攻撃面の縮小ルールのトラブルシューティング

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

攻撃面の縮小ルールを使用すると、次のような問題が発生する可能性があります。

• ルールは、ファイルをブロックしたり、処理したり、(誤検知)してはならない他のアクションを実行したりします。又は
• ルールは説明どおりに機能しないか、または必要なファイルまたはプロセスをブロックしません (false 負)。

これらの問題をトラブルシューティングするには、次の 4 つの手順があります。

1. 前提条件を確認する
2. 監査モードを使用してルールをテストする
3. 指定したルールの除外を追加 する (誤検知の場合)
4. サポート ログを送信する

前提条件を確認する

攻撃面の縮小ルールは、次の条件を持つデバイスでのみ機能します。

• デバイスはWindows 10 Enterprise以降で実行されています。
• デバイスは、唯一のウイルス対策保護アプリとしてMicrosoft Defenderウイルス対策を使用しています。 他のウイルス対策アプリを使用すると、Microsoft Defenderウイルス対策自体が無効になります。
• リアルタイム保護 が有効になっています。
• 監査モードが有効になっていません。 「攻撃面の縮小ルールを有効にする」の説明に従って、グループ ポリシーを使用してルールをDisabled (値: 0) に設定します。

これらの前提条件が満たされている場合は、次の手順に進み、監査モードでルールをテストします。

グループ ポリシーを使用して攻撃面の縮小ルールを設定する場合のベスト プラクティス

グループ ポリシーを使用して攻撃面の縮小ルールを設定する場合は、一般的な間違いを避けるためにいくつかのベスト プラクティスを次に示します。

1. 攻撃面の縮小ルールの GUID を追加するときに、GUID の先頭または末尾に 二重引用符 ("ASR ルール GUID" など) がないことを確認します。

2. 攻撃面の縮小ルールの GUID を追加するときに、先頭または末尾に スペースがないことを 確認します。

監査モードを使用してルールをテストする

「デモ ツールを使用する」の手順に従って、問題が発生している特定のルールをテストするために 攻撃面の縮小ルールがどのように機能するかを確認 します。

1. テストする特定のルールの監査モードを有効にします。 「攻撃面の縮小ルールを有効にする」の説明に従って、グループ ポリシーを使用してルールをAudit mode (値: 2) に設定します。 監査モードでは、ルールでファイルまたはプロセスを報告できますが、実行は許可されます。

2. 問題の原因となっているアクティビティを実行します。 たとえば、ファイルを開くか、ブロックする必要があるが許可されているプロセスを実行します。

3. 攻撃対象領域の縮小ルール イベント ログ を確認して、ルールが Enabled に設定されている場合に、ルールによってファイルまたはプロセスがブロックされるかどうかを確認します。

   ルールがブロックする必要があるファイルまたはプロセスをブロックしていない場合は、最初に監査モードが有効になっているかどうかを確認するチェック。 監査モードは、別の機能のテストまたは自動 PowerShell スクリプトによって有効になっている場合があり、テストが完了した後は無効にならない場合があります。

デモ ツールと監査モードでルールをテストし、攻撃面の縮小ルールが構成済みのシナリオで動作しているが、ルールが期待どおりに機能しない場合は、状況に基づいて次のいずれかのセクションに進みます。

• 攻撃面の縮小ルールがブロックしてはならないもの (誤検知とも呼ばれます) をブロックしている場合は、 最初に攻撃面の縮小ルールの除外を追加できます。
• 攻撃面の縮小ルールがブロックする必要のあるものをブロックしていない場合 (偽陰性とも呼ばれます)、最後の手順に直ちに進み、 診断データを収集し、問題を Microsoft に送信できます。

誤検知の除外を追加する

攻撃対象領域の縮小ルールでブロックしてはならないもの (誤検知とも呼ばれます) がブロックされている場合は、除外を追加して、攻撃面の縮小ルールが除外されたファイルまたはフォルダーを評価できないようにすることができます。

除外を追加するには、「 攻撃面の縮小をカスタマイズする」を参照してください。

重要

除外する個々のファイルとフォルダーを指定できますが、個々のルールを指定することはできません。 つまり、除外されたファイルまたはフォルダーは、すべての ASR 規則から除外されます。

誤検知または偽陰性を報告する

ネットワーク保護の偽陰性または誤検知を報告するには、Microsoft セキュリティ インテリジェンス Web ベースの送信フォームを使用します。 Windows E5 サブスクリプションでは、 関連付けられているアラートへのリンクを指定することもできます。

ファイル送信の診断データを収集する

攻撃面の縮小ルールに関する問題を報告すると、問題のトラブルシューティングに役立つ Microsoft サポートチームとエンジニアリング チームが使用できる診断データを収集して送信するように求められます。

1. 管理者としてコマンド プロンプトを開き、Windows Defender ディレクトリを開きます。

   cd "c:\program files\Windows Defender"
   

2. 診断ログを生成するには、次のコマンドを実行します。

   mpcmdrun -getfiles
   

3. 既定では、 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabに保存されます。 提出フォームにファイルを添付します。

関連記事

• 攻撃面の減少ルール
• 攻撃面の減少ルールを有効にする
• 攻撃面の減少ルールを評価する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。