攻撃面の縮小ルールのトラブルシューティング
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
攻撃面の縮小ルールを使用すると、次のような問題が発生する可能性があります。
- ルールは、ファイルをブロックしたり、処理したり、他のアクションを実行したりしません (誤検知)
- ルールが説明どおりに機能しないか、または必要なファイルまたはプロセスをブロックしない (false 負)
これらの問題をトラブルシューティングするには、次の 4 つの手順があります。
- 前提条件を確認する
- 監査モードを使用してルールをテストする
- 指定したルールの除外を追加 する (誤検知の場合)
- サポート ログを送信する
前提条件を確認する
攻撃面の縮小ルールは、次の条件を持つデバイスでのみ機能します。
エンドポイントは、Windows 10 Enterprise以降で実行されています。
エンドポイントでは、Microsoft Defenderウイルス対策を唯一のウイルス対策保護アプリとして使用しています。 他のウイルス対策アプリを使用すると、Microsoft Defenderウイルス対策自体が無効になります。
リアルタイム保護 が有効になっています。
監査モードが有効になっていません。 「攻撃面の縮小ルールを有効にする」の説明に従って、グループ ポリシーを使用してルールを無効 (値: 0) に設定します。
これらの前提条件が満たされている場合は、次の手順に進み、監査モードでルールをテストします。
監査モードを使用してルールをテストする
「デモ ツールを使用する」の手順に従って、問題が発生している特定のルールをテストするために 攻撃面の縮小ルールがどのように機能するかを確認 します。
テストする特定のルールの監査モードを有効にします。 「攻撃面の縮小ルールを有効にする」の説明に従って、グループ ポリシーを使用してルールを監査モード (値: 2) に設定します。 監査モードでは、ルールでファイルまたはプロセスを報告できますが、実行は許可されます。
問題の原因となっているアクティビティを実行します (たとえば、ブロックする必要があるが許可されているファイルやプロセスを開いたり実行したりします)。
攻撃面の縮小ルール イベント ログ を確認して、ルールが [有効] に設定されている場合に、ルールによってファイルまたはプロセスがブロックされるかどうかを確認します。
ルールがブロックする必要があるファイルまたはプロセスをブロックしていない場合は、最初に監査モードが有効になっている場合にチェックします。
監査モードは、別の機能のテストまたは自動 PowerShell スクリプトによって有効になっている場合があり、テストが完了した後は無効にならない場合があります。
デモ ツールと監査モードでルールをテストし、攻撃面の縮小ルールが構成済みのシナリオで動作しているが、ルールが期待どおりに機能しない場合は、状況に基づいて次のいずれかのセクションに進みます。
攻撃面の縮小ルールがブロックしてはならないもの (誤検知とも呼ばれます) をブロックしている場合は、 最初に攻撃面の縮小ルールの除外を追加できます。
攻撃面の縮小ルールがブロックする必要のあるものをブロックしていない場合 (偽陰性とも呼ばれます)、最後の手順に直ちに進み、 診断データを収集し、問題を Microsoft に送信できます。
誤検知の除外を追加する
攻撃対象領域の縮小ルールでブロックしてはならないもの (誤検知とも呼ばれます) がブロックされている場合は、除外を追加して、攻撃面の縮小ルールが除外されたファイルまたはフォルダーを評価できないようにすることができます。
除外を追加するには、「 攻撃面の縮小をカスタマイズする」を参照してください。
重要
除外する個々のファイルとフォルダーを指定できますが、個々のルールを指定することはできません。 つまり、除外されたファイルまたはフォルダーは、すべての ASR 規則から除外されます。
誤検知または偽陰性を報告する
ネットワーク保護の偽陰性または誤検知を報告するには、Microsoft セキュリティ インテリジェンス Web ベースの送信フォームを使用します。 Windows E5 サブスクリプションでは、 関連付けられているアラートへのリンクを指定することもできます。
ファイル送信の診断データを収集する
攻撃面の縮小ルールに関する問題を報告すると、問題のトラブルシューティングに役立つ Microsoft サポートチームとエンジニアリング チームが使用できる診断データを収集して送信するように求められます。
管理者特権のコマンド プロンプトを開き、Windows Defender ディレクトリに変更します。
cd "c:\program files\Windows Defender"診断ログを生成するには、次のコマンドを実行します。
mpcmdrun -getfiles既定では、 は に
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab保存されます。 提出フォームにファイルを添付します。
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示