この記事では、Microsoft Defender for Endpointで攻撃面の縮小 (ASR) 規則を示すテスト ファイル、スクリプト、手順について説明します。
ASR ルールは、攻撃者がマルウェアを介して一般的に悪用する Windows デバイスでの危険なソフトウェア動作を対象としています (たとえば、ファイルをダウンロードするスクリプトの起動、難読化されたスクリプトの実行、他のプロセスへのコードの挿入など)。 ASR ルールの詳細については、「 攻撃面の縮小 (ASR) ルールの概要」を参照してください。
前提条件
- バージョン 1709 (2017 年 10 月) 以降Windows 10。
- Windows Server 2012 R2 以降。
- R2 と Windows Server 2016 Windows Server 2012には、最新の統合ソリューションの機能が必要です。
- Azure Local (旧称 Azure Stack ハイパーコンバージド インフラストラクチャ (HCI)) OS バージョン 23H2 以降。
- 攻撃面の縮小 PowerShell スクリプトをダウンロードして抽出する
PowerShell コマンド
使用可能なすべての ASR 規則を有効にするには、管理者特権の PowerShell ウィンドウ ([ 管理者として実行] を選択した後に開いた PowerShell ウィンドウ) で次のコマンドを実行します。
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode
ASR ルール名と関連する GUID 値は、[ テスト ファイル ] セクションに一覧表示されます。
構成を確認する
ASR 規則の状態を確認するには、管理者特権の PowerShell ウィンドウで次のコマンドを実行します。
$p = Get-MpPreference
$ids = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)
for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
[pscustomobject]@{
RuleId = $ids[$i]
Action = $actions[$i]
}
}
使用可能なルールの状態については、次の表を参照してください。
| モード | テキスト 値 |
数値 値 |
|---|---|---|
| Off | 無効 | 0 |
| ブロック モードで有効 | 有効 | 1 |
| 監査モードで有効 | AuditMode | 2 |
| 未構成 | NotConfigured | 5 |
| 警告モードで有効 | 警告 | 6 |
テスト ファイル
次の表は、ASR ルール名を対応する GUID 値に関連付けます。
ヒント
ルール名のリンクは、使用可能なテスト ファイルへのリンクです。 一部のテスト ファイルには、複数の ASR ルールをトリガーする複数のエクスプロイトが含まれています。
GUID 値のリンクは、ルールの詳細へのリンクです。
シナリオ
セットアップ
管理者特権の PowerShell ウィンドウで次のコマンドを実行して、実行ポリシーを [無制限] に設定します。
Set-ExecutionPolicy Unrestrictedこの セットアップ スクリプトをダウンロード、抽出、実行します。
または、代わりに次の手動手順を実行することもできます。
- フォルダー C:\Demo を作成します。
- このクリーン ファイルを C:\Demo に保存します。
- PowerShell コマンドを使用して、すべてのルールを有効にします。
シナリオ 1: 攻撃面の縮小によって、複数の脆弱性を持つテスト ファイルがブロックされる
- PowerShell コマンドを使用して、ブロック モードですべてのルールを有効にします。
- テスト ファイル/ドキュメントをダウンロードして開きます。 メッセージが表示されたら、編集とコンテンツを有効にします。
予想される結果:
"アクションがブロックされました" という通知がすぐに表示されます。
シナリオ 2: ASR ルールによって、対応する脆弱性を持つテスト ファイルがブロックされる
テストする個々のルールを構成します。 たとえば、 すべての Office アプリケーションで子プロセスの作成をブロックするルールを 有効にするには、管理者特権の PowerShell ウィンドウで次のコマンドを実行します。
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabledテストするルールのテスト ファイル/ドキュメントをダウンロードして開きます。 メッセージが表示されたら、編集とコンテンツを有効にします。 例:
予想される結果:
"アクションがブロックされました" という通知がすぐに表示されます。
シナリオ 3: ASR ルールによって、信頼されていないファイルが USB ドライブから実行されるのをブロックする
ヒント
この ASR ルールは、バージョン 1709 (2017 年 10 月) 以降Windows 10使用できます。
管理者特権の PowerShell ウィンドウで次のコマンドを実行して、USB ASR から 実行される信頼されていないプロセスと署名されていないプロセスをブロック する規則を有効にします。
Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions Enabled次のファイルを USB ドライブにダウンロードします (別の場所にダウンロードした後に直接、または USB ドライブにコピーします)。
リムーバブル USB メディア内の信頼されていない実行可能ファイルまたは署名されていない実行可能ファイルの実行をブロックする
USB ドライブからファイルを実行します。
予想される結果:
"アクションがブロックされました" という通知がすぐに表示されます。
シナリオ 4: 攻撃面の縮小なしで何が起こるか
[ クリーンアップ ] セクションの PowerShell コマンドを使用して、攻撃面の縮小ルールをすべてオフにします。
任意のテスト ファイル/ドキュメントをダウンロードします。 メッセージが表示されたら、編集とコンテンツを有効にします。
予想される結果:
- C:\Demo のファイルは暗号化されており、警告メッセージが表示されます。
- テスト ファイルをもう一度実行して、ファイルの暗号化を解除します。
クリーンアップ
このクリーンアップ スクリプトをダウンロード、抽出、実行します。
または、管理者特権の PowerShell ウィンドウで次のコマンドを実行して、すべての ASR 規則を無効にすることができます。
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled
暗号化/復号化ファイルを実行して C:\Demo 暗号化をクリーンアップします。