Microsoft Defender ポータルの攻撃面縮小 (ASR) ルール レポート

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

攻撃面縮小 (ASR) ルール レポートは、organization内のデバイスに適用されるルールに関する詳細な分析情報を提供します。 例:

  • 検出された脅威。
  • ブロックされた脅威。
  • 標準の保護規則を使用して脅威をブロックするように構成されていないデバイス。

レポートには、次のタスクを完了できる使いやすいインターフェイスが用意されています。

  • 脅威の検出を表示します。
  • ASR 規則の構成を表示します。
  • 除外を追加して管理します。
  • 詳細情報を収集します。

ASR ルールの詳細については、「 攻撃面の縮小 (ASR) ルールの概要」を参照してください。

前提条件

サポートされるオペレーティング システム

レポート アクセス許可

この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC): セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り)

  • Defender for Endpoint のアクセス許可 (2025 年 2 月より前に作成された組織で利用可能): データの表示>セキュリティ操作

  • Microsoft Entra のアクセス許可: グローバル管理者*またはセキュリティ管理者グローバル閲覧者、またはセキュリティ閲覧者の役割内のメンバーシップにより、Microsoft 365 の必要なアクセス許可およびその他の機能のアクセス許可をユーザーに付与します。

    重要

    Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

攻撃面の縮小ルール レポート ページ

https://security.microsoft.comのMicrosoft Defender ポータルで、[レポート>Endpoints] タブ>[接続面の縮小ルール] に移動します。 または、[ 攻撃面の縮小ルール ] レポート ページに直接移動するには、 https://security.microsoft.com/asrを使用します。

[ 攻撃面の縮小ルール ] レポート ページでは、次のタブを使用できます。

[検出] タブ

[ 検出 ] タブは、ページの既定のタブです。 攻撃面の縮小ルール レポートの [検出] タブに直接移動するには、https://security.microsoft.com/asrまたはhttps://security.microsoft.com/asr?viewid=detectionsを使用します。

Microsoft Defender ポータルの [攻撃面の縮小ルール] レポート ページを示すスクリーンショット。

既定では、ページの ASR ルール情報では次のフィルターが使用されます。

  • ルール: 保護Standard値は、標準保護規則のデータのみを表示するように既定で選択されていますが、値を [すべて] に変更して、すべての ASR ルールのデータを表示できます。

  • 日付: 過去 30 日間の日付範囲は既定で選択されていますが、[ 開始時刻] と [ 終了時刻 ] の値を過去 30 日以内の範囲に変更できます。

  • [ルールの選択*: 値 [すべて ] が既定で選択されていますが、[ ルール ] フィルター値に基づいて値を変更できます。

    • Standard保護: ドロップダウン リストで 1 つ以上の標準保護規則を選択します。
    • すべて: ドロップダウン リストで 1 つ以上の ASR 規則 (標準保護規則を含む) を選択します。

既定では構成されていない次の追加フィルターを使用するには、[ フィルターの追加] を選択し、使用可能なオプションから選択します。 タブの上部にフィルターが表示されたら、そのフィルターの選択を構成できます。

  • デバイス グループ*: 使用可能な 1 つ以上のデバイス グループを選択します。
  • [ブロック/監査済み]:[ 監査済み] または [ ブロック済み] を選択します。

* このフィルターで使用可能なすべての値を選択するか、値を選択しなかった場合、同じ結果が表示されます。

フィルターを削除するには、[ Clear] を選択します。 すべてのフィルターをリセットするには、[ すべてリセット] を選択します。

フィルターの下とグラフの上に、次の情報が表示されます。

  • 監査検出: 指定されたフィルターを使用した 監査 モードでの ASR ルールによる脅威検出の数。

  • ブロックされた検出: 指定されたフィルターを使用した ブロック モードの ASR ルールによる脅威検出の数。

    監査モードとブロック モードの詳細については、「ASR ルール モード」を参照してください。

グラフには、選択した日付範囲に対する 1 日あたりの監査済み検出とブロック検出が表示されます。 特定の日のデータをポイントすると、現在のフィルターに基づいて 監査 数または ブロック 数が表示されます。

グラフの下の詳細テーブルには、次の情報が含まれています。

  • 検出されたファイル: 可能性のある脅威または既知の脅威が含まれていると判断されたファイル。
  • 検出日: 脅威が検出された日付。
  • Blocked/Audited?: 特定のイベントの検出ルールが ブロック モードか 監査 モードか。
  • ルール: 脅威を検出したルール。
  • ソース アプリ: 検出されたファイルを呼び出したアプリケーション。
  • デバイス: 監査 または ブロック イベントが発生したデバイスの名前。
  • デバイス グループ: デバイスが属するデバイス グループ。
  • ユーザー: 検出されたファイルを開くソース アプリを担当するアカウント (NT AUTHORITY\SYSTEM アカウントのSYSTEMなど)。
  • 発行元: アプリを発行した会社。

列ヘッダーを選択して、その値で並べ替えます。

[ 検索 ] ボックスを使用すると、デバイス ID、ファイル名、またはプロセス名で詳細テーブル内のエントリを検索できます。

GroupBy は、次のオプションを使用して詳細テーブルの情報をグループ化するために使用できます。

  • グループ化なし (既定値)
  • 検出されたファイル
  • 監査またはブロック
  • Rule
  • ソース アプリ
  • デバイス
  • デバイス グループ
  • ユーザー
  • 発行元

ヒント

現時点では、 GroupBy を使用するには、一覧の最後の検出エントリまでスクロールして、完全なデータ セットを読み込む必要があります。 その後、 GroupBy を使用できます。 それ以外の場合、一覧表示された検出の表示可能なページが複数ある結果に対して、結果が正しくありません。

現在、詳細テーブルに一覧表示されている個々の 検出された 項目の数は、200 ルールに制限されています。 [エクスポート] を使用して、検出の完全な一覧を CSV ファイルに保存します。

Defender for Endpoint Plan 2 でトリガーされたすべての ASR ルールを表示するには、 高度なハンティングで DeviceEvents テーブルを使用します。

検出されたファイルの詳細

[検出されたファイル] の値の横にある [チェック] ボックス以外の行をクリックして、[攻撃面の縮小ルール] レポート ページの [検出] タブにある詳細テーブルから検出イベントを選択すると、[ファイル情報の詳細] ポップアップが開き、次の情報が表示されます。

  • [検出] セクション:

    このセクションでは、メイン ページの小さいバージョンのグラフを、ファイルの ASR ルール検出によってフィルター処理して示します。

    このセクションでは、次のアクションを使用できます。

    • Go hunt: Defender for Endpoint Plan 2 では、このアクションにより、検出されたファイル名がクエリで指定された高度なハンティング クエリ ページが開きます。 たとえば、ファイル conhost.exeの場合、クエリは次のようになります。

      DeviceEvents
    | where Timestamp >= ago(1d)
    | where FileName == 'conhost.exe'
    | where ActionType startswith 'Asr'
    | extend ParsedFields=parse_json(AdditionalFields)
    | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
    | take 1000

      高度なハンティングの詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。

    • ファイル ページを開く: Defender for Endpoint で検出されたファイルのファイル エンティティ ページ でファイルを開きます。

  • [考えられる除外と影響 ] セクション: 過去 30 日間の ASR ルールによるファイルの検出に関する詳細 (検出の合計数と割合) が表示されます。

  • ポップアップの下部に除外を追加すると、Microsoft Intune管理センターが開きます。 ASR ルールの除外の構成の詳細については、「 攻撃面の縮小 (ASR) ルールと除外の構成」を参照してください。

[攻撃面の縮小ルール] レポートの [検出] タブにある詳細テーブルからエントリを選択した後の [ファイル情報の詳細] ポップアップを示すスクリーンショット。

[構成] タブ

[攻撃面の縮小ルール] レポート ページの [構成] タブに直接移動するには、https://security.microsoft.com/asr?viewid=configurationを使用します。

Microsoft Defender ポータルの [攻撃面の縮小ルール] レポート ページの [構成] タブのスクリーンショット。

[ 構成] タブには、概要とデバイスごとの ASR ルール構成の詳細が表示されます。

ルール を使用すると、[ デバイス構成の概要 ] セクションで結果をフィルター処理できます。 既定では、Standard保護、標準保護規則のデータのみを表示するように選択されていますが、[すべて] に切り替えてすべての ASR 規則のデータを表示できます。

[デバイス構成の概要] セクションには、Standard保護またはすべてのフィルターに基づく ASR ルールの状態の合計が表示されます。

  • 公開されているすべてのデバイス: 構成されていない ASR 規則を持つデバイスの数。
  • ルールが構成されていないデバイスの数
  • 監査モードの規則を持つデバイスの
  • ブロック モードのルールを持つデバイスの

詳細表は、影響を受けるデバイスごとに次の情報を示しています。

  • デバイス: デバイスの名前。

  • 全体的な構成: デバイス上のすべての ASR 規則の条件を要約します。 例:

    • ブロック モードのルール: デバイスの一部のルールが ブロック モードです。
    • ルールオフ: デバイスの一部のルールがオフになっています。

  • ブロック モードのルール

  • 監査モードのルール

  • 警告モードのルール

    さまざまな ASR ルール モードの詳細については、「 ASR ルール モード」を参照してください。

  • ルールがオフになっている

  • 適用できないルール: たとえば、クライアント ワークステーションの サーバーの Web シェル作成をブロック するルール。

  • 不明

  • デバイス ID: Microsoft Defender for Endpoint内のデバイスの一意の SHA-1 ハッシュ値識別子。 詳細については、「 マシン リソースの種類」を参照してください。

列ヘッダーを選択して、その値で並べ替えます。

[ 検索 ] ボックスを使用して、詳細テーブル内の特定のデバイスを [デバイス ] または [ デバイス ID] の値で見つけます。 部分一致がサポートされています。

デバイスの詳細

行内の任意の場所をクリックして [攻撃面の縮小ルール] レポート ページの [構成] タブの詳細テーブルからデバイス エントリを選択すると、デバイスの詳細ポップアップが開き、次の情報が表示されます。

  • デバイスで使用可能なすべての ASR ルールとその状態の一覧:

  • オフ

  • 監査

  • Block

  • 警告

  • 該当なし

  • ポップアップの下部にあるポリシーに追加すると、Microsoft Intune管理センターが開きます。 ASR 規則を構成するさまざまな方法の詳細については、「ASR 規則 のデプロイと構成方法」を参照してください。

[攻撃面の縮小ルール] レポート ページの [構成] タブにあるデバイスのデバイスの詳細ポップアップのスクリーンショット。

[除外の追加] タブ

重要

ファイルまたはフォルダーを除外すると、ASR 規則によって提供される保護が大幅に低下する可能性があります。 除外されたファイルの実行が許可され、レポートやイベントは記録されません。

ASR ルールが検出すべきでないと思われるファイルを検出している場合は、調査のためにルールを 監査 モード に切り替える必要があります。

[攻撃面の縮小ルール] レポート ページの [除外の追加] タブに直接移動するには、https://security.microsoft.com/asr?viewid=exclusionsを使用します。

Microsoft Defender ポータルの [攻撃面の縮小ルール] レポート ページの [除外の追加] タブのスクリーンショット。

[ 除外の追加] タブには、すべてのデバイスの ASR ルールによるファイル検出が一覧表示されます。

フィルター > ルール または Filter を使用すると、ページ上の結果をフィルター処理できます。 既定では、Standard保護、標準保護規則のデータのみを表示するように選択されていますが、[すべて] に切り替えてすべての ASR 規則のデータを表示できます。

詳細テーブルには、次の情報が表示されます。

  • ファイル名: ASR ルール イベントをトリガーしたファイルの名前。
  • 検出: ファイルの検出されたイベントの合計数。 個々のデバイスで複数の ASR ルール イベントをトリガーできます。
  • デバイス: 検出が発生したデバイスの数。

列ヘッダーを選択して、その値で並べ替えます。

[ 検索 ] ボックスを使用して、ファイル名でエントリを検索します。

予想される影響ウィンドウ & 概要

[ファイル] 列の横にある [チェック] ボックスを選択して、[攻撃面の縮小ルール] レポートの [除外の追加] タブにある詳細テーブルから 1 つ以上のファイル エントリを選択すると、[概要] & 予想される影響ウィンドウに、選択したファイルの情報とアクションが表示されます。

  • [概要 ] セクション: 選択したファイルの数。

  • [<n>検出] セクション: 選択したファイルを ASR ルールから除外した場合、選択したファイルの ASR ルール検出はどうなりますか。

    • 除外されるルール検出の数 (除外後<>検出数が少なくなります)
    • 除外後の実際の検出と検出の数を示すグラフ。

  • [<n>影響を受けるデバイス] セクション: 選択したファイルを ASR ルールから除外した場合、デバイスでの ASR ルール検出はどうなりますか。

    • <n> 影響を受けるデバイス: 影響を受けるデバイスの数 (<n> 除外後のデバイスの数が少なくなります)
    • 引き続き検出を行い、検出なくなったデバイスの数を示すグラフ。

  • [ 概要] & 予想される影響 ウィンドウの下部には、次のアクションを使用できます。

    • 除外の追加: Microsoft Intune管理センターを開きます。 ASR ルールからファイルとフォルダーを除外するさまざまな方法の詳細については、「ASR ルール のファイルとフォルダーの除外」を参照してください。

    • 選択した除外パスを取得する: 影響を受けるファイルへの完全なパスを含む AsrExclusionPaths.csv ファイルを生成してダウンロードします。

[攻撃面の縮小ルール] レポート ページの [除外の追加] タブを示すスクリーンショット。ファイル エントリが選択されています。

関連コンテンツ

  • Last updated on