攻撃面の縮小機能を理解して使用する

適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

攻撃面は、organizationがサイバー脅威や攻撃に対して脆弱なすべての場所です。 Defender for Endpoint には、攻撃対象領域を減らすのに役立ついくつかの機能が含まれています。攻撃面の縮小の詳細については、次のビデオをご覧ください。

前提条件

サポートされるオペレーティングシステム

Windows

攻撃面の減少機能を構成する

環境内で攻撃面の縮小を構成するには、次の手順に従います。

Microsoft Edge のハードウェアベースの分離を有効にします。
攻撃面の縮小ルールを有効にします。
アプリケーション制御を有効にします。
1. Windows の基本ポリシーを確認します。「基本ポリシーの例」を参照してください。
2. Windows Defender アプリケーションコントロールの設計ガイドを参照してください。
3. 「Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」を参照してください。
フォルダーアクセスの制御を有効にします。
デバイス制御を有効にします。
ネットワーク保護を有効にします。
Web 保護を有効にします。
エクスプロイト保護を有効にします。
ネットワークファイアウォールを設定します。
1. 高度なセキュリティを備えた Windows ファイアウォールの概要を確認します。
2. Windows ファイアウォールの設計ガイドを使用して、ファイアウォールポリシーを設計する方法を決定します。
3. Windows ファイアウォール展開ガイドを使用して、高度なセキュリティを備えたorganizationのファイアウォールを設定します。

ヒント

ほとんどの場合、攻撃面の縮小機能を構成する場合は、いくつかの方法から選択できます。

Microsoft Intune
Microsoft 構成マネージャー
グループポリシー
PowerShell コマンドレット

Microsoft Defender for Endpointでの攻撃面の減少をテストする

organizationのセキュリティチームの一員として、攻撃面の縮小機能を監査モードで実行するように構成して、それらがどのように機能するかを確認できます。監査モードでは、次の攻撃面の削減セキュリティ機能を有効にすることができます。

攻撃面の減少ルール
エクスプロイト保護
ネットワーク保護
コントロールされたフォルダーアクセス
デバイス制御

監査モードでは、機能が有効になっている場合に何が起こったかのレコードを表示できます。

機能の動作をテストするときに監査モードを有効にすることができます。テストに対してのみ監査モードを有効にすると、監査モードが基幹業務アプリに影響を与えるのを防ぐことができます。また、一定期間に発生した疑わしいファイルの変更試行の数を把握することもできます。

この機能は、アプリ、スクリプト、またはファイルの変更をブロックしたり、妨げるわけではありません。ただし、Windows イベントログでは、機能が完全に有効になっているかのようにイベントが記録されます。監査モードでは、イベントログを確認して、機能が有効になっている場合の影響を確認できます。

監査されたエントリを見つけるには、 アプリケーションとサービス>Microsoft>Windows>Windows Defender>Operational に移動します。

Defender for Endpoint を使用して、各イベントの詳細を取得します。これらの詳細は、攻撃面の縮小ルールを調査するのに特に役立ちます。 Defender for Endpoint コンソールを使用すると、アラートタイムラインと調査シナリオの一部として問題を調査できます。

監査モードは、グループポリシー、PowerShell、および構成サービスプロバイダー (CSP) を使用して有効にすることができます。

監査オプション	監査モードを有効にする方法	イベントを表示する方法
監査はすべてのイベントに適用されます	制御されたフォルダーアクセスを有効にする	フォルダーアクセスの制御イベント
監査は個々のルールに適用されます	手順 1: 監査モードを使用して攻撃面の縮小ルールをテストする	手順 2: 攻撃面の縮小ルールのレポートページを理解する
監査はすべてのイベントに適用されます	ネットワーク保護を有効にする	ネットワーク保護イベント
監査は個々の軽減策に適用されます	Exploit Protection を有効にする	Exploit Protection イベント

たとえば、ブロックモードで有効にする前に、監査モードで攻撃面の縮小ルールをテストできます。攻撃面の縮小ルールは、一般的な既知の攻撃サーフェスを強化するために事前に定義されています。攻撃面の縮小ルールを実装するために使用できる方法はいくつかあります。推奨される方法については、次の攻撃面の縮小ルールの展開に関する記事を参照してください。

攻撃面の減少イベントを表示する

イベントビューアーの攻撃面縮小イベントを確認して、動作しているルールまたは設定を監視します。また、設定が "ノイズが多すぎる" か、日常のワークフローに影響を与えているかどうかを判断することもできます。

イベントの確認は、機能を評価するときに便利です。機能または設定に対して監査モードを有効にし、それらが完全に有効になっている場合に何が起こったかを確認できます。

このセクションでは、すべてのイベント、関連する機能または設定を一覧表示し、特定のイベントにフィルター処理するカスタムビューを作成する方法について説明します。

環境全体の検出、ブロック、ルールの構成に関する詳細なレポートについては、Microsoft Defender XDR ポータルの攻撃面削減ルールレポートを使用します。このレポートは、プラン 1 とプラン 2 Microsoft Defender for Endpoint使用できます。 Windows イベントビューアーを使用して、攻撃面の縮小イベントをローカルで確認することもできます。

カスタムビューを使用して攻撃面の縮小機能を確認する

Windows イベントビューアーでカスタムビューを作成して、特定の機能と設定のイベントのみを表示します。最も簡単な方法は、カスタムビューを XML ファイルとしてインポートすることです。このページから XML を直接コピーできます。

また、機能に対応するイベント領域に手動で移動することもできます。

既存の XML カスタムビューをインポートする

空の .txt ファイルを作成し、使用するカスタムビューの XML を .txt ファイルにコピーします。使用するカスタムビューごとにこれを行います。ファイルの名前を次のように変更します (型を .txt から .xml に変更してください)。
- フォルダーアクセスイベントのカスタムビューの制御: cfa-events.xml
- Exploit Protection イベントのカスタムビュー: ep-events.xml
- 攻撃面縮小イベントのカスタムビュー: asr-events.xml
- ネットワーク/保護イベントのカスタムビュー: np-events.xml
[スタート] メニューに「イベントビューアー」と入力し、イベントビューアーを開きます。
[ アクション>Import Custom View...] を選択します。
目的のカスタムビューの XML ファイルを抽出した場所に移動し、それを選択します。
[開く]を選択します。
その機能に関連するイベントのみを表示するようにフィルター処理するカスタムビューが作成されます。

XML を直接コピーする

[スタート] メニューに「イベントビューアー」と入力し、Windows イベントビューアーを開きます。
左側のパネルの [アクション] で、[カスタムビューの作成]を選択します。
[XML] タブに移動し、 手動で [クエリの編集] を選択します。 XML オプションを使用すると、[ フィルター ] タブを使用してクエリを編集できないという警告が表示されます。 [はい] を選択します。
イベントをフィルター処理する機能の XML コードを XML セクションに貼り付けます。
[OK] を選択します。フィルターの名前を指定します。このアクションにより、その機能に関連するイベントのみを表示するようにフィルター処理するカスタムビューが作成されます。

攻撃面の縮小ルールイベントの XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

制御されたフォルダーアクセスイベントの XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

エクスプロイト保護イベント用の XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

ネットワーク保護イベントの XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

攻撃面の縮小イベントの一覧

すべての攻撃対象領域の縮小イベントは、次の表に示すように、Microsoft > Windows とフォルダーまたはプロバイダー>アプリケーションとサービスログの下にあります。

Windows イベントビューアーでは、次のイベントにアクセスできます。

[スタート] メニューを開き、「イベントビューアー」と入力し、イベントビューアー結果を選択します。
[Microsoft > Windows >アプリケーションとサービスログ] を展開し、次の表の [プロバイダー/ソース] の下に一覧表示されているフォルダーに移動します。
サブアイテムをダブルクリックすると、イベントが表示されます。イベントをスクロールして、探しているイベントを見つけます。

機能	プロバイダー/ソース	イベント ID	説明
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	1	ACG の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	2	ACG の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	3	[Do not allow child processes] (子プロセスを許可しない) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	4	[Do not allow child processes] (子プロセスを許可しない) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	5	[Block low integrity images] (整合性が低いイメージのブロック) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	6	[Block low integrity images] (整合性が低いイメージのブロック) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	7	[Block remote images] (リモートイメージのブロック) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	8	[Block remote images] (リモートイメージのブロック) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	9	[Disable win32k system calls] (win32k システム呼び出しの無効化) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	10	[Disable win32k system calls] (win32k システム呼び出しの無効化) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	11	[Code integrity guard] (コードの整合性の保護) 監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	12	[Code integrity guard] (コードの整合性の保護) ブロック
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	13	EAF の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	14	EAF の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	15	EAF+ の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	16	EAF+ の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	17	IAF の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	18	IAF の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	19	ROP StackPivot の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	20	ROP StackPivot の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	21	ROP CallerCheck の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	22	ROP CallerCheck の実施
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	23	ROP SimExec の監査
エクスプロイト保護	セキュリティ軽減策 (カーネルモード/ユーザーモード)	24	ROP SimExec の実施
エクスプロイト保護	WER-Diagnostics	5	CFG のブロック
エクスプロイト保護	Win32K (運用)	260	信頼されていないフォント
ネットワーク保護	Windows Defender (Operational)	5007	設定が変更されたときのイベント
ネットワーク保護	Windows Defender (Operational)	1125	監査モードでネットワーク保護が起動した場合のイベント
ネットワーク保護	Windows Defender (Operational)	1126	ブロックモードでネットワーク保護が発生した場合のイベント
コントロールされたフォルダーアクセス	Windows Defender (Operational)	5007	設定が変更されたときのイベント
コントロールされたフォルダーアクセス	Windows Defender (Operational)	1124	監査されたフォルダーアクセスの制御イベント
コントロールされたフォルダーアクセス	Windows Defender (Operational)	1123	ブロックされたフォルダーアクセスイベント
コントロールされたフォルダーアクセス	Windows Defender (Operational)	1127	ブロックされたフォルダーアクセスセクターの書き込みブロックイベント
コントロールされたフォルダーアクセス	Windows Defender (Operational)	1128	監査されたフォルダーアクセスセクターの書き込みブロックイベントの制御
攻撃面の縮小	Windows Defender (Operational)	5007	設定が変更されたときのイベント
攻撃面の縮小	Windows Defender (Operational)	1122	監査モードでルールが発生した場合のイベント
攻撃面の縮小	Windows Defender (Operational)	1121	ブロックモードでルールが発生した場合のイベント

注:

ユーザーの観点からは、攻撃面の縮小警告モードの通知は、攻撃面の縮小ルールの Windows トースト通知として行われます。

攻撃面の縮小では、Network Protection では監査モードとブロックモードのみが提供されます。

攻撃面の縮小の詳細については、リソースを参照してください。

ビデオで説明したように、Defender for Endpoint にはいくつかの攻撃面の縮小機能が含まれています。詳細については、次のリソースを使用してください。

記事	説明
アプリケーション制御	アプリケーション制御を使用して、アプリケーションを実行するために信頼を獲得する必要があります。
攻撃面の減少 (ASR) ルールの参照	各攻撃面の縮小ルールに関する詳細を提供します。
攻撃面の縮小ルールの展開ガイド	攻撃面の縮小ルールを展開するための概要情報と前提条件を示し、次に、テスト (監査モード)、有効化 (ブロックモード)、監視に関する詳細なガイダンスを示します。
制御されたフォルダーアクセス	悪意のあるアプリや疑わしいアプリ (ファイル暗号化ランサムウェアマルウェアを含む) がキーシステムフォルダー内のファイルに変更を加えないようにします (Microsoft Defenderウイルス対策が必要です)。
デバイスコントロール	organization内のリムーバブルストレージや USB ドライブなどのデバイスで使用されるメディアを監視および制御することで、データ損失から保護します。
エクスプロイト保護	organizationが使用するオペレーティングシステムとアプリが悪用されないように保護するのに役立ちます。エクスプロイト保護は、サードパーティ製のウイルス対策ソリューションでも機能します。
ハードウェアベースの分離	システムの起動時および実行中に、システムの整合性を保護および維持します。ローカルおよびリモートの構成証明を使用してシステムの整合性を検証します。 Microsoft Edge のコンテナー分離を使用して、悪意のある Web サイトから保護します。
ネットワーク保護	組織のデバイス上のネットワークトラフィックと接続に対する保護を拡張します。 (Microsoft Defender ウイルス対策が必要)。
攻撃面の減少 (ASR) ルールをテストする	監査モードを使用して攻撃面の縮小ルールをテストする手順について説明します。
Web 保護	Web 保護を使用すると、Web の脅威からデバイスを保護し、不要なコンテンツを規制できます。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-10-20