攻撃面の縮小ルールのトラブルシューティング

適用対象:

• Microsoft Defender for Endpointプラン 1 と 2
• Microsoft Defender XDR

最初の最も直接的な方法は、Windows デバイスでローカルにチェックすることです。攻撃面の縮小ルールが有効になっている (およびその構成) には、PowerShell コマンドレットを使用します。

攻撃面の縮小ルールの影響と操作をトラブルシューティングするために、Windows が提供するその他のいくつかの情報ソースを次に示します。

攻撃面の縮小ルールを使用すると、次のような問題が発生する可能性があります。

• ルールは、ファイルをブロックしたり、処理したり、(誤検知)してはならない他のアクションを実行したりします。又は
• ルールは説明どおりに機能しないか、または必要なファイルまたはプロセスをブロックしません (false 負)。

これらの問題をトラブルシューティングするには、次の 4 つの手順があります。

1. 前提条件を確認します。
2. 監査モードを使用してルールをテストします。
3. 指定したルールの除外を追加 します (誤検知の場合)。
4. サポート ログを収集して送信します。

前提条件を確認する

攻撃面の縮小ルールは、次の条件を持つデバイスでのみ機能します。

• デバイスはWindows 10 Enterprise以降で実行されています。
• デバイスは、唯一のウイルス対策保護アプリとしてMicrosoft Defenderウイルス対策を使用しています。 他のウイルス対策アプリを使用すると、Microsoft Defenderウイルス対策自体が無効になります。
• リアルタイム保護 が有効になっています。
• 監査モードが有効になっていません。 「攻撃面の縮小ルールを有効にする」の説明に従って、グループ ポリシーを使用してルールをDisabled (値: 0) に設定します。

これらの前提条件が満たされている場合は、次の手順に進み、監査モードでルールをテストします。

グループ ポリシーを使用して攻撃面の縮小ルールを設定する場合のベスト プラクティス

グループ ポリシーを使用して攻撃面の縮小ルールを設定する場合は、一般的な間違いを避けるためにいくつかのベスト プラクティスを次に示します。

1. 攻撃面の縮小ルールの GUID を追加するときに、GUID の先頭または末尾に 二重引用符 ("ASR ルール GUID" など) がないことを確認します。

2. 攻撃面の縮小ルールの GUID を追加するときに、先頭または末尾に スペースがないことを 確認します。

アクティブなルールのクエリ

攻撃面の縮小ルールが既に有効になっているかどうかを判断する最も簡単な方法の 1 つは、PowerShell コマンドレット Get-MpPreference を使用することです。

次に例を示します:

複数の攻撃面縮小ルールがアクティブであり、異なるアクションが構成されています。

攻撃面の縮小ルールに関する情報を拡張するには、プロパティ AttackSurfaceReductionRules_Ids や AttackSurfaceReductionRules_Actionsを使用できます。

例:

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids

上の図は、0 (未構成) とは異なる設定を持つ攻撃面の縮小ルールのすべての ID を示しています。

次の手順では、各ルールが構成されている実際のアクション (ブロックまたは監査) を一覧表示します。

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions

監査モードを使用してルールをテストする

「デモ ツールを使用する」の手順に従って、問題が発生している特定のルールをテストするために 攻撃面の縮小ルールがどのように機能するかを確認 します。

1. テストする特定のルールの監査モードを有効にします。 「攻撃面の縮小ルールを有効にする」の説明に従って、グループ ポリシーを使用してルールをAudit mode (値: 2) に設定します。 監査モードでは、ルールでファイルまたはプロセスを報告できますが、実行は許可されます。

2. 問題の原因となっているアクティビティを実行します。 たとえば、ファイルを開くか、ブロックする必要があるが許可されているプロセスを実行します。

3. 攻撃対象領域の縮小ルール イベント ログ を確認して、ルールが Enabled に設定されている場合に、ルールによってファイルまたはプロセスがブロックされるかどうかを確認します。

ルールがブロックする必要があるファイルまたはプロセスをブロックしていない場合は、最初に監査モードが有効になっているかどうかを確認するチェック。 監査モードは、別の機能のテストまたは自動 PowerShell スクリプトによって有効になっている場合があり、テストが完了した後は無効にならない場合があります。

デモ ツールと監査モードでルールをテストし、攻撃面の縮小ルールが事前構成済みのシナリオで動作しているが、ルールが期待どおりに機能しない場合は、状況に基づいて次のいずれかのセクションに進みます。

• 攻撃面の縮小ルールがブロックしてはならないもの (誤検知とも呼ばれます) をブロックしている場合は、 最初に攻撃面の縮小ルールの除外を追加できます。
• 攻撃面の縮小ルールがブロックする必要のあるものをブロックしていない場合 (偽陰性とも呼ばれます)、最後の手順に直ちに進み、 診断データを収集し、問題を Microsoft に送信できます。

ブロックイベントと監査イベントのクエリ

攻撃面の縮小ルール イベントは、Windows Defender ログ内で表示できます。

アクセスするには、Windows イベント ビューアーを開き、アプリケーションとサービス ログ>Microsoft>Windows>Windows Defender>Operational を参照します。

誤検知の除外を追加する

攻撃対象領域の縮小ルールでブロックしてはならないもの (誤検知とも呼ばれます) がブロックされている場合は、除外を追加して、攻撃面の縮小ルールが除外されたファイルまたはフォルダーを評価できないようにすることができます。

除外を追加するには、「 攻撃面の縮小をカスタマイズする」を参照してください。

重要

除外する個々のファイルとフォルダーを指定できますが、個々のルールを指定することはできません。 これは、すべての ASR 規則から除外されるファイルまたはフォルダーを意味します。

誤検知または偽陰性を報告する

ネットワーク保護の偽陰性または誤検知を報告するには、Microsoft セキュリティ インテリジェンス Web ベースの送信フォームを使用します。 Windows E5 サブスクリプションでは、 関連付けられているアラートへのリンクを指定することもできます。

ファイルの送信Microsoft Defenderマルウェア対策の診断データを収集する

攻撃面の縮小ルールに関する問題を報告すると、問題のトラブルシューティングに役立つ Microsoft サポートチームとエンジニアリング チームの診断データを収集して送信するように求められます。

MDE クライアント アナライザーの使用

1. MDE クライアント アナライザーをダウンロードします。

2. ライブ応答またはローカルを使用して、MDE クライアント アナライザーを実行します。

   ヒント

   複製の試行中にログ収集が行われるようにします。 また、問題の再現に不可欠でないアプリケーションを閉じます。

3. -v スイッチを使用して、MDE クライアント アナライザーを実行します。

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -v
   

手動プロセス

1. 管理者としてコマンド プロンプトを開き、Windows Defender ディレクトリを開きます。

   cd "c:\program files\Windows Defender"
   

2. 診断ログを生成するには、次のコマンドを実行します。

   mpcmdrun -getfiles
   

3. 既定では、 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabに保存されます。 提出フォームにファイルを添付します。

また、Microsoft Defender ウイルス対策専用コマンド ライン ツール (*mpcmdrun.exe*) を使用してルール イベントを表示することもできます。これは、必要に応じてタスクの管理と構成、自動化に使用できます。

このユーティリティは 、%ProgramFiles%\Windows Defender\MpCmdRun.exeにあります。 管理者特権のコマンド プロンプト (つまり、管理として実行) から実行する必要があります。

サポート情報を生成するには、「 MpCmdRun.exe -getfiles」と入力します。 しばらくすると、いくつかのログがアーカイブ (MpSupportFiles.cab) にパッケージ化され、 C:\ProgramData\Microsoft\Windows Defender\Supportで使用できるようになります。

そのアーカイブを抽出すると、トラブルシューティングのために多くのファイルを使用できます。

最も関連性の高いファイルは次のとおりです。

• MPOperationalEvents.txt: このファイルには、Windows Defender の運用ログのイベント ビューアーにあるのと同じレベルの情報が含まれています。
• MPRegistry.txt: このファイルでは、サポート ログがキャプチャされた時点から、現在のすべての Windows Defender 構成を分析できます。
• MPLog.txt: このログには、Windows Defender のすべてのアクション/操作に関する詳細情報が含まれています。

関連記事

• 攻撃面の減少ルール
• 攻撃面の減少ルールを有効にする
• 攻撃面の減少ルールを評価する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。