攻撃表面の縮小イベントを表示するView attack surface reduction events

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

イベントビューアーで攻撃面の削減イベントを確認して、どのようなルールまたは設定が動作しているかを監視します。Review attack surface reduction events in Event Viewer to monitor what rules or settings are working. また、設定が "雑音" になっているか、または一日中のワークフローに影響するかを判断することもできます。You can also determine if any settings are too "noisy" or impacting your day to day workflow.

イベントの確認は、機能を評価するときに便利です。Reviewing events is handy when you're evaluating the features. 機能または設定の監査モードを有効にして、完全に有効にした場合の対処方法を確認できます。You can enable audit mode for features or settings, and then review what would have happened if they were fully enabled.

この記事では、すべてのイベント、関連する機能や設定、および特定のイベントにフィルターを適用するためのカスタムビューを作成する方法について説明します。This article lists all the events, their associated feature or setting, and describes how to create custom views to filter to specific events.

E5 サブスクリプションを使用していて、 エンドポイントに Microsoft Defenderを使用している場合は、Windows セキュリティの一部として、イベントとブロックの詳細なレポートを取得できます。Get detailed reporting into events and blocks as part of Windows Security if you have an E5 subscription and use Microsoft Defender for Endpoint.

カスタムビューを使用して、attack surface reduction 機能を確認するUse custom views to review attack surface reduction capabilities

Windows イベントビューアーでカスタムビューを作成して、特定の機能と設定に関するイベントのみを表示します。Create custom views in the Windows Event Viewer to only see events for specific capabilities and settings. 最も簡単な方法は、カスタムビューを XML ファイルとしてインポートすることです。The easiest way is to import a custom view as an XML file. このページから直接 XML をコピーできます。You can copy the XML directly from this page.

また、機能に対応するイベント領域に手動で移動することもできます。You can also manually navigate to the event area that corresponds to the feature.

既存の XML カスタム ビューをインポートするImport an existing XML custom view

  1. 空の .txt ファイルを作成し、使用するカスタムビューの XML を .txt ファイルにコピーします。Create an empty .txt file and copy the XML for the custom view you want to use into the .txt file. 使用するユーザー設定ビューごとに、この操作を行います。Do this for each of the custom views you want to use. 次のようにしてファイルの名前を変更します (型を .txt から .xml に変更してください)。Rename the files as follows (ensure you change the type from .txt to .xml):

    • フォルダー アクセスの制御イベントのカスタム ビュー: cfa-events.xmlControlled folder access events custom view: cfa-events.xml
    • Exploit Protection イベントのカスタム ビュー: ep-events.xmlExploit protection events custom view: ep-events.xml
    • 攻撃表面の縮小イベントのカスタム ビュー: asr events.xmlAttack surface reduction events custom view: asr-events.xml
    • ネットワーク/保護イベントのカスタムビュー: np-events.xmlNetwork/ protection events custom view: np-events.xml
  2. [スタート] メニューに「 イベントビューアー 」と入力して、[ イベントビューアー] を開きます。Type event viewer in the Start menu and open Event Viewer.

  3. [ Action > ユーザー設定のビューのインポート] を選択します。Select Action > Import Custom View...

    [イベント ビューアー] ウィンドウの左側にある [カスタム ビューのインポート] を強調表示するアニメーション

  4. 目的のカスタム ビューの XML ファイルを展開した場所に移動し、選択します。Navigate to where you extracted XML file for the custom view you want and select it.

  5. [ 開く] を選びます。Select Open.

  6. その機能に関連するイベントのみが表示されるようにフィルター処理するカスタムビューを作成します。It will create a custom view that filters to only show the events related to that feature.

XML を直接コピーするCopy the XML directly

  1. スタート メニューに「イベント ビューアー」と入力し、Windows イベント ビューアーを開きます。Type event viewer in the Start menu and open the Windows Event Viewer.

  2. 左側のパネルで、[アクション] の下の [カスタムビューの作成] を選択します。On the left panel, under Actions, select Create Custom View...

    [イベント ビューアー] ウィンドウの [カスタム ビューの作成] オプションを強調表示するアニメーション

  3. [XML] タブに移動し、[ クエリの編集] を選択します。Go to the XML tab and select Edit query manually. [XML] オプションを使用すると、[ フィルター ] タブを使用してクエリを編集できないという警告が表示されます。You'll see a warning that you can't edit the query using the Filter tab if you use the XML option. [ はい] を選びます。Select Yes.

  4. イベントをフィルター処理する機能の XML コードを XML セクションに貼り付けます。Paste the XML code for the feature you want to filter events from into the XML section.

  5. [OK] を選択します。Select OK. フィルターの名前を指定します。Specify a name for your filter.

  6. その機能に関連するイベントのみが表示されるようにフィルター処理するカスタムビューを作成します。It will create a custom view that filters to only show the events related to that feature.

Attack surface reduction ルールイベントの XMLXML for attack surface reduction rule events

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

管理されたフォルダーアクセスイベントの XMLXML for controlled folder access events

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

Exploit protection イベント用 XMLXML for exploit protection events

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

ネットワーク保護イベント用の XMLXML for network protection events

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Attack surface reduction イベントの一覧List of attack surface reduction events

すべての attack surface reduction イベントは、 Microsoft > Windows > 、次の表のように、[アプリケーションとサービスログ] の下に表示されます。All attack surface reduction events are located under Applications and Services Logs > Microsoft > Windows and then the folder or provider as listed in the following table.

Windows イベント ビューアーでこれらのイベントにアクセスできます。You can access these events in Windows Event viewer:

  1. [ スタート ] メニューを開き、「 イベントビューアー」と入力して、[ イベントビューアー ] の結果を選びます。Open the Start menu and type event viewer, and then select the Event Viewer result.

  2. [アプリケーションとサービス ログ]、[Microsoft]、[Windows] の順に展開して、次の表のプロバイダー/ソースの下に掲載されているフォルダーに移動します。Expand Applications and Services Logs > Microsoft > Windows and then go to the folder listed under Provider/source in the table below.

  3. イベントを表示するには、サブ項目をダブルクリックします。Double-click on the sub item to see events. イベントをスクロールして、探しているイベントを見つけます。Scroll through the events to find the one you're looking.

    イベント ビューアーの使い方を示すアニメーション

機能Feature プロバイダー/ソースProvider/source イベント IDEvent ID 説明Description
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 1 ACG の監査ACG audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 両面2 ACG の実施ACG enforce
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) -3 [Do not allow child processes] (子プロセスを許可しない) 監査Do not allow child processes audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 4d4 [Do not allow child processes] (子プロセスを許可しない) ブロックDo not allow child processes block
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 5 [Block low integrity images] (整合性が低いイメージのブロック) 監査Block low integrity images audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) =6 [Block low integrity images] (整合性が低いイメージのブロック) ブロックBlock low integrity images block
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 7 [Block remote images] (リモート イメージのブロック) 監査Block remote images audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 8 [Block remote images] (リモート イメージのブロック) ブロックBlock remote images block
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) ファイブ9 [Disable win32k system calls] (win32k システム呼び出しの無効化) 監査Disable win32k system calls audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 常用10 [Disable win32k system calls] (win32k システム呼び出しの無効化) ブロックDisable win32k system calls block
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 折り11 [Code integrity guard] (コードの整合性の保護) 監査Code integrity guard audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 以内12 [Code integrity guard] (コードの整合性の保護) ブロックCode integrity guard block
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 1413 EAF の監査EAF audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 1414 EAF の実施EAF enforce
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) マート15 EAF+ の監査EAF+ audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 1616 EAF+ の実施EAF+ enforce
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 1717 IAF の監査IAF audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 18 IAF の実施IAF enforce
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) #19 ROP StackPivot の監査ROP StackPivot audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 超える20 ROP StackPivot の実施ROP StackPivot enforce
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 200421 ROP CallerCheck の監査ROP CallerCheck audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 2222 ROP CallerCheck の実施ROP CallerCheck enforce
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 最高23 ROP SimExec の監査ROP SimExec audit
Exploit ProtectionExploit protection Security-Mitigations (カーネルモード/ユーザーモード)Security-Mitigations (Kernel Mode/User Mode) 2424 ROP SimExec の実施ROP SimExec enforce
Exploit ProtectionExploit protection WER-DiagnosticsWER-Diagnostics 5 CFG のブロックCFG Block
Exploit ProtectionExploit protection Win32K (Operational)Win32K (Operational) 260260 非信頼フォントUntrusted Font
ネットワーク保護Network protection Windows Defender (Operational)Windows Defender (Operational) 50075007 設定が変更されるときのイベントEvent when settings are changed
ネットワーク保護Network protection Windows Defender (Operational)Windows Defender (Operational) 11251125 ネットワーク保護が監査モードで起動したときのイベントEvent when Network protection fires in Audit-mode
ネットワーク保護Network protection Windows Defender (Operational)Windows Defender (Operational) 11261126 ネットワーク保護がブロック モードで起動したときのイベントEvent when Network protection fires in Block-mode
フォルダー アクセスの制御Controlled folder access Windows Defender (Operational)Windows Defender (Operational) 50075007 設定が変更されるときのイベントEvent when settings are changed
フォルダー アクセスの制御Controlled folder access Windows Defender (Operational)Windows Defender (Operational) 11241124 監査されたフォルダー アクセスの制御イベントAudited Controlled folder access event
フォルダー アクセスの制御Controlled folder access Windows Defender (Operational)Windows Defender (Operational) 11231123 ブロックされたフォルダー アクセスの制御イベントBlocked Controlled folder access event
フォルダー アクセスの制御Controlled folder access Windows Defender (Operational)Windows Defender (Operational) 11271127 ブロックされた制御フォルダーアクセスセクターの書き込みブロックイベントBlocked Controlled folder access sector write block event
フォルダー アクセスの制御Controlled folder access Windows Defender (Operational)Windows Defender (Operational) 11281128 監査制御されたフォルダーアクセスセクターの書き込みブロックイベントAudited Controlled folder access sector write block event
攻撃面の縮小Attack surface reduction Windows Defender (Operational)Windows Defender (Operational) 50075007 設定が変更されるときのイベントEvent when settings are changed
攻撃表面の縮小Attack surface reduction Windows Defender (Operational)Windows Defender (Operational) 11221122 ルールが監査モードで起動したときのイベントEvent when rule fires in Audit-mode
攻撃表面の縮小Attack surface reduction Windows Defender (Operational)Windows Defender (Operational) 11211121 ルールがブロック モードで起動したときのイベントEvent when rule fires in Block-mode