攻撃面の縮小は、Microsoft Defender for Endpointの一連の機能であり、デバイスやネットワークでの危険な動作や不要な動作を排除し、攻撃者がorganizationを侵害する機会を減らします。 攻撃面は、organizationがサイバー脅威に対して脆弱なすべての場所です。 これらのサーフェスを強化することで、最初に攻撃が発生するのを防ぐことができます。
これらの機能は、危険なソフトウェア動作をブロックし、悪意のあるサイトへの接続を防ぎ、不正なアクセスや流出からデータを保護します。 これらを組み合わせることで、Defender for Endpoint の検出機能と応答機能を補完する多層防御が形成されます。
攻撃面の減少機能
Defender for Endpoint の攻撃面の縮小には、次の機能が含まれています。
攻撃面の縮小 (ASR) ルール は、ファイルのダウンロードを試みる実行可能ファイルの起動、難読化されたスクリプトの実行、日常の作業中にアプリが通常開始しないアクションの実行など、攻撃者が悪用する危険なソフトウェア動作を制限します。 詳細については、「 攻撃面縮小 (ASR) ルールの概要」を参照してください。
フォルダー アクセスを制御 すると、悪意のあるアプリやランサムウェアなどの脅威から貴重なデータが保護されます。 既知の信頼されたアプリの一覧に対してアプリをチェックし、信頼されていないアプリが保護されたフォルダー内のファイルを変更できないようにします。 詳細については、「 フォルダー アクセスを制御して重要なフォルダーを保護する」を参照してください。
Exploit Protection は、オペレーティング システム のプロセスとアプリに、エクスプロイト軽減手法を自動的に適用します。 これは、拡張軽減エクスペリエンス ツールキット (EMET) で使用できる保護に基づいており、レポートとアラートのために Defender for Endpoint と統合されます。 詳細については、「 デバイスを悪用から保護する」を参照してください。
ネットワーク保護 は、悪意のあるドメインや疑わしいドメインや IP アドレスへの接続を防ぎます。 SmartScreen 保護Microsoft Defender拡張して、低評判ソースへの接続を試みるすべての送信 HTTP(S) トラフィックをブロックします。 詳細については、「 ネットワーク保護」を参照してください。
Web 保護 は、Web の脅威からデバイスを保護し、不要なコンテンツを規制するのに役立ちます。 Web 保護には、Web 脅威の保護、Web コンテンツのフィルター処理、カスタム インジケーターが含まれます。 詳細については、「 Web 保護」を参照してください。
Web コンテンツ フィルターは 、コンテンツ カテゴリに基づいて Web サイトへのアクセスを追跡および規制し、コンプライアンス規制または組織のポリシーに違反するカテゴリをブロックできるようにします。 詳細については、「 Web コンテンツのフィルター処理」を参照してください。
デバイス制御 は、ユーザーがコンピューターに USB ドライブ、プリンター、Bluetooth デバイスなどの周辺機器をインストールして使用できるかどうかを決定します。 デバイス制御は、リムーバブル メディアからのデータ損失とマルウェアの防止に役立ちます。 詳細については、「Microsoft Defender for Endpointでのデバイス制御」を参照してください。
ネットワーク ファイアウォール レポートは Windows ファイアウォールと統合され、Microsoft Defender ポータルでファイアウォール イベントを一元的に可視化できます。 詳細については、「 ホスト ファイアウォールレポート」を参照してください。
これらの機能の可用性を次の表にまとめます。
| 機能 | Windows | macOS | Linux |
|---|---|---|---|
| ASR ルール | Y | N | N |
| コントロールされたフォルダー アクセス | Y | N | N |
| エクスプロイト保護 | Y | N | N |
| ネットワーク保護 | Y | Y | Y* |
| Web 保護 | Y | Y | Y* |
| Web コンテンツ フィルタリング | Y | Y | Y |
| デバイス制御 | Y | Y | N |
| ファイアウォール レポート | Y | N | N |
* 現在プレビュー中です。
関連する Windows セキュリティ機能
次の Windows セキュリティ機能は、Defender for Endpoint での攻撃面の縮小を補完しますが、個別に構成および管理されています。
- Microsoft Defender Application Guardは、Microsoft Edge にハードウェア ベースの分離を提供し、コンテナー内の信頼されていないサイトを開いてorganizationを保護します。 詳細については、「Microsoft Defender Application Guardの概要」を参照してください。
- Windows Defender アプリケーション制御 (WDAC) を使用すると、信頼されたアプリケーションのみがデバイス上で実行されます。 詳細については、「 Windows のアプリケーション制御」を参照してください。
- Windows ファイアウォール は、デバイス上の受信および送信ネットワーク トラフィックを制御します。 詳細については、「 セキュリティが強化された Windows ファイアウォール」を参照してください。
攻撃面の縮小が Defender for Endpoint にどのように適合するか
攻撃面の縮小は、脅威が発生した後に検出して対応する他の Defender for Endpoint 機能を補完します。 次世代の保護とエンドポイントの検出と対応は、アクティブな脅威の特定と修復に重点を置きますが、攻撃面の削減によって脅威が足掛かりを得るのを防ぐことができます。
各機能は、攻撃対象領域の異なる部分に対処します。
- 危険なソフトウェア動作: ASR ルールは、アプリケーションとスクリプトの動作方法を制限し、攻撃者がマルウェアの配信や資格情報の盗み取りに使用する一般的な手法をブロックします。
- ネットワーク接続: ネットワーク保護と Web 保護は、コンテンツがデバイスに到達する前に、既知の悪意のあるサイトまたは不適切なサイトへのアクセスをブロックします。
- データとファイルへのアクセス: フォルダー アクセスとデバイス制御の制御によって、機密ファイルにアクセスまたは変更できるアプリケーションとハードウェアが制限されます。
- アプリケーションの脆弱性: Exploit Protection は、オペレーティング システムのプロセスとアプリケーションの脆弱性を攻撃者が悪用しにくくする軽減策を適用します。
監査モード
監査モードは、生産性に影響を与えることなく、攻撃面の縮小機能が環境に与える影響を評価するのに役立ちます。 次の機能では、監査モードがサポートされています。
監査モードでは、機能によってアプリ、スクリプト、または接続がブロックされることはありません。 代わりに、Windows イベント ログは、機能がアクティブであったかのようにイベントを記録します。 イベント ログを確認し、Microsoft Defender ポータルで高度なハンティングを使用して、各機能が基幹業務アプリケーションにどのように影響するかを理解できます。 Windows イベント ビューアーのデータの詳細については、「Windows イベント ビューアーでの攻撃面の縮小イベントの表示」を参照してください。
管理ツール
複数の管理ツールを使用して、攻撃面の縮小機能を構成できます。 次のツールが一般的に使用されます。
- Microsoft Intune
- Microsoft 構成マネージャー
- グループ ポリシー
- PowerShell コマンドレット
適切なツールは、organizationのインフラストラクチャと管理の設定によって異なります。 詳細な構成ガイダンスについては、「 攻撃面の縮小 機能」セクションでリンクされている個々の機能に関する記事を参照してください。