攻撃面の縮小ルールの概要

適用対象:

プラットフォーム

  • Windows

攻撃面の縮小ルールが重要な理由

組織の攻撃対象領域には、攻撃者が組織のデバイスまたはネットワークを侵害する可能性があるすべての場所が含まれています。 攻撃対象領域を減らすとは、組織のデバイスとネットワークを保護することを意味します。これにより、攻撃者は攻撃を実行する方法が少なくなります。 Microsoft Defender for Endpointで攻撃面の縮小ルールを構成すると、役立ちます。

攻撃面の縮小ルールは、次のような特定のソフトウェア動作を対象とします。

  • ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトの起動
  • 難読化されたスクリプトまたはその他の疑わしいスクリプトの実行
  • 通常の毎日の作業中にアプリが通常開始しない動作の実行

このようなソフトウェアの動作は、正当なアプリケーションで見られる場合があります。 ただし、これらの動作は、マルウェアを介して攻撃者によって一般的に悪用されるため、リスクがあると見なされることが多いです。 攻撃面の縮小ルールは、ソフトウェアベースの危険な動作を制限し、組織の安全を維持するのに役立ちます。

ASR ルールを管理する方法のシーケンシャルでエンドツーエンドのプロセスについては、次を参照してください。

デプロイ前にルールの影響を評価する

攻撃面の縮小ルールがネットワークに与える影響を評価するには、そのルールのセキュリティに関する推奨事項をMicrosoft Defender 脆弱性の管理で開きます。

ASR の推奨事項

推奨事項の詳細ウィンドウで、ユーザーの影響を確認して、生産性に悪影響を与えることなく、ブロック モードでルールを有効にする新しいポリシーを受け入れるデバイスの割合を確認します。

サポートされているオペレーティング システムと追加の要件情報については、「攻撃面の縮小ルールを有効にする」の記事の 要件 を参照してください。

評価の監査モード

監査モードを使用して、攻撃面の縮小ルールが有効になっている場合に組織にどのような影響を与えるかを評価します。 すべてのルールを最初に監査モードで実行して、それらが基幹業務アプリケーションにどのように影響するかを理解できるようにします。 多くの基幹業務アプリケーションは、セキュリティ上の懸念が限定的に記述されており、マルウェアに似た方法でタスクを実行する可能性があります。 監査データを監視し、必要なアプリケーション の除外を追加 することで、生産性を低下させることなく攻撃面の削減ルールを展開できます。

ユーザーの警告モード

(NEW!)警告モード機能の前に、有効になっている攻撃面の縮小ルールを監査モードまたはブロック モードに設定できます。 新しい警告モードでは、攻撃面の縮小ルールによってコンテンツがブロックされるたびに、コンテンツがブロックされていることを示すダイアログ ボックスが表示されます。 ダイアログ ボックスには、コンテンツのブロックを解除するためのオプションもユーザーに表示されます。 その後、ユーザーは操作を再試行でき、操作が完了します。 ユーザーがコンテンツのブロックを解除すると、コンテンツは 24 時間ブロック解除されたままになり、ブロックが再開されます。

警告モードは、ユーザーがタスクを実行するために必要なコンテンツにアクセスできないように、組織が攻撃面の縮小ルールを設定するのに役立ちます。

警告モードが機能するための要件

警告モードは、次のバージョンの Windows を実行しているデバイスでサポートされています。

Microsoft Defenderウイルス対策は、アクティブ モードでリアルタイム保護で実行されている必要があります。

また、ウイルス対策とマルウェア対策の更新プログラムMicrosoft Defenderインストールされていることを確認します。

  • プラットフォームの最小リリース要件: 4.18.2008.9
  • エンジンの最小リリース要件: 1.1.17400.5

詳細と更新プログラムを入手するには、「Microsoft Defenderマルウェア対策プラットフォームの更新」を参照してください。

警告モードがサポートされていない場合

警告モードは、Microsoft エンドポイント マネージャーで構成する場合、3 つの攻撃面の縮小ルールではサポートされていません。 (グループ ポリシーを使用して攻撃面の縮小ルールを構成する場合は、警告モードがサポートされます)。Microsoft Endpoint Manager で構成するときに警告モードをサポートしない 3 つのルールは次のとおりです。

また、古いバージョンの Windows を実行しているデバイスでは、警告モードはサポートされていません。 このような場合、警告モードで実行するように構成された攻撃面の縮小ルールはブロック モードで実行されます。

通知とアラート

攻撃面の縮小ルールがトリガーされるたびに、デバイスに通知が表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。

また、特定の攻撃面の縮小ルールがトリガーされると、アラートが生成されます。

通知と生成されたすべてのアラートは、Microsoft 365 Defender ポータルで表示できます。

通知とアラートの機能の詳細については、「 ルールごとのアラートと通知の詳細」の記事「 攻撃面の縮小ルールリファレンス」を参照してください

高度なハンティングと攻撃面の縮小イベント

高度なハンティングを使用して、攻撃面の縮小イベントを表示できます。 受信データの量を合理化するために、高度なハンティングを使用して 1 時間ごとに一意のプロセスのみを表示できます。 攻撃面の縮小イベントの時刻は、そのイベントが 1 時間以内に初めて表示されます。

たとえば、午後 2:00 時間に 10 台のデバイスで攻撃面の縮小イベントが発生したとします。 最初のイベントが 2:15、最後のイベントが 2:45 に発生したとします。 高度なハンティングでは、(実際には 10 台のデバイスで発生した場合でも) そのイベントのインスタンスが 1 つ表示され、そのタイムスタンプは午後 2 時 15 分になります。

高度なハンティングの詳細については、「高度なハンティング を使用して脅威を事前に検索する」を参照してください。

Windows バージョン間での攻撃面の縮小機能

次のいずれかのエディションとバージョンの Windows を実行しているデバイスに対して、攻撃面の縮小ルールを設定できます。

攻撃面の縮小ルールでは Windows E5 ライセンスは必要ありませんが、Windows E5 をお持ちの場合は、高度な管理機能を利用できます。 Windows E5 でのみ使用できる高度な機能には、次のものが含まれます。

これらの高度な機能は、Windows Professional または Windows E3 ライセンスでは使用できません。 ただし、これらのライセンスがある場合は、イベント ビューアーログとMicrosoft Defenderウイルス対策ログを使用して、攻撃面の縮小ルール イベントを確認できます。

Microsoft 365 Defender ポータルで攻撃面の縮小イベントを確認する

Defender for Endpoint では、アラート調査シナリオの一部として、イベントとブロックの詳細なレポートが提供されます。

高度なハンティングを使用して、Microsoft 365 Defenderの Defender for Endpoint データに対してクエリを実行できます。

クエリの例を次に示します。

DeviceEvents
| where ActionType startswith 'Asr'

Windows イベント ビューアーで攻撃面の縮小イベントを確認する

Windows イベント ログを確認して、攻撃面の縮小ルールによって生成されたイベントを表示できます。

  1. 評価パッケージをダウンロードし、デバイス上の簡単にアクセスできる場所にcfa-events.xmlファイルを抽出します。

  2. [スタート] メニューにイベント ビューアー単語を入力して、Windows イベント ビューアーを開きます。

  3. [ アクション] で、[ カスタム ビューのインポート...] を選択します。

  4. 抽出元のファイル cfa-events.xml を選択します。 または、 XML を直接コピーします

  5. [OK] をクリックします。

次のイベントのみを表示するようにイベントをフィルター処理するカスタム ビューを作成できます。これらはすべて、制御されたフォルダー アクセスに関連します。

イベント ID 説明
5007 設定が変更されたときのイベント
1121 ブロック モードでルールが発生した場合のイベント
1122 監査モードでルールが発生した場合のイベント

イベント ログ内の攻撃面の縮小イベントに一覧表示される "エンジン バージョン" は、オペレーティング システムではなく Defender for Endpoint によって生成されます。 Defender for Endpoint はWindows 10とWindows 11と統合されているため、この機能は、Windows 10またはWindows 11がインストールされているすべてのデバイスで機能します。

関連項目