攻撃面の減少(ASR)ルールを設定する前に準備する必要があります。これをしないとうまくASRが作動しない恐れがあります。
設定の準備が終わりましたらこちらのページにてASRルールの追加を行なってください。
攻撃面の減少(ASR)を利用できる条件
条件1:Microsoft Defender ウイルス対策がプライマリ ウイルス対策ソリューションとなっていること
Windows10, 11 ではデフォルトで搭載されている「Microsoft Defender ウイルス対策」ですが、こちらがプライマリのウイルス対策ソフトになっている必要があります。エンドポイントに別のウイルス対策ソフトが入っていてそちらをプライマリにしている場合は攻撃面の減少がうまく有効にならないようです。他のウイルス対策ソフトをもしインストールされていましたら、アンインストールしてください。
条件2:「リアルタイム保護」を有効にすること
Windows セキュリティの画面を開き、ウイルスと脅威の防止 > ウイルスと脅威の防止の設定 を参照します。「設定の管理」ボタンを選択して下さい。
「リアルタイム保護」がオンになっているか確認します。画像はグループポリシーが有効になっていますので disabled 状態になっています。
条件3:ASRルールをブロックモードで有効にしていること
ブロックモードとは、その名の通りルールに該当するアクション全てをブロックすることです。誤解していたのですが、「Microsoft Defenderウイルス対策がデバイス上の主要なウイルス対策製品でない場合に、追加の保護が提供される機能」のことではありません。「ブロックモード」でGoogle検索すると出てくる内容がこれだったので勘違いしていました。
ブロックモードを有効にするには?
どのようにブロックモードをオンにするのでしょうか?こちらの設定はGUIから簡単に行うことができます。
Microsoft Defender > 設定 > エンドポイント > ブロックモードで EDR を有効にする をオンにしてください。
条件4:「クラウド保護」を有効にする
「クラウド保護」とは Microsoft Defender ウイルス対策の機能の一部です。Microsoft曰く
Microsoft Defenderウイルス対策クラウド保護は、エンドポイントやネットワーク全体のマルウェアから保護するのに役立ちます。 クラウド保護が有効になっている場合にのみ、Microsoft Defender for Endpointの特定のセキュリティ機能が機能するため、クラウド保護をオンにしておくことをお勧めします。
とのことですので有効にするべき機能のようです。ではどんな特定の機能があるのでしょうか?
- クラウド内のメタデータに対するチェック
- クラウド保護とサンプル送信
- 改ざん防止
- 事前ブロック
- 緊急署名の更新
- ブロックモードのエンドポイント検出と応答 (EDR)
- 攻撃面の縮小ルール
- 侵害のインジケーター (IoC)
7番の「攻撃面の縮小ルール」機能を有効にするためも「クラウド保護」を有効にするために「クラウド保護」が必要になります。
6番の「ブロックモードのエンドポイント検出と応答 (EDR)」の「ブロックモード」は、前述したASRルールの「ブロックモード」とは同じものではありません。
Windows Defender ウイルス対策 から「クラウド保護」を有効にする
Windows セキュリティの画面を開き、ウイルスと脅威の防止 > ウイルスと脅威の防止の設定 を参照します。「設定の管理」ボタンを選択して下さい。
「クラウド提供の保護」がオンになっている確認します。画像はグループポリシーで有効になっていますので disabled 状態になっています。
グループポリシーで「クラウド保護」を有効にする
「クラウド保護」をグループポリシーを利用して有効にします。
コンピューターの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > Microsoft Defender Antivirus > MAPS > Join Microsoft MAPS を開いて下さい。
Join Microsoft MAPS の選択肢から Basic MAPS か Advanced MAPS を選択してください。
Basic MAPS と Advanced MAPS の違いは何でしょうか?Microsoft 曰く
Basic MAPS: Basic メンバーシップは、デバイスで検出されたマルウェアと望ましくない可能性のあるソフトウェアに関する基本情報を Microsoft に送信します。 情報には、ソフトウェアがどこから来たか (URL や部分パスなど)、脅威を解決するために実行されたアクション、およびアクションが成功したかどうかが含まれます。
Advanced MAPS: 高度なメンバーシップは、基本的な情報に加えて、ソフトウェアへの完全なパスや、ソフトウェアがデバイスに与えた影響に関する詳細情報など、マルウェアや望ましくない可能性のあるソフトウェアに関する詳細情報を送信します。
マルウェアと思しき基本情報を送信するか、詳細情報を送信するかという違いのようです。説明がざっくりしすぎですみません。
コンピューターの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > Microsoft Defender Antivirus > MAPS > Send files sample when further analysis is required を開いて下さい。
選択肢から Send safe samples(安全なサンプルを送信する) か Send all samples (すべてのサンプルを送信する)を選んでください。
「安全なサンプルを送信する」と「すべてのサンプルを送信する」の違いは何でしょうか?
[ 安全なサンプルの送信 (1)] オプションは、ほとんどのサンプルが自動的に送信されることを意味します。 個人情報が含まれている可能性があるファイルは、ユーザーに追加の確認を求めます。
とありました。「すべてのサンプルを送信する」にすると個人情報関係なく送信してしまうということでしょうかね。
まとめ
リアルタイム保護をオンにして、ブロックモードをオンにして、「クラウド保護」を有効にすれば ASR は利用できるようになる…はず!
コメント