Microsoft 以外の HIPS から攻撃面の縮小ルールへの移行

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

この記事では、一般的なルールをMicrosoft Defender for Endpointにマップするのに役立ちます。

Microsoft HIPS 以外の製品から攻撃面の縮小ルールに移行するときのシナリオ

特定のファイルの作成をブロックする

• 適用対象 - すべてのプロセス
• 操作 - ファイルの作成
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービス - *.zepto、*.odin、*.locky、*.jaff、*.lukitus、*.wnry、*.krab の例
• 攻撃面の縮小ルール - 攻撃面の縮小ルールは、侵害のインジケーター (IOC) ではなく、攻撃手法をブロックします。 特定のファイル拡張子をブロックすることは、デバイスの侵害を防ぐわけではないため、常に役立つわけではありません。 攻撃者がペイロードの新しい種類の拡張機能を作成するまで、攻撃を部分的に阻止するだけです。
• その他の推奨機能 - Microsoft Defenderウイルス対策を有効にし、Cloud Protection と動作分析を強くお勧めします。 攻撃表面の縮小ルールランサムウェアに 対する高度な保護を使用するなど、ランサムウェア攻撃に対するより高いレベルの保護を提供するなど、他の防止を使用することをお勧めします。 さらに、Microsoft Defender for Endpointは、特定のアラートをトリガーする ASEP 手法など、これらのレジストリ キーの多くを監視します。 使用するレジストリ キーには、最小限のローカル 管理または信頼されたインストーラー特権を変更できる必要があります。 最小限の管理アカウントまたは権限を持つロックダウン環境を使用することをお勧めします。 その他のシステム構成を有効にできます。これには、セキュリティに関するより広範な推奨事項の一部である非 必要なロールに対して SeDebug を無効にする などがあります。

特定のレジストリ キーの作成をブロックする

• 適用対象 - すべてのプロセス
• プロセス - N/A
• 操作 - レジストリの変更
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービス- の例\Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image ファイル実行オプション*\デバッガー, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• 攻撃面の縮小ルール - 攻撃面の縮小ルールは、侵害のインジケーター (IOC) ではなく、攻撃手法をブロックします。 特定のファイル拡張子をブロックすることは、デバイスの侵害を防ぐことがないため、常に役立つわけではありません。 攻撃者がペイロードの新しい種類の拡張機能を作成するまで、攻撃を部分的に阻止するだけです。
• その他の推奨機能 - Microsoft Defenderウイルス対策を有効にし、Cloud Protection と動作分析を強くお勧めします。 攻撃面の縮小ルールランサムウェアに 対する高度な保護を使用するなど、追加の防止を使用することをお勧めします。 これにより、ランサムウェア攻撃に対するより高いレベルの保護が提供されます。 さらに、Microsoft Defender for Endpointは、特定のアラートをトリガーする ASEP 手法など、これらのレジストリ キーのいくつかを監視します。 さらに、使用するレジストリ キーには、最小限のローカル 管理または信頼されたインストーラー特権を変更できる必要があります。 最小限の管理アカウントまたは権限を持つロックダウン環境を使用することをお勧めします。 その他のシステム構成を有効にできます。これには、セキュリティに関するより広範な推奨事項の一部である非 必要なロールに対して SeDebug を無効にする などがあります。

信頼されていないプログラムがリムーバブル ドライブから実行されないようにブロックする

• 適用対象- USB からの信頼されていないプログラム
• プロセス - *
• Operation- Process Execution
• * ファイル/フォルダー、レジストリ キー/値、プロセス、サービスの例:-
• 攻撃面の縮小ルール - 攻撃面の縮小ルールには、リムーバブル ドライブからの信頼されていないプログラムと署名されていないプログラムの起動を防ぐための組み込みルールがあります。 USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックします。GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4。
• その他の推奨機能 - Microsoft Defender for Endpointを使用して USB デバイスやその他のリムーバブル メディアの詳細なコントロールを確認してください:Microsoft Defender for Endpointを使用して USB デバイスやその他のリムーバブル メディアを制御する方法。

Mshta が特定の子プロセスを起動できないようにブロックする

• 適用対象- Mshta
• プロセス - mshta.exe
• Operation- Process Execution
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービス - powershell.exe、cmd.exe、regsvr32.exe の例
• 攻撃表面の縮小ルール - 攻撃表面の縮小ルールには、子プロセスが mshta.exeされるのを防ぐための特定のルールは含まれません。 このコントロールは、Exploit Protection または Windows Defender アプリケーションコントロールの送金内にあります。
• その他の推奨機能 - Windows Defenderアプリケーション制御を有効にして、mshta.exe が完全に実行されないようにします。 organizationで基幹業務アプリの mshta.exeが必要な場合は、特定のWindows Defender Exploit Protection ルールを構成して、mshta.exe が子プロセスを起動しないようにします。

子プロセスの起動から Outlook をブロックする

• 適用対象 - Outlook
• プロセス - outlook.exe
• Operation- Process Execution
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービスの例 - powershell.exe
• 攻撃表面の縮小ルール - 攻撃面の縮小ルールには、Office 通信アプリ (Outlook、Skype、Teams) が子プロセスを起動できないようにするための組み込みのルールがあります。 Office 通信アプリケーションが子プロセスを作成できないようにします。GUID 26190899-1602-49e8-8b27-eb1d0a1ce869。
• その他の推奨機能 - PowerShell からの攻撃面を最小限に抑えるために、PowerShell の制約付き言語モードを有効にすることをお勧めします。

Office アプリが子プロセスを起動できないようにブロックする

• 適用対象 - Office
• プロセス - winword.exe、powerpnt.exe、excel.exe
• Operation- Process Execution
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービス - powershell.exe、cmd.exe、wscript.exe、mshta.exe、EQNEDT32.EXE、regsrv32.exe の例
• 攻撃表面の縮小ルール - 攻撃面の縮小ルールには、Office アプリによる子プロセスの起動を防ぐための組み込みルールがあります。 すべての Office アプリケーションが子プロセスを作成できないようにします。GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a。
• その他の推奨機能 - N/A

Office Apps による実行可能コンテンツの作成をブロックする

• 適用対象 - Office
• プロセス - winword.exe、powerpnt.exe、excel.exe
• 操作 - ファイルの作成
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービスの例- C:\Users*\AppData**.exe、 C:\ProgramData**.exe、C:\ProgramData**.com、C:\UsersAppData\Local\Temp**.com、C:\Users\Downloads**.exe、C:\Users*\AppData**.scf、C:\ProgramData**.scf、C:\Users\Public*.exe、C:\Users*\Desktop***.exe
• 攻撃面の縮小ルール - N/A。

特定の種類のファイルの読み取りから Wscript をブロックする

• 適用対象 - Wscript
• プロセス - wscript.exe
• 操作 - ファイルの読み取り
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービスの例- C:\Users*\AppData**.js、C:\Users*\Downloads**.js
• 攻撃表面の縮小ルール - 信頼性とパフォーマンスの問題のため、攻撃表面の縮小ルールには、特定のプロセスが特定のスクリプト ファイルの種類を読み取るのを防ぐ機能がありません。 これらのシナリオから発生する可能性のある攻撃ベクトルを防ぐルールがあります。 ルール名は 、ダウンロードされた実行可能コンテンツの起動を JavaScript または VBScript でブロック します (GUID d3e037e1-3eb8-44c8-a917-57927947596d) および 難読化される可能性のあるスクリプトのブロック実行 (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*)。
• その他の推奨機能 - これらのシナリオには特定の攻撃ベクトルを軽減する特定の攻撃面の縮小ルールがありますが、AV が既定でスクリプト (PowerShell、Windows スクリプト ホスト、JavaScript、VBScript など) をマルウェア対策スキャン インターフェイス (AMSI) を介してリアルタイムで検査できることをメンションすることが重要です。 詳細については、 マルウェア対策スキャン インターフェイス (AMSI) を参照してください。

子プロセスの起動をブロックする

• 適用対象 - Adobe Acrobat
• プロセス - AcroRd32.exe、Acrobat.exe
• Operation- Process Execution
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービス - cmd.exe、powershell.exe、wscript.exe の例
• 攻撃面の縮小ルール - 攻撃面の縮小ルールを使用すると、Adobe Reader が子プロセスを起動するのをブロックできます。 ルール名は、子プロセス GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c の作成をブロックする Adobe Reader です。
• その他の推奨機能 - N/A

実行可能コンテンツのダウンロードまたは作成をブロックする

• 適用対象- CertUtil: 実行可能ファイルのダウンロードまたは作成をブロックする
• プロセス - certutil.exe
• 操作 - ファイルの作成
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービスの例 - *.exe
• 攻撃表面の縮小ルール - 攻撃表面の縮小ルールは、ウイルス対策保護の一部であるため、これらのシナリオMicrosoft Defenderサポートされていません。
• その他の推奨機能 - Microsoft Defenderウイルス対策により、CertUtil が実行可能なコンテンツを作成またはダウンロードできなくなります。

重要なシステム コンポーネントの停止からプロセスをブロックする

• 適用対象 - すべてのプロセス
• プロセス - *
• Operation- Process Termination
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービス - MsSense.exe、MsMpEng.exe、NisSrv.exe、svchost.exe*、services.exe、csrss.exe、smss.exe、wininit.exe などの例。
• 攻撃表面の縮小ルール - 攻撃面の縮小ルールは、Windows 組み込みのセキュリティ保護で保護されているため、これらのシナリオをサポートしていません。
• その他の推奨機能 - ELAM (早期起動マルウェア対策)、PPL (保護プロセス ライト)、PPL マルウェア対策ライト、System Guard。

特定の起動プロセスの試行をブロックする

• 適用対象- 特定のプロセス
• プロセス- プロセスに名前を付けます
• Operation- Process Execution
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービス - tor.exe、bittorrent.exe、cmd.exe、powershell.exe などの例
• 攻撃面の縮小ルール - 全体的に、攻撃面の縮小ルールは、アプリケーション マネージャーとして機能するように設計されていません。
• その他の推奨機能 - ユーザーが特定のプロセスやプログラムを起動できないようにするには、アプリケーションコントロールWindows Defender使用することをお勧めします。 Microsoft Defender for Endpointファイルと証明書のインジケーターは、インシデント対応シナリオで使用できます (アプリケーション制御メカニズムと見なすべきではありません)。

Microsoft Defenderウイルス対策構成に対する未承認の変更をブロックする

• 適用対象 - すべてのプロセス
• プロセス - *
• 操作 - レジストリの変更
• ファイル/フォルダー、レジストリ キー/値、プロセス、サービスの例- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware、HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring など。
• 攻撃 Surface の縮小ルール- 攻撃面の縮小ルールは、組み込みの保護の一部であるため、これらのシナリオをカバー Microsoft Defender for Endpointしません。
• その他の推奨機能 - 改ざん防止 (オプトイン、Intuneから管理) により、DisableAntiVirus、DisableAntiSpyware、DisableRealtimeMonitoring、DisableOnAccessProtection、DisableBehaviorMonitoring、DisableIOAVProtection レジストリ キー (その他) への不正な変更が防止されます。

関連項目

• 攻撃面の減少の FAQ
• 攻撃面の減少ルールを有効にする
• 攻撃面の減少ルールを評価する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。