Microsoft Defender for Businessで攻撃面の縮小ルールを有効にする

攻撃面は、organizationのネットワークとデバイスがサイバー脅威や攻撃に対して脆弱であるすべての場所と方法です。 セキュリティで保護されていないデバイス、会社のデバイス上の任意の URL への無制限のアクセス、会社のデバイス上での任意の種類のアプリまたはスクリプトの実行を許可することは、すべての攻撃対象の例です。 企業はサイバー攻撃に対して脆弱なままにします。

ネットワークとデバイスの保護に役立つMicrosoft Defender for Businessには、攻撃面の縮小ルールなど、いくつかの攻撃面の縮小機能が含まれています。 この記事では、攻撃面の縮小ルールを設定する方法と、攻撃面の縮小機能について説明します。

注:

Intuneは Defender for Business のスタンドアロン バージョンには含まれていませんが、追加することはできます。

標準保護 ASR 規則

攻撃面の縮小ルールは多数用意されています。 すべてを一度に設定する必要はありません。 また、一部のルールを監査モードで設定して、organizationの動作を確認し、後でブロック モードで動作するように変更することができます。 つまり、次の標準保護規則をできるだけ早く有効にすることをお勧めします。

• Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする
• 悪用された脆弱な署名付きドライバーの悪用をブロックする
• WMI イベント サブスクリプションを使用して永続化をブロックする

これらのルールは、ネットワークとデバイスを保護するのに役立ちますが、ユーザーの中断を引き起こすべきではありません。 Intuneを使用して、攻撃面の縮小ルールを設定します。

Intuneを使用して ASR ルールを設定する

1. グローバル管理者として、Microsoft Intune管理センター (https://intune.microsoft.com/) で、[エンドポイント セキュリティ>攻撃面の縮小] に移動します。

2. [Create ポリシー] を選択して、新しいポリシーを作成します。

   • [プラットフォーム] で、Windows 10、Windows 11、および Windows Server を選択します。
   • [プロファイル] で、[攻撃面の縮小規則] を選択し、[Create] を選択します。

3. 次のようにポリシーを設定します。

   1. 名前と説明を指定し、[ 次へ] を選択します。

   2. 少なくとも次の 3 つのルールについて、それぞれを [ブロック] に設定します。

      • Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする
      • WMI イベント サブスクリプションを使用して永続化をブロックする
      • 悪用された脆弱な署名付きドライバーの悪用をブロックする

      [次へ] を選択します。

   3. [ スコープ タグ ] ステップで、[ 次へ] を選択します。

   4. [ 割り当て] ステップで、ルールを受信するユーザーまたはデバイスを選択し、[ 次へ] を選択します。 ([ すべてのデバイスの追加] を選択することをお勧めします)。

   5. [確認と作成] 手順で情報を確認し、[Create] を選択します。

ヒント

必要に応じて、最初に監査モードで攻撃面の縮小ルールを設定して、ファイルまたはプロセスが実際にブロックされる前に検出を確認できます。 攻撃面の縮小ルールの詳細については、「 攻撃面の縮小ルールの展開の概要」を参照してください。

攻撃面の縮小レポートを表示する

Defender for Business には、攻撃面の縮小ルールがどのように機能しているかを示す攻撃面の縮小レポートが含まれています。

1. グローバル管理者として、Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [レポート] を選択します。

2. [ エンドポイント] で、[ 攻撃面の縮小ルール] を選択します。 レポートが開き、次の 3 つのタブが含まれます。

   • 検出: 攻撃面の縮小ルールの結果として発生した検出を表示できる場所
   • 標準保護規則またはその他の攻撃面の縮小ルールのデータを表示できる構成
   • 除外を追加します。ここで、攻撃面の縮小ルールから除外する項目を追加できます (除外は控えめに使用します。除外するたびにセキュリティ保護のレベルが低下します)

攻撃面の縮小ルールの詳細については、次の記事を参照してください。

• 攻撃面の縮小ルールの概要
• 攻撃面の減少ルールのレポート
• 攻撃面の縮小ルールリファレンス
• 攻撃面の縮小ルールの展開の概要

Defender for Business の攻撃面の縮小機能

攻撃面の縮小ルールは、Defender for Business で使用できます。 次の表は、Defender for Business の攻撃面の縮小機能をまとめたものです。 次世代の保護や Web コンテンツのフィルター処理など、他の機能が攻撃面の縮小機能と連携する方法に注目してください。

機能	設定方法
攻撃面の減少ルール 悪意のあるアクティビティに一般的に関連付けられている特定のアクションを Windows デバイスで実行しないようにします。	標準の保護攻撃面の縮小ルールを有効にします (この記事のセクション)。
制御されたフォルダー アクセス フォルダーアクセスの制御により、信頼されたアプリのみが Windows デバイス上の保護されたフォルダーにアクセスできます。 この機能はランサムウェアの軽減策と考えてください。	Microsoft Defender for Businessで制御されたフォルダー アクセス ポリシーを設定します。
ネットワーク保護 ネットワーク保護により、ユーザーは Windows および Mac デバイス上のアプリケーションを通じて危険なドメインにアクセスできなくなります。 ネットワーク保護は、Microsoft Defender for Businessでの Web コンテンツ フィルター処理の重要なコンポーネントでもあります。	デバイスが Defender for Business にオンボードされ、Defender for Business の 次世代保護ポリシー が適用されている場合、ネットワーク保護は既定で既に有効になっています。 既定のポリシーは、推奨されるセキュリティ設定を使用するように構成されています。
Web 保護 Web 保護は Web ブラウザーと統合され、ネットワーク保護と連携して、Web の脅威や望ましくないコンテンツから保護します。 Web 保護には、Web コンテンツのフィルター処理と Web 脅威レポートが含まれます。	Microsoft Defender for Businessで Web コンテンツ フィルター処理を設定します。
ファイアウォール保護 ファイアウォール保護は、organizationのデバイスとの間で送受信できるネットワーク トラフィックを決定します。	デバイスが Defender for Business にオンボードされ、Defender for Business の ファイアウォール ポリシー が適用されている場合、ファイアウォール保護は既定で既に有効になっています。

次の手順

• 高度な機能とMicrosoft Defender ポータルの設定を確認します。
• 脆弱性管理ダッシュボードを使用する
• インシデントの表示と管理
• レポートを表示する