この記事は、 攻撃面の縮小ルールの展開ガイドの一部です。
攻撃面縮小 (ASR) ルールのテストは、デプロイの重要な手順です。 ASR ルールによって基幹業務アプリがブロックされるかどうかを判断する必要があります。 小規模で制御されたグループから開始すると、organization全体でデプロイを拡張する際に、作業中断の可能性を制限できます。
注:
ASR ルールのデプロイのテスト フェーズを開始する前に、 ブロック モードまたは 警告 モード (該当する場合) で現在有効になっている関連する ASR ルールをすべて無効にします。 レポートを使用して有効な ASR ルールを検索する方法については、「 攻撃面の縮小ルール レポート」を参照してください。
次の図に示すように、リング 1 を使用して ASR ルールのデプロイを開始します。
デプロイ前にルールを評価および評価する
Defender for Endpoint Plan 2 では、Microsoft Defender 脆弱性の管理は、高レベルの影響インジケーター (たとえば、監査アクティビティがデバイス間で観察されたかどうか) を提供できる ASR ルール関連のセキュリティの推奨事項を示します。
https://security.microsoft.comのMicrosoft Defender ポータルで、[露出管理>コミット] に移動します (または、https://security.microsoft.com/exposure-recommendationsの [セキュリティに関する推奨事項] ページに直接移動します)。 [ セキュリティに関する推奨事項 ] ページで、ASR ルールを選択して詳細ポップアップを開き、[ デバイス ] タブを選択します。 [ユーザーの影響 ] の値は、生産性に悪影響を与えることなく、ブロック モードでルールを有効にする新しいポリシーを受け入れるデバイスの割合を示します。
![ユーザーの影響を示す ASR ルールのセキュリティに関する推奨事項の [デバイス] タブのスクリーンショット。](media/asrrecommendation.png#lightbox)
注:
ブロック モードまたは警告モードで有効にする前に ASR ルールの潜在的な影響を正確に評価するには、監査モード のデータと、攻撃面の縮小ルール レポートや高度なハンティング データなどの詳細なレポートを確認する必要があります。
手順 1: 監査モードですべての ASR ルールをテストする
注:
前に説明したように、通常、テストなしでブロックモードまたは警告モードで標準保護規則を有効にすることができます。
通常、 監査 モードですべての ASR ルールを同時に有効にすると、日常のビジネス アクティビティによってトリガーされるルールを決定できます。 ASR ルール チャンピオンまたはデバイスをリング 1 から開始します。
監査モードの ASR ルールは、ユーザーには影響しません。 ただし、ルールでは、評価できるログに記録されたイベントが生成されます。
organizationにMicrosoft Intune (Microsoft 365 E5などのサブスクリプションに含まれているか、アドオンとして使用できる) がある場合は、Intuneの攻撃面縮小エンドポイント セキュリティ ポリシーを使用して、監査モードで ASR 規則を構成して配布します。 手順については、「エンドポイント セキュリティ ポリシーを使用してIntuneで ASR ルールと除外を構成する」を参照してください。
Intuneがない場合は、他の ASR 規則のデプロイ方法を使用できます。
ヒント
ASR ルールに使用する展開方法は、デバイスが Defender for Endpoint に登録されている限り、レポート データには影響しません。
手順 2: ASR ルール データを確認し、影響を評価する
ASR ルールを 監査 モードでデプロイした後、トリガーされたイベントを確認して効果を評価し、次の方法の一部またはすべてを使用して潜在的な除外を特定します。
Defender for Endpoint Plan 2 または Microsoft Defender for Businessで、Microsoft Defender ポータルで攻撃面の削減ルール レポートを使用します。 詳細については、「 攻撃面の縮小 (ASR) ルール レポート」を参照してください。
Defender for Endpoint Plan 2 で、高度なハンティングを使用して ASR ルール イベントを検索します。 詳細については、「 高度なハンティングの ASR ルール イベント」を参照してください。
Defender for Endpoint Plan 2 または Defender for Businessで、Defender for Endpoint デバイス タイムラインを使用します。 詳細については、「デバイスのタイムラインMicrosoft Defender for Endpoint」を参照してください。
それ以外の場合、ASR ルール イベントは、ローカル デバイス上の Windows イベント ビューアーでのみ使用できます。 ただし、 Windows イベント転送を 使用して、ASR ルール データ収集を一元化できます。
具体的には、Applications and Services ログ>Microsoft>Windows>WindowsDefender>Operational ログ (監査モードのルールのイベント) でイベント ID 1122 を探します。 ASR ルール イベント ID の完全な一覧と詳細な手順については、「Windows イベント ビューアーでの攻撃面の縮小イベントの表示」を参照してください。
手順 3: ASR ルールの除外を構成する
監査モードから ASR ルール データを確認すると、一部の ASR ルールで正当なビジネス アプリまたはアクティビティ (偽陽性と呼ばれる) がブロックされる場合があります。 除外を追加して、ASR ルールが影響を受けるファイルまたはフォルダーを評価できないようにすることができます。
ASR ルールでサポートされている除外の種類の概要については、「ASR ルールの ファイルとフォルダーの除外」を参照してください。
Microsoft Intuneの攻撃面縮小エンドポイント セキュリティ ポリシーを使用して ASR ルールを展開する場合は、同じポリシーを使用して ASR ルールの除外を構成します。 手順については、「エンドポイント セキュリティ ポリシーを使用してIntuneで ASR ルールと除外を構成する」を参照してください。
別の方法を使用して ASR ルールをデプロイした場合は、同じメソッドを使用して ASR ルールの除外を構成します。
ヒント
ルールの除外は、ルールをオフにするか 、監査 モードに戻すよりも優れています。 使用可能なルールの 警告 モードを利用して、ルールを完全に無効にせずに中断を制限します。 詳細については、「 ASR ルールのモード」を参照してください。