攻撃面の縮小ルールをテストする

[アーティクル]
02/16/2024

適用対象:

攻撃面の縮小ルールMicrosoft Defender for Endpointテストすると、ルールを有効にする前に、ルールが基幹業務を妨げるかどうかを判断するのに役立ちます。小規模で制御されたグループから開始すると、organization全体でデプロイを拡張する際に、作業中断の可能性を制限できます。

攻撃面の縮小ルールの展開ガイドのこのセクションでは、次の方法について説明します。

Microsoft Intuneを使用してルールを構成する
攻撃面の縮小ルールレポートMicrosoft Defender for Endpoint使用する
攻撃面の縮小ルールの除外を構成する
PowerShell を使用して攻撃面の縮小ルールを有効にする
攻撃面の縮小ルールイベントにイベントビューアーを使用する

注:

攻撃面の縮小ルールのテストを開始する前に、監査または有効 (該当する場合) に以前に設定したすべてのルールを最初に無効にすることをお勧めします。攻撃面の縮小ルールレポートを使用して攻撃面の縮小ルールを無効にする方法については、「攻撃面の縮小ルールレポート」を参照してください。

リング 1 を使用して攻撃面の縮小ルールの展開を開始します。

手順 1: 監査を使用して攻撃面の縮小ルールをテストする

テストフェーズを開始するには、ルールが [監査] に設定された攻撃面の縮小ルールをオンにし、リング 1 のチャンピオンユーザーまたはデバイスから開始します。通常、すべてのルール (監査) を有効にして、テストフェーズ中にトリガーされるルールを決定することをお勧めします。 [監査] に設定されているルールは、一般に、ルールが適用されるエンティティまたはエンティティの機能には影響しませんが、評価のためにログに記録されたイベントを生成します。エンドユーザーに影響はありません。

Intuneを使用して攻撃面の縮小ルールを構成する

Microsoft Intuneエンドポイントセキュリティを使用して、カスタム攻撃面の縮小ルールを構成できます。

Microsoft Intune 管理センターを開きます。
[Endpoint SecurityAttack]$エンドポイントセキュリティ>攻撃の表面の縮小$ に移動します。
[ポリシーを作成する] を選択します。
[プラットフォーム] で、Windows 10、Windows 11、および Windows Server を選択し、[プロファイル] で [攻撃面の縮小規則] を選択します。
[作成] を選択します。
[プロファイルの作成] ウィンドウの [基本] タブの [名前] で、ポリシーの名前を追加します。 [ 説明] に、攻撃面の縮小ルールポリシーの説明を追加します。
[ 構成設定 ] タブの [ 攻撃面の縮小規則] で、すべてのルールを 監査モードに設定します。

注:

一部の攻撃面縮小ルールモードの一覧にはバリエーションがあります。 [ブロック] と [有効] には 、同じ機能が用意されています。
[省略可能][ スコープタグ ] ウィンドウでは、特定のデバイスにタグ情報を追加できます。また、ロールベースのアクセス制御とスコープタグを使用して、適切な管理者が適切なIntune オブジェクトに対して適切なアクセス権と可視性を持っていることを確認することもできます。詳細情報: Intuneの分散 IT にロールベースのアクセス制御 (RBAC) とスコープタグを使用します。
[ 割り当て ] ウィンドウで、プロファイルをユーザーまたはデバイスグループに展開または "割り当てる" ことができます。詳細情報: Microsoft Intuneでデバイスプロファイルを割り当てる

注:

デバイスグループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
[ 確認と作成 ] ウィンドウで設定を確認します。 [ 作成 ] をクリックしてルールを適用します。

攻撃面の縮小ルールに関する新しい攻撃面の縮小ポリシーは、 エンドポイントセキュリティ |攻撃面の縮小。

手順 2: Microsoft Defender ポータルの攻撃面削減ルールレポートページを理解する

[攻撃面の縮小ルール] レポートページは、ポータル>の [攻撃面の縮小ルールMicrosoft Defenderレポート]> にあります。このページには、次の 3 つのタブがあります。

Detections
構成
除外を追加する

[検出] タブ

検出された監査イベントとブロックされたイベントの 30 日間のタイムラインを提供します。

[攻撃面の縮小ルール] ウィンドウには、ルールごとに検出されたイベントの概要が表示されます。

注:

攻撃面の縮小ルールレポートにはいくつかのバリエーションがあります。 Microsoft は、一貫性のあるエクスペリエンスを提供するために、攻撃面の縮小ルールレポートの動作を更新中です。

[ 検出の表示] を選択して、[検出] タブを開きます。

[GroupBy] ウィンドウと [フィルター] ウィンドウには、次のオプションがあります。

GroupBy は、次のグループに設定された結果を返します。

グループ化なし
検出されたファイル
監査またはブロック
Rule
ソースアプリ
Device
User
Publisher

注:

ルールでフィルター処理する場合、レポートの下半分に一覧表示される個々の 検出された アイテムの数は、現在、200 ルールに制限されています。 [エクスポート] を使用して、検出の完全な一覧を Excel に保存できます。

[フィルター ] を選択すると、[ ルールのフィルター] ページが開きます。これにより、選択した攻撃面の縮小ルールのみに結果のスコープを設定できます。

注:

Microsoft Microsoft 365 Security E5 または A5、Windows E5、または A5 ライセンスをお持ちの場合は、次のリンクで[Microsoft Defender 365 Reports >Attack surface reductions> Detections]$攻撃面の縮小検出$ タブが開きます。

[構成] タブ

Lists (コンピューターごとに) 攻撃面の縮小ルールの集計状態:オフ、監査、ブロック。

[構成] タブでは、攻撃面の縮小ルールが有効になっているデバイスごとに、およびどのモードで攻撃面の縮小ルールを確認するデバイスを選択して、デバイスごとにチェックできます。

[開始] リンクをクリックすると、Microsoft Intune管理センターが開きます。そこで、攻撃面の削減のためにエンドポイント保護ポリシーを作成または変更できます。

$[概要] ページの [*Endpoint security]$エンドポイントセキュリティ$ メニュー項目$

エンドポイントセキュリティ |[概要] で、[ 攻撃面の縮小] を選択します。

エンドポイントセキュリティ |[攻撃面の縮小] ウィンドウが開きます。

$[Endpoint security Attack surface reduction]$エンドポイントセキュリティ攻撃の表面の縮小$ ウィンドウ$

注:

Microsoft Defender 365 E5 (または Windows E5?) ライセンスをお持ちの場合、このリンクは [Microsoft Defender 365 Reports Attack surface reductions > Configurations]$Microsoft Defender 365 レポート>の攻撃面の縮小構成$ タブを開きます。

除外を追加する

このタブには、除外対象として検出されたエンティティ (偽陽性など) を選択するメソッドが用意されています。除外が追加されると、レポートに予想される影響の概要が表示されます。

注:

Microsoft Defenderウイルス対策 AV の除外は、攻撃面の縮小ルールによって受け入れられます。「拡張機能、名前、または場所に基づいて除外を構成して検証する」を参照してください。

注:

Microsoft Defender 365 E5 (または Windows E5?) ライセンスをお持ちの場合、このリンクは [Microsoft Defender 365 Reports Attack surface reductions> Exclusions]$Microsoft Defender 365 レポート>の攻撃対象領域の除外$ タブを開きます。

攻撃面の縮小ルールレポートの使用の詳細については、「攻撃面の縮小ルールレポート」を参照してください。

ルールごとの除外に対する攻撃面の縮小を構成する

攻撃面の縮小ルールによって、ルール固有の除外 ("ルールごとの除外" と呼ばれる) を構成する機能が提供されるようになりました。

注:

現在、PowerShell またはグループポリシーを使用してルールごとの除外を構成することはできません。

特定のルールの除外を構成するには:

Microsoft Intune管理センターを開き、[ホーム>エンドポイントセキュリティ>][ 攻撃対象領域の縮小] に移動します。
まだ構成されていない場合は、除外を構成するルールを [監査] または [ ブロック] に設定します。
[ASR のみ規則の除外] で、トグルをクリックして [未構成] から [構成済み] に変更します。
除外するファイルまたはアプリケーションの名前を入力します。
プロファイルの作成ウィザードの下部にある [次へ] を選択し、ウィザードの指示に従います。

ヒント

除外エントリの一覧の横にあるチェックボックスを使用して、[ 削除]、[ 並べ替え]、[ インポート]、または [エクスポート] の項目を選択します。

攻撃面の縮小ルールを有効にする代替方法として PowerShell を使用する

Intuneの代わりに PowerShell を使用して、監査モードで攻撃面の縮小ルールを有効にして、機能が完全に有効になっている場合にブロックされたアプリのレコードを表示できます。また、通常の使用時にルールが発生する頻度を把握することもできます。

監査モードで攻撃面の縮小ルールを有効にするには、次の PowerShell コマンドレットを使用します。

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

は <rule ID> 、攻撃面の縮小ルールの GUID 値です。

監査モードで追加されたすべての攻撃面削減規則を有効にするには、次の PowerShell コマンドレットを使用します。

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

ヒント

organizationで攻撃面の縮小ルールがどのように機能するかを完全に監査する場合は、管理ツールを使用して、この設定をネットワーク内のデバイスに展開する必要があります。

また、グループポリシー、Intune、またはモバイルデバイス管理 (MDM) 構成サービスプロバイダー (CSP) を使用して、設定を構成して展開することもできます。詳細については、メイン攻撃面の縮小ルールに関する記事を参照してください。

Microsoft Defender ポータルの攻撃面の縮小ルールレポートページの代わりに、Windows イベントビューアーレビューを使用する

ブロックされたアプリを確認するには、イベントビューアーを開き、Microsoft-Windows-Windows Defender/運用ログでイベント ID 1121 をフィルター処理します。次の表に、すべてのネットワーク保護イベントの一覧を示します。

イベント ID	説明
5007	設定が変更されたときのイベント
1121	攻撃面の縮小ルールがブロックモードで発生した場合のイベント
1122	攻撃面の縮小ルールが監査モードで発生した場合のイベント

このデプロイコレクションのその他の記事

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。

攻撃面の縮小ルールをテストする