Microsoft Defender for Business で攻撃面の削減ルールを有効にする
- [アーティクル]
-
-
攻撃表面は、組織のネットワークとデバイスがサイバー脅威や攻撃に対して脆弱であるすべての場所と方法です。 セキュリティで保護されていないデバイス、会社のデバイス上の任意の URL への無制限のアクセス、会社のデバイス上での任意の種類のアプリまたはスクリプトの実行を許可することは、すべての攻撃対象の例です。 企業はサイバー攻撃に対して脆弱なままにします。
ネットワークとデバイスを保護するために、Microsoft Defender for Business には、攻撃面の縮小ルールなど、いくつかの攻撃面の縮小機能が含まれています。 この記事では、攻撃面の縮小ルールを設定する方法と、攻撃面の縮小機能について説明します。
攻撃面の縮小ルールは多数用意されています。 すべてを一度に設定する必要はありません。 また、一部のルールを監査モードで設定して、組織の動作を確認し、後でブロック モードで動作するように変更することができます。 つまり、次の標準保護規則をできるだけ早く有効にすることをお勧めします。
これらのルールは、ネットワークとデバイスを保護するのに役立ちますが、ユーザーの中断を引き起こすべきではありません。 Intune を使用して、攻撃面の縮小ルールを設定します。
Intune を使用して ASR ルールを設定する
Microsoft Intune 管理センターで、[エンドポイント のセキュリティ>接続面の縮小] に移動します。
[ ポリシーの作成 ] を選択して、新しいポリシーを作成します。
- [ プラットフォーム] で、 Windows 10、Windows 11、および Windows Server を選択します。
- [プロファイル] で、[ 攻撃面の縮小規則] を選択し、[ 作成] を選択します。
次のようにポリシーを設定します。
名前と説明を指定し、[ 次へ] を選択します。
少なくとも次の 3 つのルールについて、それぞれを [ブロック] に設定します。
-
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする
-
WMI イベント サブスクリプションを使用して永続化をブロックする
-
悪用された脆弱な署名付きドライバーの悪用をブロックする
[次へ] を選択します。
[ スコープ タグ ] ステップで、[ 次へ] を選択します。
[ 割り当て] ステップで、ルールを受信するユーザーまたはデバイスを選択し、[ 次へ] を選択します。 ([ すべてのデバイスの追加] を選択することをお勧めします)。
[ 確認と作成 ] ステップで、情報を確認し、[ 作成] を選択します。
ヒント
必要に応じて、最初に監査モードで攻撃面の縮小ルールを設定して、ファイルまたはプロセスが実際にブロックされる前に検出を確認できます。 攻撃面の縮小ルールの詳細については、「 攻撃面の縮小ルールの展開の概要」を参照してください。
Defender for Business には、攻撃面の縮小ルールがどのように機能しているかを示す攻撃面の縮小レポートが含まれています。
Microsoft Defender ポータルのナビゲーション ウィンドウで、[レポート] を選択します。
[ エンドポイント] で、[ 攻撃面の縮小ルール] を選択します。 レポートが開き、次の 3 つのタブが含まれます。
-
検出: 攻撃面の縮小ルールの結果として発生した検出を表示できる場所
-
標準保護規則またはその他の攻撃面の縮小ルールのデータを表示できる構成
-
除外を追加します。ここで、攻撃面の縮小ルールから除外する項目を追加できます (除外は控えめに使用します。除外するたびにセキュリティ保護のレベルが低下します)
攻撃面の縮小ルールの詳細については、次の記事を参照してください。
Defender for Business の攻撃面の縮小機能
攻撃面の縮小ルールは、Defender for Business で使用できます。 次の表は、Defender for Business の攻撃面の縮小機能をまとめたものです。 次世代の保護や Web コンテンツのフィルター処理など、他の機能が攻撃面の縮小機能と連携する方法に注目してください。