Microsoft 以外の HIPS から攻撃面の縮小ルールへの移行

この記事では、一般的なルールをMicrosoft Defender for Endpointにマップするのに役立ちます。 ASR ルールの詳細については、「 攻撃面の縮小 (ASR) ルールの概要」を参照してください。

Microsoft HIPS 以外の製品から攻撃面の縮小ルールに移行するときのシナリオ

特定のファイルの作成をブロックする

• 適用対象: すべてのプロセス
• プロセス: N/A
• 操作: ファイルの作成
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • .jaff
  • .krab
  • .locky
  • .lukitus
  • .odin
  • .wnry
  • .zepto
• 攻撃面の縮小ルール:
  • ASR ルールは、侵害のインジケーター (IOC) ではなく、攻撃手法をブロックします。
  • 特定のファイル拡張子をブロックすることは、デバイスの侵害を防ぐことがないため、常に役立つわけではありません。 攻撃者がペイロードの新しい種類の拡張機能を作成するまで、攻撃を部分的に阻止するだけです。
• その他の推奨機能:
  • Microsoft では、ウイルス対策、クラウド保護、動作ブロックMicrosoft Defender有効にすることを強くお勧めします。
  • Microsoft では、ランサムウェア攻撃に対するより高いレベルの保護を提供する、ASR ルール 「 ランサムウェアに対する高度な保護を使用 する (c1db55ab-c21a-4637-bb3f-a12568109d35)」などの他の防止対策を推奨しています。
  • Microsoft Defender for Endpointは、特定のアラートをトリガーする自動開始拡張機能ポイント (ASEP) 手法など、これらのレジストリ キーの多くを監視します。 使用されるレジストリ キーには、最小限のローカル 管理または信頼されたインストーラー特権が必要です。 Microsoft では、最小限の管理アカウントまたは権限を持つロックダウン環境を使用することをお勧めします。 セキュリティに関するより広範な推奨事項の一部として SeDebugPrivilege を無効にするなど、他のシステム構成を有効にすることができます。

特定のレジストリ キーの作成をブロックする

• 適用対象: すべてのプロセス
• プロセス: N/A
• 操作: レジストリの変更
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • HKCU\Environment\UserInitMprLogonScript
  • HKCU\Software\Microsoft\HtmlHelp Author\location
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• 攻撃面の縮小ルール:
  • ASR ルールは、侵害のインジケーター (IOC) ではなく、攻撃手法をブロックします。
  • 特定のファイル拡張子をブロックすることは、デバイスの侵害を防ぐことがないため、常に役立つわけではありません。 攻撃者がペイロードの新しい種類の拡張機能を作成するまで、攻撃を部分的に阻止するだけです。
• その他の推奨機能:
  • Microsoft では、ウイルス対策、クラウド保護、動作ブロックMicrosoft Defender有効にすることを強くお勧めします。
  • Microsoft では、ランサムウェア攻撃に対するより高いレベルの保護を提供する、 ランサムウェアに対する高度な保護 (c1db55ab-c21a-4637-bb3f-a12568109d35) を使用する ASR ルールなど、その他の防止対策をお勧めします。
  • Microsoft Defender for Endpointは、特定のアラートをトリガーする自動開始拡張機能ポイント (ASEP) 手法など、これらのレジストリ キーの多くを監視します。 使用されるレジストリ キーには、最小限のローカル 管理または信頼されたインストーラー特権が必要です。 Microsoft では、最小限の管理アカウントまたは権限を持つロックダウン環境を使用することをお勧めします。 セキュリティに関するより広範な推奨事項の一部として SeDebugPrivilege を無効にするなど、他のシステム構成を有効にすることができます。

信頼されていないプログラムがリムーバブル ドライブから実行されないようにブロックする

• 適用対象: USB からの信頼されていないプログラム
• プロセス:
  • *
• 操作: プロセスの実行
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
• 攻撃面の縮小ルール:
  • USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする (b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4) という名前の ASR 規則を使用する
• その他の推奨機能:
  • Defender for Endpoint を使用した USB デバイスやその他のリムーバブル メディアのコントロールの詳細については、「Microsoft Defender for Endpointのデバイス制御」を参照してください。

Mshta が特定の子プロセスを起動できないようにブロックする

• 適用対象: Mshta
• プロセス:
  • mshta.exe
• 操作: プロセスの実行
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • cmd.exe
  • powershell.exe
  • regsvr32.exe
• 攻撃面の縮小ルール: 子プロセスの mshta.exe を防ぐための特定の ASR 規則はありません。 この種類のコントロールは、 Windows のエクスプロイト保護 または アプリケーションコントロールで使用できます。
• その他の推奨機能:
  • アプリケーション制御を有効にして、mshta.exe がまったく実行されないようにします。 organizationで基幹業務アプリの mshta.exeが必要な場合は、mshta.exe が子プロセスを起動できないように特定のエクスプロイト保護規則を構成します。

子プロセスの起動から Outlook をブロックする

• 適用対象: Outlook
• プロセス:
  • outlook.exe
• 操作: プロセスの実行
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • powershell.exe
• 攻撃面の縮小ルール:
  • ASR ルール [Office 通信アプリケーションの子プロセスの作成をブロックする (26190899-1602-49e8-8b27-eb1d0a1ce869)] では、Office 通信アプリ (Outlook、Skype、Teams) が子プロセスを起動できなくなります。
• その他の推奨機能:
  • Microsoft では、PowerShell からの攻撃対象を最小限に抑えるために、 PowerShell の制約付き言語モード を有効にすることをお勧めします。

Office アプリが子プロセスを起動できないようにブロックする

• 適用対象: Office
• プロセス:
  • excel.exe
  • powerpnt.exe
  • winword.exe
• 操作: プロセスの実行
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • EQNEDT32.EXE
  • cmd.exe
  • mshta.exe
  • powershell.exe
  • regsrv32.exe
  • wscript.exe
• 攻撃面の縮小ルール:
  • ASR ルール [すべての Office アプリケーションで子プロセスの作成をブロックする (d4f940ab-401b-4efc-aadc-ad5f3c50688a)] により、Office アプリが子プロセスを起動できなくなります。
• その他の推奨機能: N/A

Office アプリによる実行可能コンテンツの作成をブロックする

• 適用対象: Office
• プロセス:
  • winword.exe
  • powerpnt.exe
  • excel.exe
• 操作: ファイルの作成
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • C:\ProgramData**.com
  • C:\ProgramData**.exe
  • C:\ProgramData**.scf
  • C:\Users*AppData\Local\Temp**.com
  • C:\Users*\AppData**.exe
  • C:\Users*\AppData**.scf
  • C:\Users*\Desktop**.exe
  • C:\Users*\Downloads**.exe
  • C:\Users\Public**.exe
• 攻撃面の縮小ルール:
  • ASR ルール [Office アプリケーションによる実行可能コンテンツの作成をブロックする (3b576869-a4ec-4529-8536-b80a7769e899)] では、Office アプリが悪意のある実行可能ファイルコンテンツをディスクに保存できないようにします。

特定の種類のファイルの読み取りから Wscript をブロックする

• 適用対象: Wscript
• プロセス:
  • wscript.exe
• 操作: ファイルの読み取り
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
• C:\Users*\AppData**.js
• C:\Users*\Downloads**.js
• 攻撃面の縮小ルール:
  • 信頼性とパフォーマンスの問題により、ASR ルールはプロセスが特定の種類のスクリプト ファイルを読み取るのを妨げることはできません。 ただし、次の ASR ルールは、これらのシナリオから発生する可能性がある攻撃ベクトルを防ぐのに役立ちます。
    • ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする (d3e037e1-3eb8-44c8-a917-57927947596d)
    • 難読化される可能性のあるスクリプトの実行をブロックする (5beb7efe-fd9a-4556-801d-275e5ffc04cc)
• その他の推奨機能:
  • 既定では、マルウェア対策スキャン インターフェイス (AMSI) では、さまざまなスクリプト (PowerShell、Windows スクリプト ホスト、JavaScript、VBScript など) をリアルタイムで検査できます。 詳細については、「 マルウェア対策スキャン インターフェイス (AMSI)」を参照してください。

子プロセスの起動をブロックする

• 適用対象: Adobe Acrobat
• プロセス:
  • AcroRd32.exe
  • Acrobat.exe
• 操作: プロセスの実行
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • cmd.exe
  • powershell.exe
  • wscript.exe
• 攻撃面の縮小ルール:
  • ASR ルール [Adobe Reader の子プロセスの作成をブロックする (7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c)] では、Adobe Reader が子プロセスを起動できなくなります。
• その他の推奨機能: N/A

実行可能コンテンツのダウンロードまたは作成をブロックする

• 適用対象: CertUtil
• プロセス:
  • certutil.exe
• 操作: ファイルの作成
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • *.exe
• 攻撃面の縮小ルール:
  • ASR ルールは、これらのシナリオをサポートしていません。これは、Microsoft Defenderウイルス対策保護に含まれているためです。
• その他の推奨機能:
  • Microsoft Defenderウイルス対策では、CertUtil が実行可能なコンテンツを作成またはダウンロードできなくなります。

重要なシステム コンポーネントの停止からプロセスをブロックする

• 適用対象: すべてのプロセス
• プロセス:
  • *
• 操作: プロセスの終了
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • MsMpEng.exe
  • MsSense.exe
  • NisSrv.exe
  • csrss.exe
  • services.exe
  • smss.exe
  • svchost.exe
  • wininit.exe
  • その他
• 攻撃面の縮小ルール: ASR ルールは、Windows 組み込みのセキュリティ保護に含まれているため、これらのシナリオをサポートしていません。
• その他の推奨機能:
  • 早期起動マルウェア対策 (ELAM)
  • 保護プロセス ライト (PPL) と PPL マルウェア対策ライト
  • System Guard

特定の起動プロセスの試行をブロックする

• 適用対象: 特定のプロセス
• プロセス: 特定のプロセス
• 操作: プロセスの実行
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • tor.exe
  • bittorrent.exe
  • cmd.exe
  • powershell.exe
  • その他
• 攻撃面の縮小ルール:
  • 全体的に、ASR ルールはアプリケーション マネージャーとして機能するように設計されていません。
• その他の推奨機能:
  • ユーザーが特定のプロセスやプログラムを起動できないようにするには、 Windows 用アプリケーションコントロールを使用します。
  • アプリケーション制御メカニズムではありませんが、インシデント対応シナリオでは、ファイルと証明書にMicrosoft Defender for Endpointの侵害インジケーター (IOC) を使用できます。

Microsoft Defenderウイルス対策構成に対する未承認の変更をブロックする

• 適用対象: すべてのプロセス
• プロセス:
  • *
• 操作: レジストリの変更
• Files/フォルダー、レジストリ キー/値、プロセス、またはサービスの例:
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring
  • その他
• 攻撃面の縮小ルール: ASR ルールは、組み込みの保護Microsoft Defender for Endpoint含まれているため、これらのシナリオをサポートしていません。
• その他の推奨機能:
  • Microsoft Defender for Endpointの改ざん防止は、Microsoft Defenderウイルス対策に関連付けられているレジストリ キーに対する未承認の変更を防ぎます。 例:
  • DisableAntiVirus
  • DisableAntiSpyware
  • DisableRealtimeMonitoring
  • DisableOnAccessProtection
  • DisableBehaviorMonitoring
  • DisableIOAVProtection
  • その他

関連コンテンツ

• 攻撃面の減少の FAQ
• 攻撃面の縮小 (ASR) ルールと除外を構成する