エクスプロイトからデバイスを保護する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Exploit Protection は、オペレーティング システムのプロセスおよびアプリに対して様々なエクスプロイト軽減策を自動的に適用します。 Exploit Protection のサポートは、Windows 10 のバージョン 1709、Windows 11、および Windows Server のバージョン 1803 で開始しました。
Exploit Protection は、Defender for Endpoint と併用した場合に非常に効果的です。Microsoft Defender Advanced Threat Protection では、通常のアラート調査シナリオの一環として Exploit Protection イベントとブロックに関する詳細なレポートが作成されます。
個々のデバイスで Exploit Protection を有効にして、グループ ポリシーを使用して XML ファイルを一度に複数のデバイスに配布することができます。
デバイスで軽減策が検出されると、通知がアクション センターに表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。 個別のルールを有効にすることで、この機能が監視するテクニックをカスタマイズすることもできます。
監査モードを使用すると、Exploit Protection を有効にした場合にそれが組織に与える影響を評価することもできます。
Enhanced Mitigation Experience Toolkit (EMET) ツールは、Exploit Protection に含まれています。 実際には、既存の EMET 構成プロファイルを変換し、Exploit Protection にインポートすることができます。 詳細については、「Exploit Protection 構成のインポート、エクスポート、展開」を参照してください。
重要
現在 EMET を使用している場合は、EMET のサポートは 2018 年 7 月 31 日に終了している点にご留意ください。 Windows 10 では、EMET を Exploit Protection で置き換えることを検討してください。
警告
一部のセキュリティ対策テクノロジでは、一部のアプリケーションとの互換性の問題がある場合があります。 運用環境またはネットワーク全体に構成を展開する前に、監査モードを使用して、対象となるすべての使用シナリオで Exploit Protection をテストする必要があります。
Microsoft Defender ポータルでエクスプロイト保護イベントを確認する
Defender for Endpoint では、アラート調査シナリオの一環としてイベントとブロックに関する詳細なレポートが作成されます。
Advanced Hunting を使用すると、Defender for Endpoint のデータに対してクエリを実行できます。 監査モードを使用している場合、Advanced Hunting 機能を使用すると、Exploit Protection の設定がお客様の環境に与える可能性がある影響を確認できます。
クエリの例を次に示します:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection イベントを Windows イベント ビューアーで確認する
Windows イベント ログを確認することにより、Exploit Protection がアプリをブロック (または監査) する際に作成されるイベントを確認することができます。
| プロバイダー/ソース | イベント ID | 説明 |
|---|---|---|
| Security-Mitigations | 1 | ACG の監査 |
| Security-Mitigations | 2 | ACG の実施 |
| Security-Mitigations | 3 | [Do not allow child processes] (子プロセスを許可しない) 監査 |
| Security-Mitigations | 4 | [Do not allow child processes] (子プロセスを許可しない) ブロック |
| Security-Mitigations | 5 | [Block low integrity images] (整合性が低いイメージのブロック) 監査 |
| Security-Mitigations | 6 | [Block low integrity images] (整合性が低いイメージのブロック) ブロック |
| Security-Mitigations | 7 | [Block remote images] (リモート イメージのブロック) 監査 |
| Security-Mitigations | 8 | [Block remote images] (リモート イメージのブロック) ブロック |
| Security-Mitigations | 9 | [Disable win32k system calls] (win32k システム呼び出しの無効化) 監査 |
| Security-Mitigations | 10 | [Disable win32k system calls] (win32k システム呼び出しの無効化) ブロック |
| Security-Mitigations | 11 | [Code integrity guard] (コードの整合性の保護) 監査 |
| Security-Mitigations | 12 | [Code integrity guard] (コードの整合性の保護) ブロック |
| Security-Mitigations | 13 | EAF の監査 |
| Security-Mitigations | 14 | EAF の実施 |
| Security-Mitigations | 15 | EAF+ の監査 |
| Security-Mitigations | 16 | EAF+ の実施 |
| Security-Mitigations | 17 | IAF の監査 |
| Security-Mitigations | 18 | IAF の実施 |
| Security-Mitigations | 19 | ROP StackPivot の監査 |
| Security-Mitigations | 20 | ROP StackPivot の実施 |
| Security-Mitigations | 21 | ROP CallerCheck の監査 |
| Security-Mitigations | 22 | ROP CallerCheck の実施 |
| Security-Mitigations | 23 | ROP SimExec の監査 |
| Security-Mitigations | 24 | ROP SimExec の実施 |
| WER-Diagnostics | 5 | CFG のブロック |
| Win32K | 260 | 信頼されていないフォント |
軽減策の比較
EMET で使用できる軽減策は、Windows 10 (バージョン 1709 以降)、Windows 11、および Windows Server (バージョン 1803 以降) で、Exploit Protection の一部としてネイティブで提供されています。
このセクションの表では、EMET と Exploit Protection におけるネイティブの軽減策の提供状況およびサポートを示します。
| 軽減策 | exploit protection で提供 | EMET で提供 |
|---|---|---|
| 任意のコード ガード (ACG) | はい | はい ”メモリ保護チェック" として |
| リモート イメージのブロック | はい | はい "ライブラリ読み込みチェック" として |
| 信頼されていないフォントのブロック | はい | はい |
| データ実行防止 (DEP) | はい | はい |
| エクスポート アドレス フィルター (EAF) | はい | はい |
| イメージのランダム化の強制 (必須 ASLR) | はい | はい |
| NullPage Security Mitigation | はい Windows 10 および Windows 11 にネイティブで付属 詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照してください |
はい |
| メモリ割り当てのランダム化 (ボトムアップ ASLR) | はい | はい |
| 実行のシミュレート (SimExec) | はい | はい |
| API 呼び出しの検証 (CallerCheck) | はい | はい |
| 例外チェーンの検証 (SEHOP) | はい | はい |
| スタックの整合性の検証 (StackPivot) | はい | はい |
| 証明書信頼 (構成可能な証明書のピン留め) | Windows 10 および Windows 11 には、エンタープライズ証明書のピン留めが付属 | はい |
| ヒープ スプレーの割り当て | 新しいブラウザー ベースの悪用には効果がありません。新しい軽減策の方が保護が強化されています 詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照してください |
はい |
| 整合性が低いイメージのブロック | はい | 不要 |
| コードの整合性ガード | はい | 不要 |
| 拡張ポイントの無効化 | はい | 不要 |
| Win32k システム コールの無効化 | はい | いいえ |
| 子プロセスを許可しない | はい | 不要 |
| インポート アドレス フィルター (IAF) | はい | 不要 |
| ハンドルの使用状態の検証 | はい | 不要 |
| ヒープの整合性の検証 | はい | 不要 |
| 軽減策の依存関係の整合性の検証 | はい | いいえ |
注:
EMET で提供されている Advanced ROP 解決策は、Windows 10 および Windows 11 では ACG に置き換わりました。ACG では、プロセスの対 ROP 軽減策の有効化の一環として、EMET の高度な設定は既定で有効になります。 Windows 10 が既存の EMET テクノロジをどのように使用しているかについて詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照してください。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示