攻撃面の縮小に関してよく寄せられる質問 (FAQ)

はい。 攻撃表面の縮小 (ASR) ルールは、windows のすべての現在のエディションに含まれるMicrosoft Defenderウイルス対策の機能です。 ただし、ASR ルールの一元管理とレポートには、Microsoft Defender for Endpointが必要です。 詳細については、「 攻撃面の縮小ルールの概要」を参照してください。

その必要はありません。 ASR ルールは、Microsoft Defender ウイルス対策の機能であるため、現在のすべてのエディションの Windows で動作します。 ただし、Microsoft IntuneまたはMicrosoft Configuration Managerを使用した一元的な管理とレポートには、Microsoft Defender for Endpointと対応するエンタープライズ ライセンスが必要です。

Windows ライセンスの詳細については、「 https://www.microsoft.com/licensing/product-licensing/windows」を参照してください。

Microsoft Defender for Endpointでは、次のような ASR ルールの一元管理と監視が提供されます。

• デバイス間での ASR 規則の一元化されたデプロイと構成。
• Microsoft Defender ポータルでの ASR ルールのレポートとアラートの可視性。
• ASR ルール イベントの高度なハンティング クエリ。

これらの機能には、Defender for Endpoint ライセンスが必要です (たとえば、Microsoft 365 E3または E5 の一部として)。 詳細については、「 ASR ルールのデプロイと構成方法」を参照してください。

詳細については、「 攻撃面の縮小ルールリファレンス」を参照してください。

ASR ルールは個別に有効にすることができます。 まず、監査モードでほとんどのルールを有効にして、organization (基幹業務アプリケーションなど) に対して考えられる影響を判断することをお勧めします。

ASR ルールでは、次の種類の除外がサポートされています。

• グローバル ASR ルールの除外は、 すべての ASR ルールに適用されます。 すべての ASR ルール構成方法では、グローバル除外がサポートされます。
• ASR ごとのルールの除外は 個々のルールに適用されるため、異なるルールに異なる除外を割り当てることができます。 Microsoft Intuneのグループ ポリシーとエンドポイントのセキュリティ ポリシーのみが、ルールごとの除外をサポートします。

一部の ASR ルールでは、Microsoft Defenderウイルス対策の除外が適用されるわけではありません。 ルールごとの除外サポートの詳細については、「 ASR ルールのファイルとフォルダーの除外」を参照してください。

攻撃面の縮小ルールによって保護フローが異なります。 攻撃面の縮小ルールが保護する内容と、実行フローのしくみを常に考慮してください。 たとえば、ローカル セキュリティ機関サブシステム (LSASS) プロセスから直接読み取ると、企業の資格情報が公開される可能性があるため、セキュリティ 上のリスクになる可能性があります。

Windows ローカル セキュリティ機関サブシステム (lsass.exe) から資格情報を盗み取るブロック規則は、信頼されていないプロセスが LSASS メモリに直接アクセスできないようにします。 PROCESS_VM_READアクセス権を持つプロセスがOpenProcess()関数を使用して LSASS にアクセスしようとすると、次のスクリーンショットに示すように、規則はそのアクセス権を特にブロックします。

ブロックされたプロセスの例外を作成する必要がある場合は、次のスクリーンショットに示すように、ファイル名と完全パスを使用します。

値 0 は、ASR ルールが指定されたファイルまたはプロセスを無視し、それをブロックまたは監査しないことを意味します。

ASR ごとの規則の除外は、Microsoft Intuneのグループ ポリシーとエンドポイントのセキュリティ ポリシーでのみサポートされます。 構成手順については、「 攻撃面の縮小ルールを有効にする」を参照してください。 さまざまな種類の除外の詳細については、「 ASR 規則のファイルとフォルダーの除外」を参照してください。

一般に、すべてのルールを有効にすることをお勧めしますが、次の考慮事項があります。

• 通常、監査モードではテストせずに、ブロック モードで次の標準保護規則を有効にすることができます。

  • 悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス)
  • Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする 注: ローカル セキュリティ機関 (LSA) 保護 (Credential Guard と共に推奨) を有効にした場合、この規則は冗長です。
  • WMI イベント サブスクリプションによる永続化をブロックする 注: Microsoft Configuration Manager (以前のバージョン) クライアントは WMI に大きく依存するため、このルールをブロック モードでアクティブにする前に監査モードで広範なテストを行うことをお勧めします。

  これらの各規則の詳細については、「Standard保護規則」を参照してください。

• 他のすべてのルールは、ブロック モードでアクティブ化する前に監査モードでテストする必要があります。 これらの各規則の詳細については、「 その他の ASR 規則」を参照してください。

監査モードで攻撃面の縮小ルールをテストして、攻撃面の縮小から除外する必要がある基幹業務アプリケーションを特定します。

大規模な組織では、より多くのデバイスにルールを監査して有効にする "リング" を拡張する際に、攻撃面の縮小ルールを展開することを検討する必要があります。 Microsoft Intuneまたはグループ ポリシー管理ツールを使用して、デバイスをリングに整理できます。

手順については、「 攻撃面縮小ルールの展開の概要」を参照してください。

監査モードのルールは、約 30 日間、ルールの動作に適したベースラインを提供する必要があります。 除外を必要とする基幹業務アプリケーションを特定できます。

ほとんどの場合、別のセキュリティ ソリューションからルールをインポートするよりも、 Defender for Endpoint によって提案されたベースラインの推奨事項から始める方が簡単で優れています。 監査モード、監視、分析を使用して Defender for Endpoint を構成します。

ほとんどの攻撃面削減ルールの既定の構成は、Defender for Endpoint のリアルタイム保護と組み合わせて、多数の悪用や脆弱性から保護します。

Defender for Endpoint では、カスタム インジケーターを使用して防御を更新して、特定のソフトウェアの動作を許可およびブロックできます。 ASR ルールでは、ファイルとフォルダーの除外もサポートされています。 一般に、 監査 モードでルールをテストして、基幹業務アプリケーションに必要な可能性がある除外を特定します。

はい。 詳細については、次の記事を参照してください。

• ASR ルールのファイルとフォルダーの除外
• ファイル拡張子とフォルダーの場所に基づいて除外を構成して検証します。

ルールによって異なります。 ほとんどのルールは、Microsoft Office 製品とサービスの動作 (Word、Excel、PowerPoint、OneNote、Outlook など) に対応しています。 一部のルール (たとえば、 難読化される可能性のあるスクリプトの実行をブロックする) は、より一般的なスコープです。

その必要はありません。 攻撃面の縮小では、Microsoft Defenderウイルス対策を使用してアプリをブロックします。 別のセキュリティ ソリューションを使用するように攻撃面の縮小を構成することはできません。

攻撃面の縮小ルールがローカルで通知をトリガーすると、イベントに関するレポートも Defender for Endpoint ポータルに送信されます。 イベントが見つからない場合は、検索ボックスを使用してタイムラインイベントをフィルター処理できます。

また、Microsoft Defender for Cloud タスク バーの [構成管理] から [攻撃対象領域の管理に移動] を選択して、攻撃対象領域の縮小イベントを表示することもできます。 攻撃表面管理ページには、レポート検出用のタブが含まれています。これには、Defender for Endpoint に報告される攻撃面の縮小ルール イベントの完全な一覧が含まれています。

検索ボックスに「インデックス作成オプション」と入力して、Windows 10以降から直接インデックス作成オプションを開いてみてください。

その必要はありません。 Microsoft クラウド保護は、世界中から収集されたデータを使用して基準を維持します。 除外リストにアプリを追加してルールをカスタマイズして、ルールがトリガーされないようにすることができます。

このルールは、普及率、年齢、または信頼できるアプリの一覧への含め方を使用して、アプリの評判を決定します。 Microsoft クラウド保護によるこれらの基準の評価は、最終的にアプリをブロックまたは許可する決定を決定します。

通常、クラウド保護では、アプリの新しいバージョンが以前のバージョンのアプリと十分に似ていると判断できるため、アプリの長い再評価は必要ありません。 ただし、特に大規模な更新後に、新しいバージョンのアプリが評判を構築するのに時間がかかる場合があります。 その間、アプリを除外リストに追加できます。 新しいバージョンのアプリを頻繁に更新して操作する場合は、 監査 モードでこの規則を構成することを検討してください。

このルールによって生成された通知は、必ずしも悪意のあるアクティビティを示すわけではありません。 ただし、このルールは、悪意のあるアクティビティをブロックするために引き続き役立ちます。 マルウェアは、多くの場合、アカウントへの不正なアクセスを得るために lsass.exe をターゲットにします。 lsass.exe プロセスでは、ユーザーがサインインした後、ユーザー資格情報がメモリに格納されます。 Windows では、これらの資格情報を使用してユーザーを検証し、ローカル セキュリティ ポリシーを適用します。

多くの正当なプロセスが資格情報の lsass.exe を呼び出すので、この規則は特にうるさい場合があります。 既知の正当なアプリによってこのルールが過剰な数の通知を生成する場合は、除外リストに追加できます。 その他の攻撃面の縮小ルールのほとんどは、比較的少ない数の通知を生成します。

その必要はありません。 ローカル セキュリティ機関 (LSA) 保護 (Credential Guard と共に推奨) を有効にした場合:

• このルールは必要ありません。
• この規則では、追加の保護は提供されません (規則と LSA 保護も同様に機能します)。
• このルールは、Microsoft Defender ポータルの Defender for Endpoint 管理設定では適用されないと分類されます。

LSA 保護や Credential Guard を有効にできない場合は、この規則を構成して、 lsass.exeを対象とするマルウェアに対して同等の保護を提供できます。

• 攻撃面の縮小 (ASR) ルールの概要
• 攻撃面の減少 (ASR) ルールの参照
• 攻撃面の縮小 (ASR) ルールの展開ガイド
• 攻撃面の縮小 (ASR) ルール アクティビティを監視する
• 攻撃面の縮小 (ASR) ルールを構成する