攻撃面の縮小機能を理解して使用する

適用対象:

プラットフォーム

  • Windows

ヒント

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

攻撃面は、organizationがサイバー脅威や攻撃に対して脆弱なすべての場所です。 Defender for Endpoint には、攻撃対象領域を減らすのに役立ついくつかの機能が含まれています。 攻撃面の縮小の詳細については、次のビデオをご覧ください。

攻撃面の減少機能を構成する

環境内で攻撃面の縮小を構成するには、次の手順に従います。

  1. Microsoft Edge のハードウェア ベースの分離を有効にします

  2. 攻撃面の縮小ルールを有効にします

  3. アプリケーション制御を有効にします。

    1. Windows の基本ポリシーを確認します。 「 基本ポリシーの例」を参照してください。

    2. Windows Defender アプリケーション コントロールの設計ガイドを参照してください。

    3. Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」を参照してください。

  4. フォルダー アクセスの制御を有効にします

  5. リムーバブル 記憶域保護を有効にします。

  6. ネットワーク保護を有効にします

  7. Web 保護を有効にします。

  8. エクスプロイト保護を有効にします

  9. ネットワーク ファイアウォールを設定します。

    1. 高度なセキュリティを備 えた Windows ファイアウォールの概要を確認します。

    2. Windows ファイアウォールの設計ガイドを使用して、ファイアウォール ポリシーを設計する方法を決定します。

    3. Windows ファイアウォール展開ガイドを使用して、高度なセキュリティを備えたorganizationのファイアウォールを設定します。

ヒント

ほとんどの場合、攻撃面の縮小機能を構成する場合は、いくつかの方法から選択できます。

  • Microsoft Intune
  • Microsoft 構成マネージャー
  • グループ ポリシー
  • PowerShell コマンドレット

Microsoft Defender for Endpointでの攻撃面の減少をテストする

organizationのセキュリティ チームの一員として、攻撃面の縮小機能を監査モードで実行するように構成して、それらがどのように機能するかを確認できます。 監査モードでは、次の攻撃面の削減セキュリティ機能を有効にすることができます。

  • 攻撃面の減少ルール
  • エクスプロイト保護
  • ネットワーク保護
  • コントロールされたフォルダー アクセス
  • デバイス制御

監査モードでは、機能が有効になっている場合に何が起こった のレコードを表示できます。

機能の動作をテストするときに監査モードを有効にすることができます。 テストに対してのみ監査モードを有効にすると、監査モードが基幹業務アプリに影響を与えるのを防ぐことができます。 また、一定期間に発生した疑わしいファイルの変更試行の数を把握することもできます。

この機能は、アプリ、スクリプト、またはファイルの変更をブロックしたり、妨げるわけではありません。 ただし、Windows イベント ログでは、機能が完全に有効になっているかのようにイベントが記録されます。 監査モードでは、イベント ログを確認して、機能が有効になっている場合の影響を確認できます。

監査されたエントリを見つけるには、アプリケーションとサービス>Microsoft>Windows>Windows Defender>Operational に移動します。

Defender for Endpoint を使用して、各イベントの詳細を取得します。 これらの詳細は、攻撃面の縮小ルールを調査するのに特に役立ちます。 Defender for Endpoint コンソールを使用すると、アラート タイムラインと調査シナリオの一部として問題を調査できます

監査モードは、グループ ポリシー、PowerShell、および構成サービス プロバイダー (CSP) を使用して有効にすることができます。

監査オプション 監査モードを有効にする方法 イベントを表示する方法
監査はすべてのイベントに適用されます 制御されたフォルダー アクセスを有効にする フォルダー アクセスの制御イベント
監査は個々のルールに適用されます 手順 1: 監査モードを使用して攻撃面の縮小ルールをテストする 手順 2: 攻撃面の縮小ルールのレポート ページを理解する
監査はすべてのイベントに適用されます ネットワーク保護を有効にする ネットワーク保護イベント
監査は個々の軽減策に適用されます Exploit Protection を有効にする Exploit Protection イベント

たとえば、ブロック モードで有効にする前に、監査モードで攻撃面の縮小ルールをテストできます。 攻撃面の縮小ルールは、一般的な既知の攻撃サーフェスを強化するために事前に定義されています。 攻撃面の縮小ルールを実装するために使用できる方法はいくつかあります。 推奨される方法については、次の攻撃面の縮小ルールの展開に関する記事を参照してください。

攻撃面の減少イベントを表示する

イベント ビューアーの攻撃面縮小イベントを確認して、動作しているルールまたは設定を監視します。 また、設定が "ノイズが多すぎる" か、日常のワークフローに影響を与えているかどうかを判断することもできます。

イベントの確認は、機能を評価するときに便利です。 機能または設定に対して監査モードを有効にし、それらが完全に有効になっている場合に何が起こったかを確認できます。

このセクションでは、すべてのイベント、関連する機能または設定を一覧表示し、特定のイベントにフィルター処理するカスタム ビューを作成する方法について説明します。

E5 サブスクリプションがあり、Microsoft Defender for Endpointを使用している場合は、Windows セキュリティの一部としてイベント、ブロック、警告に関する詳細なレポートを取得します

カスタム ビューを使用して攻撃面の縮小機能を確認する

Windows イベント ビューアーのカスタム ビューをCreateして、特定の機能と設定のイベントのみを表示します。 最も簡単な方法は、カスタム ビューを XML ファイルとしてインポートすることです。 このページから XML を直接コピーできます。

また、機能に対応するイベント領域に手動で移動することもできます。

既存の XML カスタム ビューをインポートする

  1. 空の .txt ファイルをCreateし、使用するカスタム ビューの XML を .txt ファイルにコピーします。 使用するカスタム ビューごとにこれを行います。 ファイルの名前を次のように変更します (型を .txt から .xml に変更してください)。

    • フォルダー アクセスイベントのカスタム ビューの制御: cfa-events.xml
    • Exploit Protection イベントのカスタム ビュー: ep-events.xml
    • 攻撃面縮小イベントのカスタム ビュー: asr-events.xml
    • ネットワーク/保護イベントのカスタム ビュー: np-events.xml
  2. [スタート] メニューに「イベント ビューアー」と入力し、イベント ビューアーを開きます。

  3. [ アクション>のインポート] [カスタム ビューのインポート] を選択します。..

    [偶数] ビューアー ウィンドウの左側にある [カスタム ビューのインポート] を強調表示しているアニメーション。

  4. 目的のカスタム ビューの XML ファイルを抽出した場所に移動し、それを選択します。

  5. [開く]を選択します。

  6. その機能に関連するイベントのみを表示するようにフィルター処理するカスタム ビューが作成されます。

XML を直接コピーする

  1. [スタート] メニューに「イベント ビューアー」と入力し、Windows イベント ビューアーを開きます。

  2. 左側のパネルの [アクション] で、[カスタム ビュー Create選択します。..

    [イベント ビューアー] ウィンドウの [カスタム ビューの作成] オプションを強調表示するアニメーション。

  3. [XML] タブに移動し、 手動で [クエリの編集] を選択します。 XML オプションを使用すると、[ フィルター ] タブを使用してクエリを編集できないという警告が表示されます。 [はい] を選択します。

  4. イベントをフィルター処理する機能の XML コードを XML セクションに貼り付けます。

  5. [OK] を選択します。 フィルターの名前を指定します。 このアクションにより、その機能に関連するイベントのみを表示するようにフィルター処理するカスタム ビューが作成されます。

攻撃面の縮小ルール イベントの XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

制御されたフォルダー アクセス イベントの XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

エクスプロイト保護イベント用の XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

ネットワーク保護イベントの XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

攻撃面の縮小イベントの一覧

すべての攻撃面の縮小イベントは、次の表に示すように、 アプリケーションとサービス ログ > Microsoft > Windows の下に配置され、フォルダーまたはプロバイダーになります。

Windows イベント ビューアーでは、次のイベントにアクセスできます。

  1. [スタート] メニューを開き、「イベント ビューアー」と入力し、イベント ビューアー結果を選択します。

  2. [ アプリケーションとサービス ログ > Microsoft > Windows ] を展開し、次の表の [ プロバイダー/ソース ] の下に一覧表示されているフォルダーに移動します。

  3. サブアイテムをダブルクリックすると、イベントが表示されます。 イベントをスクロールして、探しているイベントを見つけます。

    イベント ビューアーを使用して示すアニメーション。

機能 プロバイダー/ソース イベント ID 説明
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 1 ACG の監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 2 ACG の実施
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 3 [Do not allow child processes] (子プロセスを許可しない) 監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 4 [Do not allow child processes] (子プロセスを許可しない) ブロック
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 5 [Block low integrity images] (整合性が低いイメージのブロック) 監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 6 [Block low integrity images] (整合性が低いイメージのブロック) ブロック
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 7 [Block remote images] (リモート イメージのブロック) 監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 8 [Block remote images] (リモート イメージのブロック) ブロック
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 9 [Disable win32k system calls] (win32k システム呼び出しの無効化) 監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 10 [Disable win32k system calls] (win32k システム呼び出しの無効化) ブロック
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 11 [Code integrity guard] (コードの整合性の保護) 監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 12 [Code integrity guard] (コードの整合性の保護) ブロック
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 13 EAF の監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 14 EAF の実施
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 15 EAF+ の監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 16 EAF+ の実施
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 17 IAF の監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 18 IAF の実施
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 19 ROP StackPivot の監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 20 ROP StackPivot の実施
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 21 ROP CallerCheck の監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 22 ROP CallerCheck の実施
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 23 ROP SimExec の監査
エクスプロイト保護 セキュリティ軽減策 (カーネル モード/ユーザー モード) 24 ROP SimExec の実施
エクスプロイト保護 WER-Diagnostics 5 CFG のブロック
エクスプロイト保護 Win32K (運用) 260 信頼されていないフォント
ネットワーク保護 Windows Defender (運用) 5007 設定が変更されたときのイベント
ネットワーク保護 Windows Defender (運用) 1125 監査モードでネットワーク保護が起動した場合のイベント
ネットワーク保護 Windows Defender (運用) 1126 ブロック モードでネットワーク保護が発生した場合のイベント
コントロールされたフォルダー アクセス Windows Defender (運用) 5007 設定が変更されたときのイベント
コントロールされたフォルダー アクセス Windows Defender (運用) 1124 監査されたフォルダー アクセスの制御イベント
コントロールされたフォルダー アクセス Windows Defender (運用) 1123 ブロックされたフォルダー アクセス イベント
コントロールされたフォルダー アクセス Windows Defender (運用) 1127 ブロックされたフォルダー アクセス セクターの書き込みブロック イベント
コントロールされたフォルダー アクセス Windows Defender (運用) 1128 監査されたフォルダー アクセス セクターの書き込みブロック イベントの制御
攻撃面の縮小 Windows Defender (運用) 5007 設定が変更されたときのイベント
攻撃面の縮小 Windows Defender (運用) 1122 監査モードでルールが発生した場合のイベント
攻撃面の縮小 Windows Defender (運用) 1121 ブロック モードでルールが発生した場合のイベント

注:

ユーザーの観点からは、攻撃面の縮小警告モードの通知は、攻撃面の縮小ルールの Windows トースト通知として行われます。

攻撃面の縮小では、Network Protection では監査モードとブロック モードのみが提供されます。

攻撃面の縮小の詳細については、リソースを参照してください。

ビデオで説明したように、Defender for Endpoint にはいくつかの攻撃面の縮小機能が含まれています。 詳細については、次のリソースを使用してください。

記事 説明
アプリケーション制御 アプリケーション制御を使用して、アプリケーションを実行するために信頼を獲得する必要があります。
攻撃面の縮小ルールリファレンス 各攻撃面の縮小ルールに関する詳細を提供します。
攻撃面の縮小ルールの展開ガイド 攻撃面の縮小ルールを展開するための概要情報と前提条件を示し、次に、テスト (監査モード)、有効化 (ブロック モード)、監視に関する詳細なガイダンスを示します。
制御されたフォルダー アクセス 悪意のあるアプリや疑わしいアプリ (ファイル暗号化ランサムウェアマルウェアを含む) がキー システム フォルダー内のファイルに変更を加えないようにします (Microsoft Defenderウイルス対策が必要です)。
デバイス コントロール organization内のリムーバブル ストレージや USB ドライブなどのデバイスで使用されるメディアを監視および制御することで、データ損失から保護します。
エクスプロイト保護 organizationが使用するオペレーティング システムとアプリが悪用されないように保護するのに役立ちます。 エクスプロイト保護 は、サード パーティ製のウイルス対策ソリューションでも機能します。
ハードウェア ベースの分離 システムの起動時および実行中に、システムの整合性を保護および維持します。 ローカルおよびリモートの構成証明を使用してシステムの整合性を検証します。 Microsoft Edge のコンテナー分離を使用して、悪意のある Web サイトから保護します。
ネットワーク保護 組織のデバイス上のネットワーク トラフィックと接続に対する保護を拡張します。 (Microsoft Defender ウイルス対策が必要)。
攻撃面の縮小ルールをテストする 監査モードを使用して攻撃面の縮小ルールをテストする手順について説明します。
Web 保護 Web 保護を使用すると、Web の脅威からデバイスを保護し、不要なコンテンツを規制できます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。