攻撃面の減少ルールのレポート
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
プラットフォーム:
- Windows
攻撃面の縮小ルール レポートでは、組織内のデバイスに適用される 攻撃面の縮小ルール に関する情報が提供されます。 このレポートでは、次に関する情報も提供します。
- 検出された脅威
- ブロックされた脅威
- 標準の保護規則を使用して脅威をブロックするように構成されていないデバイス
さらに、このレポートには、次のような使いやすいインターフェイスが用意されています。
- 脅威の検出を表示する
- ASR 規則の構成を表示する
- 除外の構成 (追加)
- ドリルダウンして詳細情報を収集する
個々の攻撃面の縮小ルールの詳細については、「 攻撃面の縮小ルールリファレンス」を参照してください。
前提条件
重要
攻撃面の縮小ルール レポートにアクセスするには、Microsoft Defender ポータルで読み取りアクセス許可が必要です。 Windows Server 2012 R2 と Windows Server 2016 を攻撃面の縮小ルール レポートに表示するには、最新の統合ソリューション パッケージを使用してこれらのデバイスをオンボードする必要があります。 詳細については、「Windows Server 2012 R2 と 2016 の最新の統合ソリューションの新機能」を参照してください。
レポート アクセス許可
Microsoft Defender ポータルで攻撃面の縮小ルール レポートにアクセスするには、次のアクセス許可が必要です。
| アクセス許可の種類 | アクセス許可 | アクセス許可の表示名 |
|---|---|---|
| アプリケーション | Machine.Read.All |
Read all machine profiles |
| 委任 (職場または学校のアカウント) | Machine.Read |
Read machine information |
アクセス許可を割り当てるには、Microsoft Entra ID または Microsoft Defender ポータルを使用します。
- Microsoft Entra ID を使用するには、「Microsoft Entra ロールをユーザーに割り当てる」を参照してください。
- Microsoft Defender ポータルを使用するには、「 ユーザー アクセスの割り当て」を参照してください。
攻撃面の縮小ルール レポートに移動します
攻撃面の縮小ルール レポートのサマリー カードに移動するには
- Microsoft Defender XDR ポータルを開きます。
- 左側のパネルで [レポート] をクリックし、メイン セクションの [ レポート] で [ セキュリティ レポート] を選択します。
- [ デバイス] まで下にスクロールして、 攻撃面の縮小ルール の概要カードを見つけます。
ASR ルールの概要レポート カードを次の図に示します。
ASR ルール レポートの概要カード
ASR ルール レポートの概要は、次の 2 つのカードに分割されます。
ASR ルール検出の概要カード
ASR ルールによってブロックされた検出された脅威の数の概要を示します。
次の 2 つの "アクション" ボタンを提供します。
- 検出の表示 - 攻撃面の縮小ルール> メイン の [検出 ] タブを開きます
- 除外の追加 - 攻撃面の縮小ルールを開きます>メインの [除外] タブ
カードの上部にある [ASR ルールの検出 ] リンクをクリックすると、メインの [攻撃面の減少ルールの検出] タブも開きます。
ASR ルール構成の概要カード
上部のセクションでは 、一般的な攻撃手法から保護する 3 つの推奨ルールに焦点を当てます。 このカードには、次の 3 つの (ASR) 標準保護規則 が ブロック モード、 監査モード、または オフ (未構成) に設定されている組織内のコンピューターに関する現在の状態情報が表示されます。[ デバイスの保護 ] ボタンには、3 つのルールについてのみ完全な構成の詳細が表示されます。お客様は、これらのルールを有効にするために迅速にアクションを実行できます。
下部セクションでは 、ルールごとの保護されていないデバイスの数に基づいて、6 つのルールが表示されます。 [構成の表示] ボタンは、すべての ASR 規則のすべての構成の詳細を表示します。 [除外の追加] ボタンには、セキュリティ オペレーション センター (SOC) が評価するために検出されたすべてのファイル/プロセス名が一覧表示された [除外の追加] ページが表示されます。 [ 除外の追加] ページが Microsoft Intune にリンクされています。
次の 2 つの "アクション" ボタンを提供します。
- 構成の表示 - 攻撃面の縮小ルール> メイン の [検出 ] タブを開きます
- 除外の追加 - 攻撃面の縮小ルールを開きます>メインの [除外] タブ
カードの上部にある ASR ルール構成 リンクをクリックすると、メインの [攻撃面の減少ルール] [構成] タブも開きます。
簡略化された標準保護オプション
構成の概要カードには、3 つの標準保護規則を使用して デバイスを保護 するためのボタンが用意されています。 少なくとも、Microsoft では、次の 3 つの攻撃面縮小標準保護規則を有効にすることをお勧めします。
- Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)
- 悪用された脆弱な署名付きドライバーの悪用をブロックする
- Windows Management Instrumentation (WMI) イベント サブスクリプションを使用して永続化をブロックする
3 つの標準保護規則を有効にするには:
- [ デバイスの保護] を選択します。 メインの [構成] タブが開きます。
- [ 構成 ] タブで、[ 基本ルール ] が自動的に [ すべてのルール ] から [ 標準保護規則 ] に切り替わります。
- [ デバイス ] の一覧で、標準の保護規則を適用するデバイスを選択し、[保存] を選択 します。
このカードには、他に 2 つのナビゲーション ボタンがあります。
- 構成の表示 - 攻撃面の縮小ルール> メイン の [構成 ] タブを開きます。
- 除外の追加 - 攻撃面の縮小ルール> メイン の [除外] タブを 開きます。
カードの上部にある ASR ルール構成 リンクをクリックすると、メインの [攻撃面の減少ルール] [構成] タブも開きます。
攻撃面の縮小ルールのメイン タブ
ASR ルール レポートの概要カードは、ASR ルールの状態の概要を簡単に取得するのに役立ちますが、メイン タブには、フィルター処理と構成機能を備えた詳細な情報が表示されます。
検索機能
検索機能は、[ 検出]、[ 構成]、[除外の 追加] の各メイン タブに追加されます。 この機能を使用すると、デバイス ID、ファイル名、またはプロセス名を使用して検索できます。
フィルター処理
フィルター処理を使用すると、返される結果を指定できます。
- 日付 を使用すると、データ結果の日付範囲を指定できます。
- Filters
注:
ルールでフィルター処理する場合、レポートの下半分に一覧表示される個々の 検出された アイテムの数は、現在、200 ルールに制限されています。 [エクスポート] を使用して、検出の完全な一覧を Excel に保存できます。
ヒント
フィルターは現在このリリースで機能するため、"グループ化" するたびに、最初に一覧の最後の検出まで下にスクロールして、完全なデータ セットを読み込む必要があります。 完全なデータ セットを読み込んだ後、"並べ替えによる" フィルター処理を開始できます。 すべての用途で表示されている最後の検出まで下にスクロールしない場合、またはフィルター オプションを変更するときに (たとえば、現在のフィルター実行に適用されている ASR ルール)、一覧表示された検出の複数の表示可能なページがある結果に対して結果が正しくありません。
![[構成] タブの ASR ルール レポート検索機能を示すスクリーンショット。](media/attack-surface-reduction-rules-report-main-tabs-search-configuration-tab.png#lightbox)
攻撃面の縮小ルールの [主な検出] タブ
- 監査の検出監査モードで設定されたルールによってキャプチャされた脅威検出の数を示します。
- ブロックされた検出ブロック モードで設定されたルールによってブロックされた脅威検出の数を示します。
- 大規模な統合グラフ ブロックされた検出と監査された検出を表示します。
グラフは、表示された日付範囲に対する検出データを提供し、特定の場所にカーソルを合わせて日付固有の情報を収集する機能を備えています。
レポートの下部には、検出された脅威 (デバイスごとに) が一覧表示され、次のフィールドが表示されます。
| フィールド名 | 定義 |
|---|---|
| 検出されたファイル | 可能な脅威または既知の脅威が含まれていると判断されたファイル |
| が検出されました | 脅威が検出された日付 |
| ブロック/監査済みですか? | 特定のイベントの検出ルールがブロックモードか監査モードか |
| Rule | 脅威を検出したルール |
| ソース アプリ | 問題のある "検出されたファイル" の呼び出しを行ったアプリケーション |
| デバイス | Audit イベントまたは Block イベントが発生したデバイスの名前 |
| デバイス グループ | デバイスが属する Active Directory グループ |
| User | 通話を担当するマシン アカウント |
| Publisher | 特定の .exe またはアプリケーションをリリースした会社 |
ASR ルールの監査モードとブロック モードの詳細については、「 攻撃面の縮小ルール モード」を参照してください。
アクション可能なポップアップ
[検出] メイン ページには、過去 30 日間のすべての検出 (ファイル/プロセス) の一覧が表示されます。 ドリルダウン機能を使用して開く検出のいずれかを選択します。
![ASR ルール レポートの [主な検出] タブのポップアップを表示します](media/attack-surface-reduction-rules-report-main-detections-flyout.png#lightbox)
[ 考えられる除外と影響 ] セクションには、選択したファイルまたはプロセスの影響が表示されます。 次の操作を行うことができます:
- [ Go hunt]\(ゴー ハント \) を選択すると、高度なハンティング クエリ ページが開きます。
- [ファイルを開く] ページ が開き、Microsoft Defender for Endpoint 検出が開きます
- [ 除外の追加] ボタンは、除外の追加メイン ページにリンクされています。
次の図は、アクション可能なポップアップのリンクから [高度なハンティング クエリ] ページがどのように開くかを示しています。
![高度なハンティングを開く攻撃面の縮小ルール レポートの [主な検出] タブのポップアップ リンクを表示します](media/attack-surface-reduction-rules-report-main-detections-flyout-hunting.png#lightbox)
高度なハンティングの詳細については、「Microsoft Defender XDR で高度なハンティングを使用して脅威を事前に検出する」を参照してください。
攻撃面の縮小ルールのメインの [構成] タブ
ASR ルールのメイン の [構成] タブには、概要とデバイスごとの ASR 規則の構成の詳細が表示されます。 [構成] タブには、次の 3 つの主な側面があります。
基本ルール基本ルールとすべてのルールの間で結果を切り替えるメソッドを提供します。 既定では、[ 基本ルール ] が選択されています。
デバイス構成の概要 次のいずれかの状態のデバイスの現在のスナップショットを提供します。
- 公開されているすべてのデバイス (前提条件が不足しているデバイス、監査モードのルール、正しく構成されていないルール、または構成されていないルール)
- 規則が構成されていないデバイス
- 監査モードの規則を持つデバイス
- ルールがブロック モードのデバイス
[構成] タブの下の名前のないセクションには、デバイスの現在の状態の一覧が表示されます (デバイスごとに)。
- デバイス (名前)
- 全体的な構成 (すべてのルールがオンかすべてオフか)
- ブロック モードのルール (デバイスごとにブロックに設定されたルールの数)
- 監査モードのルール (監査モードのルールの数)
- ルールがオフになっている (無効になっているルール、または有効になっていないルール)
- デバイス ID (デバイス GUID)
これらの要素を次の図に示します。
ASR ルールを有効にするには:
- [ デバイス] で、ASR 規則を適用するデバイスを選択します。
- ポップアップ ウィンドウで、選択内容を確認し、[ ポリシーに追加] を選択します。
[ 構成 ] タブと [ルールの追加] ポップアップを次の図に示します。
[注意] 異なる ASR 規則を適用する必要があるデバイスがある場合は、それらのデバイスを個別に構成する必要があります。
攻撃面の縮小ルール [除外の追加] タブ
[ 除外の追加] タブには、ファイル名別の検出のランク付けされた一覧が表示され、除外を構成する方法が提供されます。 既定では、 次の 3 つのフィールドに対して除外情報の追加が一覧表示されます。
- ファイル名 ASR ルール イベントをトリガーしたファイルの名前。
- 検出 名前付きファイルに対して検出されたイベントの合計数。 個々のデバイスで複数の ASR ルール イベントをトリガーできます。
- デバイス 検出が発生したデバイスの数。
![ASR ルール レポートの [除外の追加] タブを表示します](media/attack-surface-reduction-rules-report-exclusion-tab.png#lightbox)
重要
ファイルまたはフォルダーを除外すると、ASR 規則によって提供される保護が大幅に低下する可能性があります。 除外されたファイルの実行が許可され、レポートやイベントは記録されません。 ASR ルールが検出すべきでないと思われるファイルを検出している場合は、 最初に監査モードを使用してルールをテストする必要があります。
ファイルを選択すると、 予想される影響 & ポップアップの概要が開き、次の種類の情報が表示されます。
- 選択したファイル 除外対象として選択したファイルの数
- (の数) 検出 選択した除外を追加した後の検出の予想される減少を示します。 検出の減少は、除外後の実際の検出と検出に対してグラフィカルに表されます
- (の数) 影響を受けるデバイス 選択した除外の検出を報告するデバイスの予想される削減を示します。
[除外の追加] ページには、検出されたファイル (選択後) に使用できるアクション用の 2 つのボタンがあります。 次の操作を行うことができます:
- Microsoft Intune ASR ポリシー ページを開く除外を追加します。 詳細については、「ASR ルールの代替構成方法を有効にする」の Intune を参照してください。
- CSV 形式でファイル パスをダウンロードする除外パスを取得する
![ASR ルール レポートの [除外の追加] タブのポップアップの影響の概要を表示します](media/attack-surface-reduction-rules-report-main-add-exclusions-flyout.png#lightbox)
関連項目
- 攻撃面の縮小ルールの展開の概要
- 攻撃面の縮小ルールの展開を計画する
- 攻撃面の縮小ルールをテストする
- 攻撃面の減少ルールを有効にする
- 攻撃面の縮小ルールを運用化する
- 攻撃面の縮小 (ASR) ルール レポート
- 攻撃面の縮小ルールリファレンス
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。