攻撃表面の縮小ルールを評価するEvaluate attack surface reduction rules

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

Attack surface reduction ルールは、マルウェアによってデバイスやネットワークが侵害される可能性があります。Attack surface reduction rules help prevent actions typically used by malware to compromise devices or networks. 次のいずれかのエディションとバージョンの Windows を実行しているデバイスに対して、attack surface reduction ルールを設定します。Set attack surface reduction rules for devices running any of the following editions and versions of Windows:

監査モードを有効にして、組織で直接機能をテストすることによって、攻撃面の削減ルールを評価する方法について説明します。Learn how to evaluate attack surface reduction rules by enabling audit mode to test the feature directly in your organization.

ヒント

また、 demo.wd.microsoft.com で Microsoft Defender エンドポイントデモのシナリオの web サイトにアクセスして、機能が動作していることを確認し、動作を確認することもできます。You can also visit the Microsoft Defender for Endpoint demo scenario website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

監査モードを使って影響を測定するUse audit mode to measure impact

監査モードで attack surface reduction ルールを有効にして、機能が完全に有効になっている場合にブロックされるアプリの記録を表示します。Enable attack surface reduction rules in audit mode to view a record of apps that would have been blocked if the feature was fully enabled. 組織でこの機能がどのように動作するかをテストして、基幹業務アプリに影響がないことを確認します。Test how the feature will work in your organization to ensure it doesn't affect your line-of-business apps. また、通常の使用時にルールがどのくらいの頻度で発生するかを把握することもできます。You can also get an idea of how often the rules will fire during normal use.

すべての attack surface reduction ルールを監査モードで有効にするには、次の PowerShell コマンドレットを使用します。To enable all attack surface reduction rules in audit mode, use the following PowerShell cmdlet:

Set-MpPreference -AttackSurfaceReductionRules_Actions AuditMode

ヒント

攻撃面の削減ルールが組織でどのように機能するかを完全に監査するには、管理ツールを使用して、この設定をネットワーク内のデバイスに展開する必要があります。If you want to fully audit how attack surface reduction rules will work in your organization, you'll need to use a management tool to deploy this setting to devices in your network(s).

グループポリシー、Intune、またはモバイルデバイス管理 (MDM) 構成サービスプロバイダー (Csp) を使って設定を構成し、展開することもできます。You can also use Group Policy, Intune, or mobile device management (MDM) configuration service providers (CSPs) to configure and deploy the setting. 詳細については、「攻撃面の主な 削減ルール 」を参照してください。Learn more in the main Attack surface reduction rules article.

Windows イベントビューアーの attack surface reduction イベントを確認するReview attack surface reduction events in Windows Event Viewer

ブロックされた可能性のあるアプリを確認するには、Microsoft Windows-Windows Defender/オペレーションログでイベントビューアーを開き、イベント ID 1121 をフィルター処理します。To review apps that would have been blocked, open Event Viewer and filter for Event ID 1121 in the Microsoft-Windows-Windows Defender/Operational log. 次の表は、すべてのネットワーク保護イベントを示しています。The following table lists all network protection events.

イベント IDEvent ID 説明Description
50075007 設定が変更されるときのイベントEvent when settings are changed
11211121 ブロックモードでの attack surface reduction ルールの発生時のイベントEvent when an attack surface reduction rule fires in block mode
11221122 攻撃対象となる領域の下方修正ルールが監査モードで発生するときのイベントEvent when an attack surface reduction rule fires in audit mode

攻撃表面の縮小ルールをカスタマイズするCustomize attack surface reduction rules

評価中に、各ルールを個別に構成するか、特定のファイルとプロセスをこの機能によって評価されないように除外することができます。During your evaluation, you may wish to configure each rule individually or exclude certain files and processes from being evaluated by the feature.

グループポリシーや MDM CSP ポリシーなどの管理ツールを使用して機能を構成する方法については、「 攻撃面の削減ルールをカスタマイズ する」をご覧ください。See Customize attack surface reduction rules for information on configuring the feature with management tools, including Group Policy and MDM CSP policies.

関連項目See also