攻撃面の縮小ルールの展開を計画する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

攻撃面の縮小ルールをテストまたは有効にする前に、デプロイを計画する必要があります。 慎重な計画を立てると、攻撃面の縮小ルールの展開をテストし、ルールの例外を回避できます。 攻撃面の縮小ルールをテストする場合は、適切な部署から開始してください。 特定の部署の少人数のグループから始めます。 実装の調整に役立つフィードバックを提供できる特定の部署内のチャンピオンを特定できます。

重要

攻撃面の縮小ルールを計画、監査、有効化するプロセスを進める間は、次の 3 つの 標準保護規則を有効にすることをお勧めします。 2 種類の攻撃面縮小ルール の詳細については、「種類別の攻撃面の縮小ルール」を参照してください。

• Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)
• 悪用された脆弱な署名付きドライバーの悪用をブロックする
• Windows Management Instrumentation (WMI) イベント サブスクリプションを使用して永続化をブロックする

通常、エンド ユーザーに対する顕著な影響を最小限に抑えて、標準の保護規則を有効にすることができます。 標準保護規則を簡単に有効にする方法については、「 簡易標準保護オプション」を参照してください。

適切なビジネス ユニットを使用して ASR ルールのデプロイを開始する

攻撃面の縮小ルールの展開を展開するビジネス ユニットを選択する方法は、次のような要因によって異なります。

• 事業単位の規模
• 攻撃面の縮小ルールのチャンピオンの可用性
• の配布と使用:
  • ソフトウェア
  • 共有フォルダー
  • スクリプトの使用
  • Office マクロ
  • 攻撃面の縮小ルールの影響を受けるその他のエンティティ

ビジネス ニーズに応じて、ソフトウェア、共有フォルダー、スクリプト、マクロなどの広範なサンプリングを取得するために、複数のビジネス ユニットを含めることにすることがあります。最初の攻撃面の縮小ルールのロールアウトの範囲を 1 つのビジネス ユニットに制限する場合があります。 次に、攻撃面の縮小ルールのロールアウト プロセス全体を、一度に 1 つずつ他の部署に繰り返します。

ASR ルールのチャンピオンを特定する

攻撃面の縮小ルールのチャンピオンは、予備的なテストと実装のフェーズで初期攻撃面の縮小ルールのロールアウトに役立つ、organizationのメンバーです。 通常、チャンピオンは技術的に熟達し、断続的なワークフローの停止によって脱線しない従業員です。 チャンピオンの関与は、攻撃面の縮小ルールをorganizationに展開する広範な拡張を通じて継続されます。 攻撃面の縮小ルールのチャンピオンは、最初に攻撃面の縮小ルールロールアウトの各レベルを体験します。

攻撃面の縮小ルールのチャンピオンにフィードバックと応答チャネルを提供して、攻撃面の縮小ルールに関連する作業の中断を攻撃し、攻撃面の縮小ルールのロールアウトに関連する通信を受け取るよう警告することが重要です。

基幹業務アプリのインベントリを取得し、部署のプロセスを理解する

organization全体で使用されるアプリケーションと事業単位ごとのプロセスを完全に理解することは、攻撃面の縮小ルールの展開を成功させるために不可欠です。 さらに、organizationのさまざまなビジネス ユニット内でこれらのアプリがどのように使用されるかを理解することが不可欠です。 開始するには、organizationの広い部分で使用が承認されたアプリのインベントリを取得する必要があります。 Microsoft 365 Apps管理センターなどのツールを使用して、ソフトウェア アプリケーションのインベントリを作成できます。 「Microsoft 365 Apps管理センターのインベントリの概要」を参照してください。

レポートと応答の ASR ルール チームの役割と責任を定義する

攻撃面の縮小ルールの状態とアクティビティを監視および伝達する責任者の役割と責任を明確に明確に示することは、攻撃面の削減メンテナンスの中核となるアクティビティです。 そのため、次の点を判断することが重要です。

• レポートを収集する責任者またはチーム
• レポートを共有する方法とユーザー
• 攻撃面の縮小ルールによって引き起こされる新しく特定された脅威または望ましくないブロックに対するエスカレーションの対処方法

一般的な役割と責任は次のとおりです。

• IT 管理者: 攻撃面の縮小ルールを実装し、除外を管理します。 アプリとプロセスでさまざまな部署を操作する。 関係者へのレポートの組み立てと共有
• 認定セキュリティ オペレーション センター (CSOC) アナリスト: 優先度の高いブロックされたプロセスを調査して、脅威が有効かどうかを判断する責任を負います
• 最高情報セキュリティ責任者 (CISO): organizationの全体的なセキュリティ体制と正常性を担当します

ASR ルールリングのデプロイ

大企業の場合、Microsoft では"リング" に攻撃面の縮小ルールを展開することをお勧めします。リングは、重複しないツリー リングのように外側に放射する同心円として視覚的に表されるデバイスのグループです。 最も内側のリングが正常にデプロイされたら、次のリングにテスト フェーズに移行できます。 リングを定義するには、ビジネス ユニット、攻撃面削減ルールのチャンピオン、アプリ、プロセスを徹底的に評価することが不可欠です。 ほとんどの場合、organizationには、Windows 更新プログラムの段階的なロールアウト用の展開リングがあります。 既存のリング設計を使用して、攻撃面の縮小ルールを実装できます。 「Windows の展開計画を作成する」を参照してください。

このデプロイ コレクションのその他の記事

攻撃面の縮小ルールの展開の概要

攻撃面の縮小ルールをテストする

攻撃面の減少ルールを有効にする

攻撃面の縮小ルールを運用化する

攻撃面の縮小ルールリファレンス

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。