エクスプロイト保護を評価する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft 365 Defender
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
エクスプロイト保護は、エクスプロイトを使用して拡散および他のデバイスに感染するマルウェアからデバイスを保護するのに役立ちます。 軽減策は、オペレーティング システムまたは個々のアプリに適用できます。 Enhanced Mitigation Experience Toolkit (EMET) の一部であった機能の多くは、エクスプロイト保護に含まれています。 (EMET はサポート終了となりました。)
監査では、テスト環境内の特定のアプリに対する軽減策のしくみを確認できます。 これは、運用環境でエクスプロイト保護を有効にした場合に、起こるであろうことを示します。 これにより、エクスプロイト保護が基幹業務アプリに悪影響を及ぼさないことを確認し、どのような疑わしいイベントまたは悪意のあるイベントが発生するかを確認できます。
テスト用のエクスプロイト保護を有効にする
Windows セキュリティ アプリまたは Windows PowerShell を使用して、特定のプログラムのテスト モードで軽減策を設定できます。
Windows セキュリティ アプリを開きます。
Windows セキュリティ アプリを開きます。 タスク バーのシールド アイコンを選択するか、スタート メニューで Windows セキュリティを検索します。
[アプリ & ブラウザー コントロール] タイル (または左側のメニュー バーのアプリ アイコン) を選択し、[Exploit Protection] を選択します。
[プログラムの設定] に移動し、保護を適用するアプリを選択します。
- 構成するアプリが既に一覧表示されている場合は、それを選択し、[編集] を選択します
- アプリが一覧にない場合は、一覧の上部にある [プログラムの追加] を選択してカスタマイズします。 次に、アプリを追加する方法を選択します。
- [プログラム名で追加] を使用して、その名前を持つ実行中のプロセスに軽減策を適用します。 拡張子を持つファイルを指定します。 完全なパスを入力して、その場所でその名前を持つアプリのみに軽減策を制限できます。
- 標準のエクスプローラー ファイル ピッカー ウィンドウを使用して目的のファイルを検索して選択するには、[正確なファイル パスの選択] を使用します。
アプリを選択すると、適用できるすべての軽減策の一覧が表示されます。 [監査] を選択すると、軽減策がテスト モードでのみ適用されます。 プロセス、アプリ、または Windows を再起動する必要がある場合は、通知されます。
構成するすべてのアプリと軽減策について、この手順を繰り返します。 構成の設定が完了したら、[適用] を選択します。
PowerShell
アプリ レベルの軽減策をテスト モードに設定するには、監査モードコマンドレットと共に使用Set-ProcessMitigationします。
次の形式で各軽減策を構成します。
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
ここで、
- <スコープ>:
- 特定のアプリに軽減策を適用する必要があることを示す
-Name。 このフラグの後にアプリの実行可能ファイルを指定します。
- 特定のアプリに軽減策を適用する必要があることを示す
- <アクション>:
- 軽減策を有効にする
-Enable- 軽減策を無効にする
-Disable
- 軽減策を無効にする
- 軽減策を有効にする
- <軽減策>:
- 次の表で定義されている軽減策のコマンドレット。 各軽減策はコンマで区切られます。
| 軽減策 | テスト モードコマンドレット |
|---|---|
| 任意のコード ガード (ACG) | AuditDynamicCode |
| 整合性が低いイメージのブロック | AuditImageLoad |
| 信頼されていないフォントのブロック | AuditFont, FontAuditOnly |
| コードの整合性ガード | AuditMicrosoftSigned, AuditStoreSigned |
| Win32k システム コールの無効化 | AuditSystemCall |
| 子プロセスを許可しない | AuditChildProcess |
たとえば、 testing.exeという名前のアプリのテスト モードで任意の Code Guard (ACG) を有効にするには、次のコマンドを実行します。
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
監査モードを無効にするには、-Enable を -Disable に置き換えます。
エクスプロイト保護の監査イベントを確認する
ブロックされたアプリを確認するには、イベント ビューアーを開き、Security-Mitigations ログで次のイベントをフィルター処理します。
| 機能 | プロバイダー/ソース | イベント ID | 説明 |
|---|---|---|---|
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 1 | ACG の監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 3 | [Do not allow child processes] (子プロセスを許可しない) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 5 | [Block low integrity images] (整合性が低いイメージのブロック) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 7 | [Block remote images] (リモート イメージのブロック) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 9 | [Disable win32k system calls] (win32k システム呼び出しの無効化) 監査 |
| エクスプロイト保護 | セキュリティ軽減策 (カーネル モード/ユーザー モード) | 11 | [Code integrity guard] (コードの整合性の保護) 監査 |