダー/ソース | イベント ID | 説明 |
|---|---|---|---|
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 1 | ACG の監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 3 | [Do not allow child processes] (子プロセスを許可しない) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 5 | [Block low integrity images] (整合性が低いイメージのブロック) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 7 | [Block remote images] (リモート イメージのブロック) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 9 | [Disable win32k system calls] (win32k システム呼び出しの無効化) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 11 | [Code integrity guard] (コードの整合性の保護) 監査 |
関連項目
- Exploit Protection を有効にする
- Exploit Protection 軽減策の構成と監査
- Exploit Protection 構成のインポート、エクスポート、展開
- Exploit Protection のトラブルシューティング
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。