攻撃面の縮小ルールリファレンス
適用対象:
- エンドポイント プラン 1 の Microsoft Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender ウイルス対策
プラットフォーム:
- Windows
この記事では、Microsoft Defender for Endpoint攻撃面の縮小規則 (ASR ルール) について説明します。
- ASR ルールでサポートされているオペレーティング システムのバージョン
- ASR ルールでサポートされている構成管理システム
- ASR ルールごとのアラートと通知の詳細
- GUID マトリックスへの ASR 規則
- ASR ルール モード
- ルールごとの説明
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
ヒント
この記事のコンパニオンとして、Microsoft Defender for Endpointセットアップ ガイドを参照してベスト プラクティスを確認し、攻撃面の縮小や次世代保護などの重要なツールについて学習します。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの Defender for Endpoint 自動セットアップ ガイドにアクセスできます。
種類別の攻撃面の縮小ルール
攻撃面の縮小ルールは、次の 2 種類のいずれかとして分類されます。
Standard保護規則: 他の ASR 規則の効果と構成のニーズを評価しながら、Microsoft が常に有効にすることをお勧めする規則の最小セットです。 通常、これらのルールはエンド ユーザーに対して最小限からまったく顕著な影響を及ぼしません。
その他のルール: 「攻撃面の縮小ルールの展開ガイド」に記載されているように、文書化された展開手順に従って何らかの手段を必要とするルール [Plan > Test (audit) > Enable (block/warn mode)]\(有効化(ブロック/警告モード\)\)
標準保護規則を有効にする最も簡単な方法については、「 簡易標準保護オプション」を参照してください。
ASR ルール名: | Standard保護規則ですか? | その他のルール |
---|---|---|
悪用された脆弱な署名付きドライバーの悪用をブロックする | はい | |
Adobe Reader による子プロセスの作成をブロックする | はい | |
すべての Office アプリケーションが子プロセスを作成できないようにブロックする | はい | |
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) | はい | |
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする | はい | |
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする | はい | |
難読化される可能性のあるスクリプトの実行をブロックする | はい | |
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする | はい | |
Office アプリケーションによる実行可能コンテンツの作成をブロックする | はい | |
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする | はい | |
Office 通信アプリケーションによる子プロセスの作成をブロックする | はい | |
WMI イベント サブスクリプションを使用して永続化をブロックする | はい | |
PSExec および WMI コマンドからのプロセスの作成をブロックする | はい | |
セーフ モードでのマシンの再起動をブロックする (プレビュー) | はい | |
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする | はい | |
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) | はい | |
サーバーの Web シェル作成をブロックする | はい | |
Office マクロからの Win32 API 呼び出しをブロックする | はい | |
ランサムウェアに対する高度な保護を使用する | はい |
Microsoft Defenderウイルス対策の除外と ASR 規則
Microsoft Defenderウイルス対策の除外は、攻撃面の縮小ルールなど、一部のMicrosoft Defender for Endpoint機能に適用されます。
次の ASR 規則では、Microsoft Defenderウイルス対策の除外は適用されません。
注:
ルールごとの除外の構成の詳細については、「テスト攻撃面の縮小ルール」の「ルールごとの ASR ルールの除外の構成」のセクションを参照してください。
ASR ルールと Defender for Endpoint Indicators of Compromise (IOC)
次の ASR 規則では、Microsoft Defender for Endpoint侵害のインジケーター (IOC) は適用されません。
ASR ルール名 | 説明 |
---|---|
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) | ファイルまたは証明書に対する侵害のインジケーターを受け入れない。 |
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする | ファイルまたは証明書に対する侵害のインジケーターを受け入れない。 |
Office マクロからの Win32 API 呼び出しをブロックする | 証明書の侵害のインジケーターは考慮されません。 |
ASR ルールでサポートされているオペレーティング システム
次の表は、現在一般提供にリリースされているルールに対してサポートされているオペレーティング システムの一覧です。 ルールは、この表のアルファベット順に一覧表示されます。
注:
特に指定がない限り、Windows10 の最小ビルドはバージョン 1709 (RS3、ビルド 16299) 以降です。最小Windows Serverビルドはバージョン 1809 以降です。 Windows Server 2012 R2 およびWindows Server 2016の攻撃面の縮小ルールは、最新の統合ソリューション パッケージを使用してオンボードされたデバイスで使用できます。 詳細については、「最新の統合ソリューションの新しいWindows Server 2012 R2 および 2016 機能」を参照してください。
(1) Windows Server 2012と 2016 の最新の統合ソリューションを指します。 詳細については、「 Defender for Endpoint サービスへの Windows サーバーのオンボード」を参照してください。
(2) Windows Server 2016および Windows Server 2012 R2 の場合、Microsoft Endpoint Configuration Managerの最小必須バージョンはバージョン 2111 です。
(3) バージョンとビルド番号は、Windows10 にのみ適用されます。
ASR ルールでサポートされている構成管理システム
この表で参照されている構成管理システムのバージョンに関する情報へのリンクを次の表に示します。
(1) 任意のルールの GUID を使用して、ルールごとに攻撃面の縮小ルールを構成できます。
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCMがMicrosoft Configuration Managerになりました。
ASR ルールごとのアラートと通知の詳細
トースト通知は、ブロック モードのすべてのルールに対して生成されます。 他のモードのルールでは、トースト通知は生成されません。
"Rule State" が指定されたルールの場合:
-
\ASR Rule, Rule State\
の組み合わせを持つ ASR ルールは、クラウド ブロック レベル "High" のデバイスに対してのみ、Microsoft Defender for Endpointのアラート (トースト通知) を表示するために使用されます。 - クラウド ブロック レベルが高くないデバイスでは、
ASR Rule, Rule State
の組み合わせに関するアラートは生成されません - クラウド ブロック レベル "High+" のデバイスに対して、指定した状態の ASR ルールに対して EDR アラートが生成されます
- トースト通知は、ブロック モードでのみ発生し、クラウド ブロック レベル "High" のデバイスに対して発生します
ルール名 | ルールの状態 | EDR アラート | トースト通知 |
---|---|---|---|
悪用された脆弱な署名付きドライバーの悪用をブロックする | N | Y | |
Adobe Reader による子プロセスの作成をブロックする | ブロック | Y | Y |
すべての Office アプリケーションが子プロセスを作成できないようにブロックする | N | Y | |
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) | N | N | |
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする | Y | Y | |
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする | N | Y | |
難読化される可能性のあるスクリプトの実行をブロックする | 監査またはブロック | Y (ブロック モード) N (監査モード) |
Y (ブロック モード) |
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする | ブロック | Y | Y |
Office アプリケーションによる実行可能コンテンツの作成をブロックする | N | Y | |
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする | N | Y | |
Office 通信アプリケーションによる子プロセスの作成をブロックする | N | Y | |
WMI イベント サブスクリプションを使用して永続化をブロックする | 監査またはブロック | Y (ブロック モード) N (監査モード) |
Y (ブロック モード) |
PSExec および WMI コマンドからのプロセスの作成をブロックする | N | Y | |
セーフ モードでのマシンの再起動をブロックする (プレビュー) | N | N | |
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする | 監査またはブロック | Y (ブロック モード) N (監査モード) |
Y (ブロック モード) |
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) | N | N | |
サーバーの Web シェル作成をブロックする | N | N | |
Office マクロからの Win32 API 呼び出しをブロックする | N | Y | |
ランサムウェアに対する高度な保護を使用する | 監査またはブロック | Y (ブロック モード) N (監査モード) |
Y (ブロック モード) |
GUID マトリックスへの ASR 規則
[ルール名] | ルール GUID |
---|---|
悪用された脆弱な署名付きドライバーの悪用をブロックする | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Adobe Reader による子プロセスの作成をブロックする | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
すべての Office アプリケーションが子プロセスを作成できないようにブロックする | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
難読化される可能性のあるスクリプトの実行をブロックする | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする | d3e037e1-3eb8-44c8-a917-57927947596d |
Office アプリケーションによる実行可能コンテンツの作成をブロックする | 3b576869-a4ec-4529-8536-b80a7769e899 |
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Office 通信アプリケーションによる子プロセスの作成をブロックする | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
WMI イベント サブスクリプションを使用して永続化をブロックする * ファイルとフォルダーの除外はサポートされていません。 |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
PSExec および WMI コマンドからのプロセスの作成をブロックする | d1e49aac-8f56-4280-b9ba-993a6d77406c |
セーフ モードでのマシンの再起動をブロックする (プレビュー) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
サーバーの Web シェル作成をブロックする | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Office マクロからの Win32 API 呼び出しをブロックする | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
ランサムウェアに対する高度な保護を使用する | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR ルール モード
- [未構成] または [無効] : ASR ルールが有効になっていないか無効になっている状態。 この状態のコード = 0。
- ブロック: ASR ルールが有効になっている状態。 この状態のコードは 1 です。
- 監査: ASR ルールが有効になっている場合にorganizationまたは環境に与える影響について評価される状態 (ブロックまたは警告に設定)。 この状態のコードは 2 です。
- 警告する ASR ルールが有効になっており、エンド ユーザーに通知を表示するが、エンド ユーザーがブロックをバイパスできるようにする状態。 この状態のコードは 6 です。
警告モード は、リスクの高いアクションについてユーザーに警告するブロック モードの種類です。 ユーザーは、ブロック警告メッセージをバイパスし、基になるアクションを許可することを選択できます。 ユーザーは[OK] を選択してブロックを適用するか、ブロックの 時点で生成されるエンド ユーザー ポップアップ トースト通知を使用して [ブロック解除] オプションを選択できます。 警告のブロックが解除された後、次に警告メッセージが発生するまで操作が許可されます。この時点で、エンド ユーザーはアクションを再パフォーマンスする必要があります。
許可ボタンをクリックすると、ブロックは 24 時間抑制されます。 24 時間後、エンド ユーザーはブロックを再度許可する必要があります。 ASR ルールの警告モードは、RS5+ (1809 以降) デバイスでのみサポートされます。 古いバージョンのデバイスでバイパスが ASR ルールに割り当てられている場合、ルールはブロック モードになります。
また、 AttackSurfaceReductionRules_Actions
を "Warn" として指定することで、PowerShell を使用して警告モードでルールを設定することもできます。 以下に例を示します。
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
ルールごとの説明
悪用された脆弱な署名付きドライバーの悪用をブロックする
この規則は、アプリケーションが脆弱な署名されたドライバーをディスクに書き込むのを防ぎます。 脆弱な脆弱な署名付きドライバーは、カーネルへのアクセスを得るために、 十分な特権を持つ ローカル アプリケーションによって悪用される可能性があります。 脆弱な署名されたドライバーを使用すると、攻撃者はセキュリティ ソリューションを無効または回避し、最終的にシステムの侵害につながります。
[悪用された脆弱な署名されたドライバーの悪用をブロックする] 規則は、システム上に既に存在するドライバーが読み込まれるのをブロックしません。
注:
この規則は、Intune OMA-URI を使用して構成できます。 カスタム 規則の構成については、「Intune OMA-URI」を参照してください。 この規則は 、PowerShell を使用して構成することもできます。 ドライバーを調べるには、この Web サイトを使用して 分析用のドライバーを送信します。
Intune名:Block abuse of exploited vulnerable signed drivers
Configuration Manager名: まだ使用できません
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
高度なハンティング アクションの種類:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Adobe Reader による子プロセスの作成をブロックする
このルールは、Adobe Reader によるプロセスの作成をブロックすることで、攻撃を防ぎます。
マルウェアは、ペイロードをダウンロードして起動し、ソーシャル エンジニアリングや悪用を通じて Adobe Reader から抜け出すことができます。 Adobe Reader によって子プロセスが生成されないようにすることで、攻撃ベクトルとして Adobe Reader を使用しようとするマルウェアが拡散するのを防ぎます。
Intune名:Process creation from Adobe Reader (beta)
Configuration Manager名: まだ使用できません
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
高度なハンティング アクションの種類:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
依存関係: Microsoft Defender ウイルス対策
すべての Office アプリケーションが子プロセスを作成できないようにブロックする
このルールは、Office アプリによる子プロセスの作成をブロックします。 Office アプリには、Word、Excel、PowerPoint、OneNote、Access が含まれます。
悪意のある子プロセスの作成は、一般的なマルウェア戦略です。 ベクターとして Office を悪用するマルウェアは、多くの場合、VBA マクロを実行し、コードを悪用して、より多くのペイロードをダウンロードして実行しようとします。 ただし、一部の正当な基幹業務アプリケーションでは、問題のない目的で子プロセスが生成される場合もあります。コマンド プロンプトを生成したり、PowerShell を使用してレジストリ設定を構成したりします。
Intune名:Office apps launching child processes
Configuration Manager名:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
高度なハンティング アクションの種類:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
依存関係: Microsoft Defender ウイルス対策
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする
注:
LSA 保護が有効になっていて、Credential Guard が有効になっている場合、この攻撃面の縮小規則は必要ありません。
この規則は、ローカル セキュリティ機関サブシステム サービス (LSASS) をロックダウンすることで、資格情報の盗難を防ぐのに役立ちます。
LSASS は、Windows コンピューターにサインインするユーザーを認証します。 Windows Microsoft Defender Credential Guard は、通常、LSASS から資格情報を抽出しようとすることを防ぎます。 一部の組織では、ローカル セキュリティ機関 (LSA) に読み込まれるカスタム スマートカード ドライバーやその他のプログラムとの互換性の問題のため、すべてのコンピューターで Credential Guard を有効にできません。 このような場合、攻撃者は Mimikatz などのツールを使用して、LSASS からクリアテキスト パスワードと NTLM ハッシュをスクレイピングできます。
既定では、このルールの状態はブロックに設定されています。 ほとんどの場合、多くのプロセスは、必要のないアクセス権のために LSASS を呼び出します。 たとえば、ASR ルールの最初のブロックで後続の呼び出しが実行され、その後成功する特権が小さい場合などです。 LSASS へのプロセス呼び出しで通常要求される権限の種類については、「 プロセス セキュリティとアクセス権」を参照してください。
ASR 規則と LSA 保護が同様に機能するため、LSA 保護が有効になっている場合、この規則を有効にしても追加の保護は提供されません。 ただし、LSA 保護を有効にできない場合、この規則は、 lsass.exe
を対象とするマルウェアに対して同等の保護を提供するように構成できます。
ヒント
- ASR 監査イベントはトースト通知を生成しません。 ただし、LSASS ASR ルールでは大量の監査イベントが生成されるため、ほとんどの場合、ルールがブロック モードで有効になっている場合は無視しても安全です。監査モードの評価をスキップし、少数のデバイスセットから始めて徐々に展開して残りの部分をカバーするようにモードの展開をブロックするように選択できます。
- ルールは、わかりやすいプロセスのブロック レポート/トーストを抑制するように設計されています。 また、重複するブロックのレポートを削除するように設計されています。 そのため、ルールは、トースト通知が有効か無効かに関係なく、ブロック モードで有効にするのに適しています。
- 警告モードの ASR は、"ブロック解除" ボタンを含むブロック トースト通知をユーザーに表示するように設計されています。 LSASS ASR ブロックとその大容量の "無視しても安全" な性質のため、(トースト通知が有効か無効かに関係なく) このルールでは WARN モードはお勧めしません。
注:
このシナリオでは、ASR ルールは、Microsoft Defender ポータルの Defender for Endpoint 設定で "適用不可" として分類されます。 Windows ローカル セキュリティ機関サブシステム ASR 規則からの資格情報の盗み取りをブロックする規則では、WARN モードはサポートされていません。 一部のアプリでは、実行中のすべてのプロセスが列挙され、完全なアクセス許可で開こうとします。 このルールは、アプリのプロセスオープン アクションを拒否し、詳細をセキュリティ イベント ログに記録します。 このルールでは、大量のノイズが発生する可能性があります。 LSASS を列挙するだけで、機能に実際の影響がないアプリがある場合は、除外リストに追加する必要はありません。 単独では、このイベント ログ エントリは必ずしも悪意のある脅威を示すわけではありません。
Intune名:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager名:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
高度なハンティング アクションの種類:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
依存関係: Microsoft Defender ウイルス対策
既知の問題: これらのアプリケーションと "Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする" 規則は互換性がありません。
アプリケーション名 | 詳細については、次を参照してください。 |
---|---|
Quest Dirsync パスワード同期 | Windows Defender がインストールされている場合、Dirsync パスワード同期が機能しません。エラー: "VirtualAllocEx failed: 5" (4253914) |
テクニカル サポートについては、ソフトウェア ベンダーにお問い合わせください。
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする
この規則は、Microsoft Outlook アプリケーション内で開かれた電子メール、または Outlook.com およびその他の一般的な Web メール プロバイダーが次のファイルの種類を伝達することをブロックします。
- 実行可能ファイル (.exe、.dll、.scr など)
- スクリプト ファイル (PowerShell .ps1、Visual Basic .vbs、JavaScript .js ファイルなど)
Intune名:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager名:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
高度なハンティング アクションの種類:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
依存関係: Microsoft Defender ウイルス対策
注:
ルール [ 電子メール クライアントと Web メールから実行可能なコンテンツをブロック する] には、使用するアプリケーションに応じて、次の代替の説明があります。
- Intune (構成プロファイル): 電子メール (webmail/mail クライアント) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行 (例外なし)。
- Configuration Manager: 電子メールおよび Web メール クライアントからの実行可能なコンテンツのダウンロードをブロックします。
- グループ ポリシー: 電子メール クライアントと webmail から実行可能なコンテンツをブロックします。
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする
このルールは、.exe、.dll、.scr などの実行可能ファイルの起動をブロックします。 したがって、信頼されていない実行可能ファイルまたは不明な実行可能ファイルを起動すると、ファイルが悪意のある場合は最初は明確にならない可能性があるため、危険な場合があります。
重要
この規則を使用するには 、クラウド提供の保護を有効にする 必要があります。
GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
が Microsoft によって所有されており、管理者によって指定されていない、普及率、年齢、または信頼されたリスト条件を満たしていない限り、実行可能ファイルの実行をブロックするルール。 この規則では、クラウドによって提供される保護を使用して、信頼されたリストを定期的に更新します。
個々のファイルまたはフォルダー (フォルダー パスまたは完全修飾リソース名を使用) を指定できますが、適用するルールや除外を指定することはできません。
Intune名:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager名:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
高度なハンティング アクションの種類:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
依存関係: Microsoft Defenderウイルス対策、Cloud Protection
難読化される可能性のあるスクリプトの実行をブロックする
このルールは、難読化されたスクリプト内の疑わしいプロパティを検出します。
注:
PowerShell スクリプトは、"難読化される可能性のあるスクリプトの実行をブロックする" ルールでサポートされるようになりました。
重要
この規則を使用するには、クラウド提供の保護を有効にする必要があります。
スクリプトの難読化は、マルウェアの作成者と正当なアプリケーションの両方が知的財産を非表示にしたり、スクリプトの読み込み時間を短縮したりするために使用する一般的な手法です。 マルウェアの作成者はまた、難読化を使用して悪意のあるコードの読み取りを困難にし、人間とセキュリティ ソフトウェアによる詳細な調査を妨げる。
Intune名:Obfuscated js/vbs/ps/macro code
Configuration Manager名:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
高度なハンティング アクションの種類:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
依存関係: Microsoft Defenderウイルス対策、マルウェア対策スキャン インターフェイス (AMSI)
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする
このルールは、スクリプトが悪意のあるダウンロードされたコンテンツを起動できないようにします。 JavaScript または VBScript で記述されたマルウェアは、多くの場合、インターネットから他のマルウェアをフェッチして起動するためのダウンローダーとして機能します。 一般的ではありませんが、基幹業務アプリケーションではスクリプトを使用してインストーラーをダウンロードして起動することがあります。
Intune名:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager名:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
高度なハンティング アクションの種類:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
依存関係: Microsoft Defender ウイルス対策、AMSI
Office アプリケーションによる実行可能コンテンツの作成をブロックする
この規則により、悪意のあるコードがディスクに書き込まれないようにすることで、Word、Excel、PowerPointなどの Office アプリが悪意のある可能性のある実行可能コンテンツを作成できなくなります。 Office をベクターとして悪用するマルウェアは、Office から抜け出し、悪意のあるコンポーネントをディスクに保存しようとする可能性があります。 これらの悪意のあるコンポーネントは、コンピューターの再起動後も存続し、システムに保持されます。 したがって、この規則は一般的な永続化手法に対して防御します。 この規則では、Office ファイルでの実行が許可されている Office マクロによって保存された可能性がある信頼されていないファイルの実行もブロックされます。
Intune名:Office apps/macros creating executable content
Configuration Manager名:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
高度なハンティング アクションの種類:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
依存関係: Microsoft Defender ウイルス対策、RPC
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする
この規則は、Office アプリから他のプロセスへのコード挿入の試行をブロックします。
注:
アプリケーションが他のプロセスにコードを挿入するのをブロックする ASR ルールでは、WARN モードはサポートされていません。
重要
この規則では、構成の変更を有効にするために、Microsoft 365 Apps (Office アプリケーション) を再起動する必要があります。
攻撃者は Office アプリを使用して、コードインジェクションを通じて悪意のあるコードを他のプロセスに移行しようとする可能性があるため、コードはクリーンプロセスとして偽装できます。 コード インジェクションを使用するための既知の正当なビジネス目的はありません。
この規則は、Word、Excel、OneNote、およびPowerPointに適用されます。
Intune名:Office apps injecting code into other processes (no exceptions)
Configuration Manager名:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
高度なハンティング アクションの種類:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
依存関係: Microsoft Defender ウイルス対策
既知の問題: これらのアプリケーションと "Office アプリケーションが他のプロセスにコードを挿入できないようにブロックする" 規則は互換性がありません。
アプリケーション名 | 詳細については、次を参照してください。 |
---|---|
Avecto (BeyondTrust) Privilege Guard | 2024 年 9 月 (プラットフォーム: 4.18.24090.11 |エンジン 1.1.24090.11)。 |
Heimdal のセキュリティ | 該当なし |
テクニカル サポートについては、ソフトウェア ベンダーにお問い合わせください。
Office 通信アプリケーションによる子プロセスの作成をブロックする
このルールにより、Outlook で子プロセスが作成されるのを防ぎ、正当な Outlook 機能を引き続き許可します。 このルールは、ソーシャル エンジニアリング攻撃から保護し、Outlook の脆弱性を悪用するコードの悪用を防ぎます。 また、ユーザーの資格情報が侵害されたときに攻撃者が使用できる Outlook のルールやフォームの悪用 からも保護されます。
注:
このルールは、Outlook の DLP ポリシーヒントとツールヒントをブロックします。 このルールは Outlook と Outlook.com にのみ適用されます。
Intune名:Process creation from Office communication products (beta)
Configuration Manager名: 使用できません
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
高度なハンティング アクションの種類:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
依存関係: Microsoft Defender ウイルス対策
WMI イベント サブスクリプションを使用して永続化をブロックする
この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。
ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイル システムに見つからないようにして、定期的に実行制御を獲得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。
注:
デバイスでCcmExec.exe
(SCCM エージェント) が検出された場合、ASR ルールは、Microsoft Defender ポータルの Defender for Endpoint 設定で "適用不可" として分類されます。
Intune名:Persistence through WMI event subscription
Configuration Manager名: 使用できません
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
高度なハンティング アクションの種類:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
依存関係: Microsoft Defender ウイルス対策、RPC
PSExec および WMI コマンドからのプロセスの作成をブロックする
このルールは、 PsExec と WMI を介して作成されたプロセスの実行をブロックします。 PsExec と WMI の両方で、コードをリモートで実行できます。 コマンドと制御の目的で PsExec と WMI の機能を悪用したり、organizationのネットワーク全体に感染を広めたりするマルウェアのリスクがあります。
警告
この規則は、Intuneまたは別の MDM ソリューションを使用してデバイスを管理している場合にのみ使用します。 この規則は、Configuration Manager クライアントが正しく機能するために使用する WMI コマンドをブロックするため、Microsoft Endpoint Configuration Managerによる管理と互換性がありません。
Intune名:Process creation from PSExec and WMI commands
Configuration Manager名: 適用されません
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
高度なハンティング アクションの種類:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
依存関係: Microsoft Defender ウイルス対策
セーフ モードでのマシンの再起動をブロックする (プレビュー)
このルールにより、セーフ モードでマシンを再起動するためのコマンドの実行が禁止されます。 セーフ モードは、Windows の実行に必要な重要なファイルとドライバーのみを読み込む診断モードです。 ただし、セーフ モードでは、多くのセキュリティ製品が無効になっているか、制限された容量で動作します。これにより、攻撃者は改ざんコマンドをさらに起動したり、コンピューター上のすべてのファイルを実行して暗号化したりできます。 このルールは、プロセスがセーフ モードでマシンを再起動できないようにすることで、このような攻撃をブロックします。
注:
この機能は現在プレビュー段階です。 有効性を向上させるための追加のアップグレードが開発中です。
Intune名:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager名: まだ使用できません
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
高度なハンティング アクションの種類:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
依存関係: Microsoft Defender ウイルス対策
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする
この規則を使用すると、管理者は、署名されていない実行可能ファイルまたは信頼されていない実行可能ファイルが、SD カードを含む USB リムーバブル ドライブから実行されるのを防ぐことができます。 ブロックされたファイルの種類には、実行可能ファイル (.exe、.dll、.scr など) が含まれます
重要
USB からディスク ドライブにコピーされたファイルは、ディスク ドライブ上で実行される場合、この規則によってブロックされます。
Intune名:Untrusted and unsigned processes that run from USB
Configuration Manager名:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
高度なハンティング アクションの種類:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
依存関係: Microsoft Defender ウイルス対策
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー)
この規則は、Windows システム ツールのコピーとして識別される実行可能ファイルの使用をブロックします。 これらのファイルは、元のシステム ツールの複製または偽装です。 一部の悪意のあるプログラムは、検出を回避したり特権を得たりするために、Windows システム ツールをコピーまたは偽装しようとする可能性があります。 このような実行可能ファイルを許可すると、潜在的な攻撃につながる可能性があります。 この規則は、Windows マシン上のシステム ツールのこのような重複や詐欺の伝達と実行を防ぎます。
注:
この機能は現在プレビュー段階です。 有効性を向上させるための追加のアップグレードが開発中です。
Intune名:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager名: まだ使用できません
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
高度なハンティング アクションの種類:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
依存関係: Microsoft Defender ウイルス対策
サーバーの Web シェル作成をブロックする
このルールは、Microsoft Server、Exchange ロールでの Web シェル スクリプトの作成をブロックします。 Web シェル スクリプトは、攻撃者が侵害されたサーバーを制御できるようにする、特別に細工されたスクリプトです。 Web シェルには、悪意のあるコマンドの受信と実行、悪意のあるファイルのダウンロードと実行、資格情報と機密情報の盗み取りと流出、潜在的なターゲットの特定などの機能が含まれる場合があります。
Intune名:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
依存関係: Microsoft Defender ウイルス対策
Office マクロからの Win32 API 呼び出しをブロックする
この規則では、VBA マクロが Win32 API を呼び出さないようにします。 Office VBA では、Win32 API 呼び出しが有効になります。 マルウェアは、 Win32 API を呼び出して 、ディスクに直接何も書き込まずに悪意のあるシェルコードを起動するなど、この機能を悪用する可能性があります。 ほとんどの組織は、他の方法でマクロを使用する場合でも、日常的に機能する Win32 API を呼び出す機能に依存していません。
Intune名:Win32 imports from Office macro code
Configuration Manager名:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
高度なハンティング アクションの種類:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
依存関係: Microsoft Defender ウイルス対策、AMSI
ランサムウェアに対する高度な保護を使用する
このルールは、ランサムウェアに対する保護の追加レイヤーを提供します。 クライアントとクラウドのヒューリスティックの両方を使用して、ファイルがランサムウェアに似ているかどうかを判断します。 この規則では、次の特性の 1 つ以上のファイルはブロックされません。
- ファイルは既に Microsoft クラウドで無傷であることが判明しています。
- ファイルは有効な署名済みファイルです。
- ファイルはランサムウェアと見なされないほど一般的です。
このルールは、ランサムウェアを防ぐための注意の側で誤る傾向があります。
注:
この規則を使用するには 、クラウド提供の保護を有効にする 必要があります。
Intune名:Advanced ransomware protection
Configuration Manager名:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
高度なハンティング アクションの種類:
AsrRansomwareAudited
AsrRansomwareBlocked
依存関係: Microsoft Defenderウイルス対策、Cloud Protection
関連項目
- 攻撃面の縮小ルールの展開の概要
- 攻撃面の縮小ルールの展開を計画する
- 攻撃面の縮小ルールをテストする
- 攻撃面の減少ルールを有効にする
- 攻撃面の縮小ルールを運用化する
- 攻撃面の減少ルールのレポート
- 攻撃面の縮小ルールリファレンス
- Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。