Windows イベントビューアーの攻撃面縮小イベント

適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

イベントビューアーでのイベントの確認は、攻撃面の縮小機能を評価するときに役立ちます。たとえば、機能または設定の監査モードを有効にし、それらが完全に有効になっている場合の動作を確認できます。攻撃面の縮小機能が完全に有効になっている場合の効果を表示することもできます。

この記事では、Windows イベントビューアーを使用して、攻撃面の縮小 (ASR) 機能からイベントを表示する方法について説明します。

攻撃面の縮小イベントを表示するには、この記事の残りの部分で説明されているように、次のオプションがあります。

Windows イベントビューアーで攻撃面の縮小イベントを参照する: イベントビューアーの攻撃面縮小イベントに移動する方法と、各攻撃面の縮小機能のイベント ID。
Windows イベントビューアーでカスタムビューを使用して攻撃面の縮小イベントを表示する: カスタムビューを作成またはインポートして、特定の ASR 機能とすぐに使用できる XML クエリテンプレートのイベントビューアーをフィルター処理する方法。

ヒント

Windows イベント転送を使用して、複数のデバイスから攻撃面の縮小イベントコレクションを一元化できます。

Microsoft Defender ポータルには、Windows イベントビューアーよりも使いやすい攻撃面の縮小機能に関するレポートも用意されています。

Windows イベントビューアーで攻撃面の縮小イベントを参照する

すべての攻撃面の縮小イベントは、 アプリケーションとサービスログにあります。攻撃面の縮小イベントを表示するには、次の手順を実行します。

[スタート] を選択し、「イベントビューアー」と入力し、Enter キーを押してイベントビューアーを開きます。
イベントビューアーで、[アプリケーションとサービスログ>Microsoft>Windows] を展開します。
次のサブセクションで説明されているように、さまざまな種類の攻撃面の縮小イベントのパスを引き続き展開します。
次のサブセクションの説明に従って、表示するイベントを検索してフィルター処理します。

ASR ルールイベント

ASR ルールイベントは、Windows Defender>Operational ログにあります。

イベント ID	説明
1121	ルールがブロックモードで発生した場合のイベント
1122	監査モードでルールが発生した場合のイベント
1129	ユーザーが警告モードでブロックをオーバーライドした場合のイベント
5007	設定が変更されたときのイベント

フォルダーアクセスの制御イベント

フォルダーアクセスの制御イベントは、 Windows Defender>Operational にあります。

イベント ID	説明
5007	設定が変更されたときのイベント
1124	監査対象のフォルダーアクセスイベント
1123	ブロックされたフォルダーアクセスイベント
1127	ブロックされたフォルダーアクセスセクターの書き込みブロックイベント
1128	監査されたフォルダーアクセスセクターの書き込みブロックイベント

Exploit Protection イベント

次のエクスプロイト保護イベントは、 Security-Mitigations>Kernel Mode と Security-Mitigations>User Mode ログにあります。

イベント ID	説明
1	ACG の監査
2	ACG の実施
3	[Do not allow child processes] (子プロセスを許可しない) 監査
4	[Do not allow child processes] (子プロセスを許可しない) ブロック
5	[Block low integrity images] (整合性が低いイメージのブロック) 監査
6	[Block low integrity images] (整合性が低いイメージのブロック) ブロック
7	[Block remote images] (リモートイメージのブロック) 監査
8	[Block remote images] (リモートイメージのブロック) ブロック
9	[Disable win32k system calls] (win32k システム呼び出しの無効化) 監査
10	[Disable win32k system calls] (win32k システム呼び出しの無効化) ブロック
11	[Code integrity guard] (コードの整合性の保護) 監査
12	[Code integrity guard] (コードの整合性の保護) ブロック
13	EAF の監査
14	EAF の実施
15	EAF+ の監査
16	EAF+ の実施
17	IAF の監査
18	IAF の実施
19	ROP StackPivot の監査
20	ROP StackPivot の実施
21	ROP CallerCheck の監査
22	ROP CallerCheck の実施
23	ROP SimExec の監査
24	ROP SimExec の実施

次のエクスプロイト保護イベントは 、WER-Diagnostics>Operational ログにあります。

イベント ID	説明
5	CFG のブロック

次のエクスプロイト保護イベントは、 Win32k>Operational ログにあります。

イベント ID	説明
260	信頼されていないフォント

ネットワーク保護イベント

ネットワーク保護イベントは、 Windows Defender>Operational にあります。

イベント ID	説明
5007	設定が変更されたときのイベント
1125	監査モードでネットワーク保護が起動した場合のイベント
1126	ブロックモードでネットワーク保護が発生した場合のイベント

Windows イベントビューアーでカスタムビューを使用して攻撃面の縮小イベントを表示する

Windows イベントビューアーでカスタムビューを作成して、特定の攻撃面の縮小機能のイベントのみを表示できます。最も簡単な方法は、カスタムビューを XML ファイルとしてインポートすることです。 XML をイベントビューアーに直接コピーすることもできます。

すぐに使用できる XML テンプレートについては、「攻撃面の縮小イベント用のカスタム XML テンプレート」セクションを参照してください。

既存の XML カスタムビューをインポートする

空の .txt ファイルを作成し、使用するカスタムビューの XML を .txt ファイルにコピーします。使用するカスタムビューごとに、この手順を実行します。ファイルの名前を次のように変更します (型を .txt から .xml に変更してください)。
- フォルダーアクセスイベントのカスタムビューの制御: cfa-events.xml
- Exploit Protection イベントのカスタムビュー: ep-events.xml
- 攻撃面縮小イベントのカスタムビュー: asr-events.xml
- ネットワーク保護イベントのカスタムビュー: np-events.xml
[スタート] を選択し、「イベントビューアー」と入力し、Enter キーを押してイベントビューアーを開きます。
[ アクション>Import Custom View...] を選択します。
目的のカスタムビューの XML ファイルに移動して選択します。
[開く]を選択します。

カスタムビューは、その機能に関連するイベントのみを表示するようにフィルター処理します。

XML を直接コピーする

[スタート] を選択し、「イベントビューアー」と入力し、Enter キーを押してイベントビューアーを開きます。
[操作] ウィンドウで、[カスタムビューの作成]を選択します。
[XML] タブに移動し、 手動で [クエリの編集] を選択します。 XML オプションを使用する場合、[ フィルター ] タブを使用してクエリを編集できないことを示す警告が表示されます。 [はい] を選択します。
イベントをフィルター処理する機能の XML コードを XML セクションに貼り付けます。
[OK] を選択します。フィルターの名前を指定します。カスタムビューは、その機能に関連するイベントのみを表示するようにフィルター処理します。

攻撃面の縮小イベント用のカスタム XML テンプレート

攻撃面の縮小ルールイベントの XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
  </Query>
</QueryList>

制御されたフォルダーアクセスイベントの XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
  </Query>
</QueryList>

エクスプロイト保護イベント用の XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

ネットワーク保護イベントの XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-05-23

Windows イベント ビューアーの攻撃面縮小イベント

Windows イベント ビューアーで攻撃面の縮小イベントを参照する

ASR ルール イベント

フォルダー アクセスの制御イベント