ヒント
この記事と併せて「セキュリティ アナライザーのセットアップ ガイド」を参照して、ベスト プラクティスを確認し、防御を強化し、コンプライアンスを強化し、自信を持ってサイバーセキュリティ環境をナビゲートする方法について学習できます。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの「セキュリティ アナライザー自動セットアップ ガイド」にアクセスできます。
organizationの攻撃対象領域には、攻撃者がアクセスできるすべての場所が含まれています。 詳細については、「Microsoft Defender for Endpointでの攻撃面の減少」を参照してください。
Microsoft Defender ウイルス対策の攻撃面の縮小 (ASR) ルールは、マルウェアを介して一般的に悪用される Windows デバイス上の危険なソフトウェアの動作を対象としています。 例:
- ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトを起動する。
- 難読化されたスクリプトまたはその他の信頼されていないスクリプトを実行する。
- 脆弱な可能性のあるアプリケーション (Office アプリなど) から子プロセスを作成する。
- コードを他のプロセスに挿入する。
正当なアプリでもこのような操作を行う可能性がありますが、攻撃者は通常、同じように動作するマルウェアを使用します。
ASR 規則を計画、テスト、実装、監視するには、次の一連の記事を参照してください。
ヒント
他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。
- macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Mac 用 Microsoft Defender for Endpoint
- Intune の Microsoft Defender ウイルス対策の macOS ウイルス対策ポリシー設定
- Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Linux 用 Microsoft Defender for Endpoint
- Android 機能用 Defender for Endpoint を構成する
- iOS 機能用 Microsoft Defender for Endpoint を構成する
ASR ルール
ASR ルールは、次のカテゴリにグループ化されます。
Standard保護ルールは、セキュリティ上の大きな利点を提供するため、広範なテストを必要とせずにブロック モードで有効にすることをお勧めします。 通常、これらのルールはユーザーに対して最小限またはまったく顕著な影響を与えますが、例外があります。
- WMI イベント サブスクリプションを使用して永続化をブロックする: Microsoft Configuration Managerを使用してデバイスを管理する場合は、監査モードで広範なテストを行わずに、他の使用可能な展開方法 (グループ ポリシーや PowerShell など) を使用して、デバイスのブロックモードまたは警告モードでこのルールをアクティブ化しないでください。 Configuration Manager クライアントは WMI に大きく依存しています。
- Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする: ローカル セキュリティ機関 (LSA) 保護 を有効にした場合 ( Credential Guard と共に推奨)、この規則は冗長です。
その他の ASR ルールは重要な保護を提供しますが、「攻撃面縮小ルールの展開ガイド」で説明されているように、ブロック モードまたは警告モードでアクティブ化する前に監査モードでテストする必要があります。
次の表では、使用可能な ASR ルール、対応する GUID 値、およびそのカテゴリについて説明します。
規則名のリンクを使用すると、 ASR ルールリファレンス 記事の詳細なルールの説明にアクセスできます。
Microsoft IntuneおよびMicrosoft Configuration Managerのエンドポイント セキュリティ ポリシー以外に、他のすべての ASR 規則構成メソッドは、GUID 値によって規則を識別します。
Microsoft IntuneとMicrosoft Configuration Managerの ASR ルール名の違いについては、表を参照してください。
ヒント
Microsoft Configuration Managerは、以前は他の名前で知られていました。
- Microsoft System Center Configuration Manager: バージョン 1511 から 1906 (2015 年 11 月から 2019 年 7 月)
- Microsoft Endpoint Configuration Manager: バージョン 1910 から 2211 (2019 年 12 月から 2022 年 12 月)
- Microsoft Configuration Manager: バージョン 2303 (2023 年 4 月) 以降
サポートと更新に関する情報については、「Configuration ManagerのUpdatesとサービス」を参照してください。
| Microsoft Intuneのルール名 | Microsoft Configuration Managerのルール名 | GUID | カテゴリ |
|---|---|---|---|
| Standard保護規則 | |||
| 悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) | 該当なし | 56a863a9-875e-4185-98a7-b882c64b5ce5 | 種々 雑多 |
| Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする | 同じ | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | 資格情報の盗難 & 横移動 |
| WMI イベント サブスクリプションを使用して永続化をブロックする | 該当なし | e6db77e5-3df2-4cf1-b95a-636979351e5b | 資格情報の盗難 & 横移動 |
| その他の ASR 規則 | |||
| Adobe Reader による子プロセスの作成をブロックする | 該当なし | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | 生産性向上アプリ |
| すべての Office アプリケーションによる子プロセスの作成をブロックする | Office アプリケーションによる子プロセスの作成をブロックする | d4f940ab-401b-4efc-aadc-ad5f3c50688a | 生産性向上アプリ |
| メール クライアントと Web メールからの実行可能なコンテンツをブロックする | 同じ | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | 電子メール |
| 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする | 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする | 01443614-cd74-433a-b99e-2ecdc07bfc25 | ポリモーフィックな脅威 |
| 難読化される可能性のあるスクリプトの実行をブロックする | 同じ | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Script |
| JavaScript または VBScript によるダウンロードした実行可能コンテンツの起動をブロックする | 同じ | d3e037e1-3eb8-44c8-a917-57927947596d | Script |
| Office アプリケーションによる実行可能なコンテンツの作成をブロックする | 同じ | 3b576869-a4ec-4529-8536-b80a7769e899 | 生産性向上アプリ |
| Office アプリケーションによる他のプロセスへのコード挿入をブロックする | 同じ | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | 生産性向上アプリ |
| Office の通信アプリケーションによる子プロセスの作成をブロックする | 該当なし | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email、生産性アプリ |
| PSExec コマンドと WMI コマンドから発生するプロセス作成をブロックする | 該当なし | d1e49aac-8f56-4280-b9ba-993a6d77406c | 資格情報の盗難 & 横移動 |
| セーフ モードでのコンピューターの再起動をブロックする | 該当なし | 33ddedf1-c6e0-47cb-833e-de6133960387 | 種々 雑多 |
| USB から実行される信頼されていない、署名されていないプロセスをブロックする | 同じ | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | ポリモーフィックな脅威 |
| コピーまたは偽装されたシステム ツールの使用をブロックする | 該当なし | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | 種々 雑多 |
| サーバーの WebShell 作成をブロックする | 該当なし | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | 種々 雑多 |
| Office マクロからの Win32 API 呼び出しをブロックする | 同じ | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | 生産性向上アプリ |
| ランサムウェアに対する高度な保護を使用する | 同じ | c1db55ab-c21a-4637-bb3f-a12568109d35 | ポリモーフィックな脅威 |
ASR 規則の要件
ASR ルールでは、Windows デバイス上のプライマリ ウイルス対策アプリとしてMicrosoft Defenderウイルス対策が必要です。
Microsoft Defenderウイルス対策を有効にし、アクティブ モードにする必要があります。 具体的には、Microsoft Defenderウイルス対策は次のいずれかのモードにすることはできません。
- パッシブ
- ブロック モードでのエンドポイント検出と応答 (EDR) を使用したパッシブ モード
- 制限付き定期スキャン (LPS)
- Off
Microsoft Defender ウイルス対策のモードの詳細については、「Microsoft Defenderウイルス対策が Defender for Endpoint 機能に与える影響」を参照してください。
Microsoft Defenderウイルス対策のリアルタイム保護がオンである必要があります。
クラウド提供の保護 (Microsoft Advanced Protection Service または MAPS とも呼ばれます) は、ASR ルール機能にとって重要です。 クラウド保護は、標準的なリアルタイム保護を強化し、マルウェアからの侵害を防止するための重要な要素です。 一部の ASR ルールには、特に Defender for Endpoint およびユーザー通知ポップアップのエンドポイント検出と応答 (EDR) アラートに対するクラウド配信保護の要件があります。 詳細については、「 ASR ルール アクションからのアラートと通知」を参照してください。
同じ理由で、環境でMicrosoft Defenderウイルス対策クラウド サービスへの接続を許可する必要があります。
Microsoft Defenderウイルス対策コンポーネントのバージョンは、現在利用可能なバージョンより 2 つ以上古いバージョンである必要があります。
- プラットフォーム更新プログラムのバージョン: 月単位で更新されました。
- MEngine バージョン: 月単位で更新されました。
- セキュリティ インテリジェンス: Microsoft は、最新の脅威に対処し、検出ロジックを改良するために、セキュリティ インテリジェンス (定義と署名とも呼ばれます) を継続的に更新します。
Microsoft Defenderウイルス対策のバージョンを最新の状態に保つことは、ASR ルールの誤検知を減らし、ウイルス対策検出機能Microsoft Defender向上させるのに役立ちます。 現在のバージョンと、さまざまなMicrosoft Defenderウイルス対策コンポーネントを更新する方法の詳細については、「ウイルス対策プラットフォームのサポートMicrosoft Defender」を参照してください。
ASR 規則ではMicrosoft 365 E5は必要ありませんが、次の高度な管理機能を利用するために、E5 または同等のサブスクリプションのセキュリティ機能をお勧めします。
- Defender for Endpoint での監視、分析、ワークフロー。
- Microsoft Defender XDR ポータルのレポート機能と構成機能。
高度な管理機能は、他のライセンス (Windows Professional や Microsoft 365 E3 など) では使用できません。 ただし、各デバイス上の Windows イベント ビューアー (Windows イベント転送など) で生成される ASR ルール イベントに加えて、独自の監視およびレポート ツールを開発できます。
Windows ライセンスの詳細については、「 Windows ライセンス 」を参照し、 Microsoft ボリューム ライセンス リファレンス ガイドを入手してください。
ASR ルールでサポートされているオペレーティング システム
ASR ルールは、Microsoft Defender ウイルス対策 (Windows 11 Home など) を含む任意のエディションの Windows で見つかったMicrosoft Defenderウイルス対策機能です。 PowerShell または グループ ポリシーを使用して、デバイスで ASR 規則をローカルに構成できます。
Microsoft Defender for Endpointの ASR ルールの一元管理、レポート、およびアラートは、次のエディションとバージョンの Windows で利用できます。
- Windows 10 以降の Pro および Enterprise エディション。
- Windows Server 2012 R2 以降。
- Azure Local (旧称 Azure Stack HCI) バージョン 23H2 以降。
オペレーティング システムのサポート情報の詳細については、 ASR 規則のオペレーティング システムのサポートに関するページを参照してください。
ASR ルールのモード
ASR ルールは、次の表で説明するように、次のいずれかのモードにすることができます。
| ルール モード | コード | 説明 |
|---|---|---|
|
オフ または Disabled |
0 | ASR ルールは明示的に無効になっています。 この値は、同じデバイスに異なるポリシーによって異なるモードで同じ ASR 規則が割り当てられている場合に競合を引き起こす可能性があります。 |
|
ブロック または Activated |
1 | ASR ルールは ブロック モードで有効になっています。 |
|
監査 または 監査モード |
2 | ASR ルールは、 ブロック モードの場合と同様に有効になりますが、アクションは実行されません。 監査モードでの ASR ルールの検出は、次の場所で使用できます。
|
| 未構成 | 5 | ASR 規則は明示的に有効になっていません。 この値は、機能的には Disabled または Off と同等ですが、ルールの競合の可能性はありません。 |
|
警告または警告 Warning |
6 | ASR ルールは ブロック モードの場合と同様に有効になっていますが、ユーザーは警告通知ポップアップで [ブロック解除 ] を選択してブロックを 24 時間バイパスできます。 24 時間後、ユーザーはブロックをもう一度バイパスする必要があります。 警告モードは、Windows 10 バージョン 1809 (2018 年 11 月) 以降でサポートされています。 サポートされていないバージョンの Windows の 警告 モードの ASR ルールは、実質的に ブロック モードになります (バイパスは使用できません)。 警告モードは、Microsoft Configuration Managerでは使用できません。 警告モードには、次のMicrosoft Defenderウイルス対策バージョンの要件があります。
次の ASR ルールでは、 警告 モードはサポートされていません。 |
Microsoft では、標準の保護規則に ブロック モードを推奨し、他の ASR ルールの 監査 モードで最初のテストを行ってから 、ブロック モードまたは 警告 モードでアクティブ化することをお勧めします。
多くの基幹業務アプリケーションは、セキュリティ上の懸念が限定的に記述されており、マルウェアに似た方法で動作する可能性があります。 監査モードで ASR ルールのデータを監視し、必要なアプリの除外を追加することで、生産性を低下させることなく ASR ルールをデプロイできます。
ブロック モードで ASR ルールを有効にする前に、監査モードとセキュリティに関する推奨事項でその影響を評価します。 詳細については、「 ASR ルールのテスト」を参照してください。
ASR ルールのデプロイと構成方法
Microsoft Defender for Endpointは ASR ルールをサポートしますが、ASR ルール設定をデバイスに展開するための組み込みメソッドは含まれていません。 代わりに、別の展開または管理ツールを使用して、ASR ルール ポリシーを作成してデバイスに配布します。 すべてのデプロイ方法で、すべての ASR 規則がサポートされているわけではありません。 ルールごとの詳細については、「 ASR ルールの展開方法のサポート」を参照してください。
次の表は、使用可能なメソッドをまとめたものです。 詳細な構成手順については、「 攻撃面の縮小 (ASR) ルールと除外を構成する」を参照してください。
| メソッド | 説明 |
|---|---|
| エンドポイント セキュリティ ポリシーのMicrosoft Intune | ASR ルール ポリシーを構成してデバイスに配布するための推奨される方法。 Microsoft Intune プラン 1が必要です (Microsoft 365 E3などのサブスクリプションに含まれるか、スタンドアロン アドオンとして使用できます)。 |
| OMA-URI を使用してカスタム プロファイルをMicrosoft Intuneする | Open Mobile Alliance – Uniform Resource (OMA-URI) プロファイルを使用してIntuneで ASR ルールを構成する別の方法。 |
| ポリシー CSP を使用する MDM ソリューション | 任意の MDM ソリューションで Windows Policy 構成サービス プロバイダー (CSP) を使用します。 |
| Microsoft Configuration Manager | [資産とコンプライアンス] ワークスペースでMicrosoft Defenderウイルス対策ポリシーを使用します。 |
| グループ ポリシー | 一元化されたグループ ポリシーを使用して、ドメインに参加しているデバイスに ASR 規則を構成して配布します。 または、個々のデバイスでローカルにグループ ポリシーを構成することもできます。 |
| PowerShell | 個々のデバイスで ASR ルールをローカルに構成します。 PowerShell では、すべての ASR 規則がサポートされています。 |
ASR ルールのファイルとフォルダーの除外
重要
ファイルまたはフォルダーを除外すると、ASR 規則の保護が大幅に低下する可能性があります。 除外されたファイルの実行が許可され、ファイルに関するレポートやイベントは記録されません。 ASR ルールが検出すべきではないファイルを検出する場合は、 監査モードを使用してルールをテストします。
特定の ファイル と フォルダー を ASR 規則によって評価されないようにすることができます。 ASR ルールによってファイルまたはフォルダーに悪意のある動作が含まれていると判断された場合でも、除外されたファイルの実行はブロックされません。
次の方法を使用して、ASR 規則からファイルとフォルダーを除外できます。
Microsoft Defenderウイルス対策の除外: すべての ASR 規則でこれらの除外が適用されるわけではありません。 Microsoft Defenderウイルス対策の除外の詳細については、「Microsoft Defenderウイルス対策のカスタム除外を構成する」を参照してください。
ヒント
すべての ASR ルールでは、Microsoft Defender ウイルス対策のプロセス除外が適用されます。
グローバル ASR ルールの除外: これらの除外は、すべての ASR ルールに適用されます。 すべての ASR ルール構成方法では、グローバル ASR ルールの除外の構成もサポートされています。
ASR 規則ごとの除外: 異なる除外を異なる ASR 規則に選択的に割り当てます。 ASR 規則ごとの除外の構成もサポートするのは、次の ASR 規則構成方法のみです。
- グループ ポリシー (および対応するレジストリ設定)
- Microsoft Intuneのエンドポイント セキュリティ ポリシー。
侵害のインジケーター (IoC): ほとんどの ASR ルールでは、ブロックされたファイルとブロックされた証明書の IoC が適用されます。 IoC の詳細については、「Microsoft Defender for Endpointのインジケーターの概要」を参照してください。
ASR 規則に対するさまざまな種類の除外の適用を次の表にまとめます。
| ルール名 | MDAV ファイルを受け入れ、 フォルダーの除外 |
グローバル ASR を受け入れられます 除外 |
ASR 規則ごとの適用 除外 |
IoC を受け入れられます。 ファイル |
IoC を受け入れられます。 証明 書 |
|---|---|---|---|---|---|
| Standard保護規則 | |||||
| 悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) | Y | Y | Y | Y | Y |
| Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする | N | Y | Y | N | N |
| WMI イベント サブスクリプションを介して永続性をブロックする | N | Y | Y | N | N |
| その他の ASR 規則 | |||||
| Adobe Reader による子プロセスの作成をブロックする | N | Y | Y | Y | Y |
| すべての Office アプリケーションによる子プロセスの作成をブロックする | Y | Y | Y | Y | Y |
| メール クライアントと Web メールで実行可能なコンテンツをブロックする | Y | Y | Y | Y | Y |
| 普及率、経過期間、または信頼リストの条件を満たしていない場合に実行可能ファイルが実行されないようにする | Y | Y | Y | Y | Y |
| 難読化された可能性のあるスクリプトの実行をブロックする | Y | Y | Y | Y | Y |
| JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする | Y | Y | Y | Y | Y |
| Office アプリケーションによる実行可能なコンテンツの作成をブロックする | N | Y | Y | Y | Y |
| Office アプリケーションによる他のプロセスへのコード挿入をブロックする | N | Y | Y | N | N |
| Office の通信アプリケーションによる子プロセスの作成をブロックする | N | Y | Y | Y | Y |
| PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする | N | Y | Y | Y | Y |
| セーフ モードでのコンピューターの再起動をブロックする | Y | Y | Y | Y | Y |
| USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする | Y | Y | Y | Y | Y |
| コピーまたは偽装されたシステム ツールの使用をブロックする | Y | Y | Y | Y | Y |
| サーバーの WebShell 作成をブロックする | Y | Y | Y | Y | Y |
| Office マクロからの Win32 API 呼び出しをブロックする | Y | Y | Y | Y | N |
| ランサムウェアに対して高度な保護を使用する | Y | Y | Y | Y | Y |
除外を追加するときは、次の点に留意してください。
除外パスでは、環境変数とワイルドカードを使用できます。 詳細については、「 ファイル名とフォルダー パスまたは拡張除外リストでワイルドカードを使用する」を参照してください。
ヒント
フォルダーとプロセスの除外では、 ユーザー 環境変数をワイルドカードとして使用しないでください。 次の種類の環境変数のみをワイルドカードとして使用します。
- システム環境変数。
- NT AUTHORITY\SYSTEM アカウントとして実行されているプロセスに適用される環境変数。
システム環境変数の一覧については、「 システム環境変数」を参照してください。
- ワイルドカードでドライブ文字を定義することはできません。
- パス内の複数のフォルダーを除外するには、
\*\の複数のインスタンスを使用して、複数の入れ子になったフォルダーを示します。 たとえば、「c:\Folder\*\*\Test」のように入力します。 - Microsoft Configuration Managerでは、ワイルドカード (
*または?) がサポートされています。 - ランダムな文字を含むファイル (たとえば、自動ファイル生成から) を除外するには、
?記号を使用します。 たとえば、「C:\Folder\fileversion?.docx」のように入力します。
除外は、アプリケーションまたはサービスの起動時にのみ適用されます。 たとえば、既に実行されている更新サービスの除外を追加した場合、更新サービスはサービスを再起動するまで ASR ルール検出をトリガーし続けます。
ASR ルールでのポリシーの競合
同じデバイスに 2 つの異なる ASR ルール ポリシーが割り当てられている場合、次の要素に基づいて競合が発生する可能性があります。
- 同じ ASR ルールが異なるモードで割り当てられているかどうか。
- 競合管理が実施されているかどうか。
- 結果がエラーかどうか。
不一致の ASR 規則ではエラーは発生しません。 最初のルールが適用され、後続の不適合ルールがポリシーにマージされます。
モバイル デバイス管理 (MDM) ソリューションで異なる ASR 規則設定を同じデバイスに適用グループ ポリシー場合、グループ ポリシー設定が優先されます。
Microsoft Intuneで使用可能な展開方法に対して ASR 規則設定の競合がどのように処理されるかについては、「Intuneによって管理されるデバイス」を参照してください。
ASR ルールの通知とアラート
ブロックモードまたは警告モードの ASR ルールがデバイスでトリガーされると、デバイスに通知が表示されます。 通知の情報をカスタマイズできます。 詳細については、「Windows セキュリティの連絡先情報をカスタマイズする」を参照してください。
Defender for Endpoint のエンドポイント検出と応答 (EDR) アラートは、サポートされている ASR ルールがトリガーされると生成されます。
通知とアラートの機能の詳細については、「 ASR ルール アクションからのアラートと通知」を参照してください。
Microsoft Defender ポータルと Windows イベント ビューアー のデバイスで ASR アラート アクティビティを表示するには、「攻撃面の縮小 (ASR) ルール アクティビティを監視する」を参照してください。
ASR ルール アクティビティを監視する
詳細については、「 攻撃面の縮小 (ASR) ルール アクティビティの監視」を参照してください。