攻撃面の縮小機能を理解して使用する

[アーティクル]
07/14/2022

適用対象:

プラットフォーム

Windows

ヒント

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

攻撃面は、組織がサイバー脅威や攻撃に対して脆弱なすべての場所です。 Defender for Endpoint には、攻撃面を減らすのに役立ついくつかの機能が含まれています。攻撃面の縮小の詳細については、次のビデオをご覧ください。

攻撃面の減少機能を構成する

環境で攻撃面の削減を構成するには、次の手順に従います。

Microsoft Edge のハードウェアベースの分離を有効にします。
攻撃面の減少ルールを有効にする
アプリケーション制御を有効にします。
1. Windows で基本ポリシーを確認します。基本ポリシーの例を参照してください。
2. Windows Defenderアプリケーションコントロールの設計ガイドを参照してください。
3. Windows Defenderアプリケーション制御 (WDAC) ポリシーのデプロイに関するページを参照してください。
フォルダーアクセスの制御を有効にします。
リムーバブルストレージ保護を有効にする
ネットワーク保護を有効にします。
Web 保護を有効にする
エクスプロイト保護を有効にします。
ネットワークファイアウォールを設定します。
1. 高度なセキュリティを備えたWindows Defender ファイアウォールの概要を確認します。
2. Windows Defender ファイアウォール設計ガイドを使用して、ファイアウォールポリシーを設計する方法を決定します。
3. Windows Defender ファイアウォール展開ガイドを使用して、高度なセキュリティで組織のファイアウォールを設定します。

ヒント

ほとんどの場合、攻撃面の縮小機能を構成するときに、いくつかの方法から選択できます。

Microsoft エンドポイントマネージャー (Microsoft Intuneと Microsoft Endpoint Configuration Managerが含まれるようになりました)
グループポリシー
PowerShell コマンドレット

Microsoft Defender for Endpointでの攻撃面の減少をテストする

組織のセキュリティチームの一部として、監査モードで実行する攻撃面の縮小機能を構成して、それらがどのように機能するかを確認できます。監査モードでは、次の ASR セキュリティ機能を有効にすることができます。

攻撃面の減少ルール
エクスプロイト保護
ネットワーク保護
コントロールされたフォルダーアクセス
デバイス制御

監査モードを使用すると、機能を有効にした場合 に発生した 結果のレコードを確認できます。

機能の動作をテストするときに監査モードを有効にすることができます。テストに対してのみ監査モードを有効にすると、監査モードが基幹業務アプリに影響を与えるのを防ぐことができます。また、特定の期間に発生する疑わしいファイル変更の試行回数を把握することもできます。

この機能は、アプリ、スクリプト、またはファイルの変更をブロックまたは禁止しません。ただし、Windows イベントログは、機能が完全に有効になっているかのようにイベントを記録します。監査モードでは、イベントログを確認して、機能が有効になっている場合にどのような影響を与えたかを確認できます。

監査対象のエントリを見つけるには、アプリケーションとサービス > Microsoft > Windows > Windows Defender > Operational に移動 します。

Defender for Endpoint を使用して、各イベントの詳細を取得します。これらの詳細は、攻撃面の縮小ルールを調査する場合に特に役立ちます。 Defender for Endpoint コンソールを使用すると、アラートタイムラインと調査シナリオの一部として問題を調査できます。

グループポリシー、PowerShell、および構成サービスプロバイダー (CSP) を使用して監査モードを有効にすることができます。

監査オプション	監査モードを有効にする方法	イベントを表示する方法
監査はすべてのイベントに適用されます	制御されたフォルダーアクセスを有効にする	フォルダーアクセスイベントの制御
監査は個々のルールに適用されます	手順 1: 監査モードを使用して ASR ルールをテストする	手順 2: [攻撃対象の縮小ルール] レポートページについて
監査はすべてのイベントに適用されます	ネットワーク保護を有効にする	ネットワーク保護イベント
監査は個々の軽減策に適用されます	エクスプロイト保護を有効にする	エクスプロイト保護イベント

たとえば、(ブロックモード) を有効にする前に、監査モードで攻撃表面縮小ルールをテストできます。攻撃面の縮小 (ASR) ルールは、一般的な既知の攻撃面を強化するために事前に定義されています。攻撃表面の縮小ルールを実装するために使用できる方法はいくつかあります。推奨される方法については、次の攻撃面縮小 (ASR) ルールの展開に関するトピックを参照してください。

攻撃面の減少イベントを表示する

イベントビューアーの攻撃対象の縮小イベントを確認して、動作しているルールまたは設定を監視します。また、設定が "ノイズ" すぎるか、日常のワークフローに影響を与えているかどうかを判断することもできます。

機能を評価する場合は、イベントを確認すると便利です。機能または設定の監査モードを有効にし、完全に有効にした場合に何が発生したかを確認できます。

このセクションでは、すべてのイベント、関連する機能または設定を一覧表示し、カスタムビューを作成して特定のイベントにフィルター処理する方法について説明します。

E5 サブスクリプションを持ち、Microsoft Defender for Endpointを使用している場合は、Windows セキュリティの一部として、イベント、ブロック、警告に関する詳細なレポートを取得します。

カスタムビューを使用して攻撃面の縮小機能を確認する

Windows イベントビューアーでカスタムビューを作成し、特定の機能と設定のイベントのみを表示します。最も簡単な方法は、カスタムビューを XML ファイルとしてインポートすることです。このページから XML を直接コピーできます。

また、機能に対応するイベント領域に手動で移動することもできます。

既存の XML カスタムビューをインポートする

空の.txt ファイルを作成し、使用するカスタムビューの XML を.txt ファイルにコピーします。これは、使用するカスタムビューごとに行います。ファイルの名前を次のように変更します (種類を.txtから.xmlに変更してください)。
- フォルダーアクセスイベントのカスタムビューの制御: cfa-events.xml
- エクスプロイト保護イベントのカスタムビュー: ep-events.xml
- 攻撃対象の縮小イベントのカスタムビュー: asr-events.xml
- ネットワーク/保護イベントのカスタムビュー: np-events.xml
[スタート] メニューに 「イベントビューアー」と入力し 、イベントビューアー を開きます。
[アクション > インポートカスタムビュー]を選択します。..
目的のカスタムビューの XML ファイルを抽出した場所に移動し、選択します。
[開く]を選択します。
その機能に関連するイベントのみを表示するようにフィルター処理するカスタムビューが作成されます。

XML を直接コピーする

[スタート] メニューに 「イベントビューアー」と入力し、Windows イベントビューアーを開 きます。
左側のパネルの [アクション] で、[カスタムビューの作成] を選択します。
[XML] タブに移動し、[ クエリを手動で編集] を選択します。 XML オプションを使用する場合、[ フィルター ] タブを使用してクエリを編集できないという警告が表示されます。 [はい] を選択します。
イベントをフィルター処理する機能の XML コードを XML セクションに貼り付けます。
[OK] を選択します。フィルターの名前を指定します。これにより、その機能に関連するイベントのみを表示するようにフィルター処理するカスタムビューが作成されます。

攻撃表面の縮小ルールイベント用の XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

制御されたフォルダーアクセスイベントの XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

エクスプロイト保護イベント用の XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

ネットワーク保護イベントの XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

攻撃面の縮小イベントの一覧

すべての攻撃対象軽減イベントは、次の表に示すように、 Microsoft > Windows >アプリケーションログとサービスログ の下に配置され、次の表に示すようにフォルダーまたはプロバイダーに配置されます。

Windows イベントビューアーでは、次のイベントにアクセスできます。

[スタート] メニューを開き、「イベントビューアー」と入力し、イベントビューアー 結果を選択します。
Microsoft > Windows >アプリケーションとサービスログ を展開し、次の表の [プロバイダー/ソース] の下にあるフォルダーに移動します。
サブ項目をダブルクリックすると、イベントが表示されます。イベントをスクロールして探しているイベントを見つけます。

機能	プロバイダー/ソース	イベント ID	説明
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	1	ACG の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	2	ACG の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	3	[Do not allow child processes] (子プロセスを許可しない) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	4	[Do not allow child processes] (子プロセスを許可しない) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	5	[Block low integrity images] (整合性が低いイメージのブロック) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	6	[Block low integrity images] (整合性が低いイメージのブロック) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	7	[Block remote images] (リモートイメージのブロック) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	8	[Block remote images] (リモートイメージのブロック) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	9	[Disable win32k system calls] (win32k システム呼び出しの無効化) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	10	[Disable win32k system calls] (win32k システム呼び出しの無効化) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	11	[Code integrity guard] (コードの整合性の保護) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	12	[Code integrity guard] (コードの整合性の保護) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	13	EAF の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	14	EAF の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	15	EAF+ の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	16	EAF+ の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	17	IAF の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	18	IAF の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	19	ROP StackPivot の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	20	ROP StackPivot の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	21	ROP CallerCheck の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	22	ROP CallerCheck の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	23	ROP SimExec の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	24	ROP SimExec の実施
エクスプロイト保護	WER-Diagnostics	5	CFG のブロック
エクスプロイト保護	Win32K (運用)	260	信頼されていないフォント
ネットワーク保護	Windows Defender (運用)	5007	設定が変更された場合のイベント
ネットワーク保護	Windows Defender (運用)	1125	ネットワーク保護が監査モードで起動した場合のイベント
ネットワーク保護	Windows Defender (運用)	1126	ブロックモードでネットワーク保護が発生した場合のイベント
コントロールされたフォルダーアクセス	Windows Defender (運用)	5007	設定が変更された場合のイベント
コントロールされたフォルダーアクセス	Windows Defender (運用)	1124	監査されたフォルダーアクセスの制御イベント
コントロールされたフォルダーアクセス	Windows Defender (運用)	1123	ブロックされたフォルダーアクセスイベント
コントロールされたフォルダーアクセス	Windows Defender (運用)	1127	ブロックされたフォルダーアクセスセクター書き込みブロックイベント
コントロールされたフォルダーアクセス	Windows Defender (運用)	1128	監査されたフォルダーアクセスセクター書き込みブロックイベント
攻撃面の縮小	Windows Defender (運用)	5007	設定が変更された場合のイベント
攻撃面の縮小	Windows Defender (運用)	1122	監査モードでルールが起動した場合のイベント
攻撃面の縮小	Windows Defender (運用)	1121	ブロックモードでルールが起動した場合のイベント

注意

ユーザーの観点から見ると、ASR 警告モードの通知は、攻撃表面の縮小ルールの Windows トースト通知として行われます。

ASR では、Network Protection は監査モードとブロックモードのみを提供します。

攻撃面の縮小の詳細を確認するためのリソース

ビデオで説明したように、Defender for Endpoint には、いくつかの攻撃面縮小機能が含まれています。詳細については、次のリソースを使用してください。

記事	説明
アプリケーション制御	アプリケーション制御を使用して、アプリケーションを実行するために信頼を得る必要があります。
攻撃面の減少 (ASR) ルールの参照	各攻撃対象領域の縮小ルールの詳細を提供します。
攻撃面の縮小 (ASR) ルールの展開ガイド	攻撃表面の縮小ルールを展開するための概要情報と前提条件と、テスト (監査モード)、有効化 (ブロックモード)、および監視に関する詳細なガイダンスを示します。
制御されたフォルダーアクセス	悪意のあるアプリや疑わしいアプリ (ファイル暗号化ランサムウェアマルウェアを含む) が、キーシステムフォルダー内のファイルに変更を加えないようにするのに役立ちます (Microsoft Defender ウイルス対策が必要です)。
デバイスコントロール	組織内のリムーバブルストレージや USB ドライブなどのデバイスで使用されるメディアを監視および制御することで、データ損失から保護します。
エクスプロイト保護	組織が使用するオペレーティングシステムとアプリが悪用されないように保護します。エクスプロイト保護は、サードパーティのウイルス対策ソリューションでも機能します。
ハードウェアベースの分離	システムの起動時と実行中に、システムの整合性を保護および維持します。ローカル構成証明とリモート構成証明を使用してシステムの整合性を検証します。悪意のある Web サイトから保護するには、Microsoft Edge のコンテナー分離を使用します。
ネットワーク保護	組織のデバイス上のネットワークトラフィックと接続に対する保護を拡張します。 (Microsoft Defender ウイルス対策が必要です)。
攻撃面の減少 (ASR) ルールをテストする	監査モードを使用して、攻撃表面の縮小ルールをテストする手順について説明します。
Web 保護	Web 保護を使用すると、Web の脅威からデバイスを保護し、不要なコンテンツを規制するのに役立ちます。