攻撃面の縮小 (ASR) ルールは、マルウェアを通じて一般的に悪用される Windows デバイス上の危険なソフトウェア動作を対象としています (たとえば、ファイルをダウンロードするスクリプトの起動、難読化されたスクリプトの実行、他のプロセスへのコードの挿入など)。 ASR ルールとその要件の概要については、「 攻撃面の縮小 (ASR) ルールの概要」を参照してください。
このガイドは、ASR ルールのデプロイを計画、テスト、実装、管理して、人間が操作するランサムウェアなどの高度な脅威を効果的に阻止するのに役立ちます。
重要
このガイドでは、ASR ルールを構成する方法を決定するのに役立つ画像と例を示します。 これらのイメージと例は、環境に最適な構成オプションを反映していない可能性があります。
デプロイ前の重要な注意事項
通常、テストを行わずにブロック モードまたは警告モードで標準の保護規則を有効にすることができます。 監査 モードで 他の ASR ルールをテストしてから、[ ブロック ] または [ 警告 ] モードに切り替える必要があります。
開始する前に
デプロイ プロセスを開始する前に、次のドキュメントを確認してください。
展開手順
ASR ルールのデプロイを計画、テスト、実装、管理するには、次の記事を使用します。
- ASR ルールのデプロイを計画する: インフラストラクチャ要件を決定し、ビジネス ユニットとチャンピオンを選択し、チーム ロールを定義します。
- ASR ルールのテスト: 監査 モードでルールを構成し、レポートを確認し、除外を追加します。
- ASR ルールを有効にする: ルールを 監査 モードから ブロック モードに切り替え、他の展開リングに展開します。
- ASR ルールの管理と監視: 進行中のアクティビティを監視し、誤検知を管理し、高度なハンティングを使用します。