攻撃面の減少ルールのデモンストレーション
適用対象:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender ウイルス対策
攻撃表面の縮小ルールは、通常、マルウェアや悪意のあるアプリによってコンピューターに感染するために使用される特定の動作を対象としています。次に例を示します。
- ファイルのダウンロードまたは実行を試みる Office アプリまたは Web メールで使用される実行可能ファイルとスクリプト
- 難読化されたスクリプト、またはその他の疑わしいスクリプト
- 通常の毎日の作業中に開始されないアプリが実行する動作
シナリオの要件とセットアップ
- Windows 11、Windows 10 1709 ビルド 16273 以降
- 統合されたMDE クライアントを使用する Windows Server 2022、Windows Server 2019、Windows Server 2016、または Windows Server 2012 R2。
- Microsoft Defender ウイルス対策
- Microsoft 365 Apps (Office;Office ルールとサンプルに必要)
- 攻撃面の縮小 PowerShell スクリプトをダウンロードする
PowerShell コマンド
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
ルールの状態
| 状態コード | モード | 数値 |
|---|---|---|
| 無効 | = オフ | 0 |
| Enabled | = ブロック モード | 1 |
| 監査 | = 監査モード | 2 |
構成を確認する
Get-MpPreference
テスト ファイル
注 - 一部のテスト ファイルには複数のエクスプロイトが埋め込まれており、複数のルールがトリガーされます
| ルール名 | ルール GUID |
|---|---|
| 電子メール クライアントと Web メールから実行可能なコンテンツをブロックする | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Office アプリケーションによる子プロセスの作成をブロックする | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Office アプリケーションによる実行可能コンテンツの作成をブロックする | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Office アプリケーションが他のプロセスに挿入されないようにする | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| JavaScript と VBScript をインペデして実行可能ファイルを起動する | D3E037E1-3EB8-44C8-A917-57927947596D |
| 難読化される可能性のあるスクリプトの実行をブロックする | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Office のマクロ コードからの Win32 インポートをブロックする | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {PSExec & WMI コマンドからのプロセス作成をブロックする | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| リムーバブル USB メディア内の信頼されていない実行可能ファイルまたは署名されていない実行可能ファイルの実行をブロックする | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| 積極的なランサムウェア防止 | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Adobe Reader による子プロセスの作成をブロックする | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| 悪用された脆弱な署名付きドライバーの悪用をブロックする | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| WMI イベント サブスクリプションを使用して永続化をブロックする | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| サーバーの Web シェル作成をブロックする | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
シナリオ
セットアップ
この セットアップ スクリプトをダウンロードして実行します。 スクリプトを実行する前に、次の PowerShell コマンドを使用して実行ポリシーを無制限に設定します。
Set-ExecutionPolicy Unrestricted
代わりに、次の手動手順を実行できます。
- c: という名前の demo、"c:\demo" の下のフォルダーをCreateします
- このクリーン ファイルを c:\demo に保存します。
- PowerShell コマンドを使用して、すべてのルールを有効にします。
シナリオ 1: 攻撃面の縮小によって、複数の脆弱性を持つテスト ファイルがブロックされる
- PowerShell コマンドを使用してブロック モードですべてのルールを有効にする (すべてをコピーして貼り付けることができます)
- いずれかのテスト ファイル/ドキュメントをダウンロードして開き、メッセージが表示されたら編集とコンテンツを有効にします。
シナリオ 1 の予想される結果
"アクションがブロックされました" という通知がすぐに表示されます。
シナリオ 2: ASR ルールによって、対応する脆弱性を持つテスト ファイルがブロックされる
前の手順の PowerShell コマンドを使用して、テストするルールを構成します。
例:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabledテストするルールのテスト ファイル/ドキュメントをダウンロードして開き、メッセージが表示されたら編集とコンテンツを有効にします。
例: Office アプリケーションで子プロセスの作成をブロック する D4F940AB-401B-4EFC-AADC-AD5F3C50688A
シナリオ 2 予想される結果
"アクションがブロックされました" という通知がすぐに表示されます。
シナリオ 3 (Windows 10 以降): ASR ルールは、署名されていない USB コンテンツの実行をブロックします
- USB 保護
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4() の規則を構成します。
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- ファイルをダウンロードして USB スティックに置き、 リムーバブル USB メディア内の信頼されていない実行可能ファイルまたは署名されていない実行可能ファイルのブロック実行を実行します
シナリオ 3 予想される結果
"アクションがブロックされました" という通知がすぐに表示されます。
シナリオ 4: 攻撃面の縮小なしで何が起こるか
クリーンアップ セクションの PowerShell コマンドを使用して、攻撃面の縮小ルールをすべてオフにします。
テスト ファイル/ドキュメントをダウンロードし、メッセージが表示されたら編集とコンテンツを有効にします。
シナリオ 4 予想される結果
- c:\demo のファイルは暗号化されており、警告メッセージが表示されます
- テスト ファイルをもう一度実行してファイルの暗号化を解除する
クリーンアップ
このクリーンスクリプトをダウンロードして実行する
または、次の手動手順を実行できます。
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
暗号化/暗号化解除ファイルを実行して c:\demo 暗号化をクリーンアップする
関連項目
Microsoft Defender for Endpoint - デモンストレーション シナリオ
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示