攻撃面の縮小 (ASR) ルールのデプロイを計画する

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

この記事は、 攻撃面の縮小ルールの展開ガイドの一部です。

攻撃面縮小 (ASR) ルールをテストまたは有効にする前に、デプロイを計画します。 この記事では、ビジネス ニーズに合わせて調整できる計画手法について説明します。

ASR ルールの計画手順の図: デプロイ リングの決定、チャンピオンの特定、アプリのインベントリ、チーム ロールの定義。

ヒント

通常、テストを行わずにブロック モードまたは警告モードで標準の保護規則を有効にすることができます。 監査 モードで 他の ASR ルールをテストしてから、[ ブロック ] または [ 警告 ] モードに切り替える必要があります。 詳細については、 ASR ルールのデプロイ ガイドを参照してください。

デプロイ ガイドのインフラストラクチャ要件

ASR ルールを有効にする方法は複数ありますが、このデプロイ ガイドは次を使用するインフラストラクチャに基づいています。

  • Microsoft Entra ID
  • Microsoft Intune
  • デバイスのWindows 10とWindows 11
  • Microsoft Defender for Endpoint E5 または Windows E5 ライセンス

ASR ルールとレポートを最大限に活用するには、Microsoft 365 E5、Windows E5、または Microsoft 365 A5 ライセンスを使用します。 詳細については、「Microsoft Defender for Endpoint の最小要件」を参照してください。

注:

Microsoft 以外のホスト侵入防止システム (HIPS) から Microsoft Defender ウイルス対策および ASR ルールに移行する場合は、実装フェーズブロック モードでルールを有効にするまで、ASR ルールと共に HIPS ソリューションを実行します。 除外の推奨事項については、ウイルス対策ソリューション プロバイダーにお問い合わせください。

手順 1: 部署を特定する

テスト フェーズで ASR ルールを受信する最初の部署を選択する方法は、次の要因によって異なります。

  • 部署のサイズ (小さい方が管理しやすい)
  • ASR ルール チャンピオンの可用性
  • 影響を受けるソフトウェアの配布と使用。 例:
    • ソフトウェア
    • 共有フォルダー
    • スクリプト
    • Office マクロ

ビジネス ニーズによって、次のいずれかの選択肢が明確に決まる場合があります。

  • 複数の部署を含め、ASR ルールが影響を受ける可能性があるソフトウェア、共有フォルダー、スクリプト、マクロ、基幹業務アプリの広範なサンプリングを取得します。
  • 最初のスコープを 1 つの部署に制限し、その部署のすべての問題を処理してから、他の部署へのロールアウトを個別に繰り返します。

手順 2: ASR ルールチャンピオンを特定する

ASR ルールチャンピオンは、影響を受けるビジネス ユニットのユーザーであり、予備的なテストと実装のフェーズで役立ちます。 通常、チャンピオンはより技術的なスキルを持ち、断続的なワークフローの停止を気にしません。 チャンピオンの関与は、ORGANIZATIONへの ASR ルールの展開の広範な拡張を通じて継続されます。 ASR ルールの各レベルのロールアウトを初めて体験するのが ASR ルール チャンピオンです。

ASR ルールのチャンピオンが中断を処理し、ASR ルールのロールアウト通信を受け取るように警告するために、フィードバックと応答チャネルを提供することが重要です。

手順 3: 基幹業務アプリのインベントリを作成し、部署のプロセスを理解する

ASR ルールのデプロイを成功させるには、organizationのアプリとビジネス プロセスを完全に理解することが重要です。 これらのアプリがorganizationのさまざまなビジネス ユニット内でどのように使用されているかを理解することが不可欠です。

organizationで承認済みのアプリのインベントリを取得します。 Microsoft 365 Apps管理センターなどのツールを使用して、ヘルプを表示できます。 詳細については、「Microsoft 365 Apps管理センターのインベントリの概要」を参照してください。

注:

署名されていない内部で開発されたアプリやスクリプトを頻繁に使用する場合、一部の ASR ルールはうまく機能しません。 コード署名を適用しない場合、ASR ルールをデプロイする方が難しくなります。

手順 4: レポートと応答の ASR ルール チームの役割と責任を定義する

ASR ルールの状態とアクティビティを監視および通信するための役割と責任を明確に示します。 そのため、次の点を判断することが重要です。

  • レポートの収集を担当するユーザー。
  • レポートを共有する方法とユーザー。
  • ASR ルールによって新しい脅威または不要なブロックをエスカレートして対処する方法。

一般的な役割と責任は次のとおりです。

  • IT 管理者: ASR ルールを実装し、除外を管理します。 アプリとプロセスでさまざまな部署を操作する。 関係者にレポートを作成して共有します。
  • 認定セキュリティ オペレーション センター (CSOC) アナリスト: 優先度の高いブロックされたプロセスを調査します。
  • 最高情報セキュリティ責任者 (CISO): organizationの全体的なセキュリティ体制と正常性を担当します。

手順 5: ASR 規則の展開リングを定義する

大企業の場合は、リングに ASR ルールをデプロイ します。 リングは、ビジネス ユニット、ASR ルール チャンピオン、アプリ、プロセスの評価を通じて定義します。 ASR ルールを最初のリングに正常にデプロイした後は、次のリングにテスト フェーズに移行できます。 Windows 更新プログラムの段階的ロールアウトのリングを既に定義している場合は、同じリングを使用して ASR ルールを展開できます。

リングの詳細については、「 Windows: 展開計画を作成する」を参照してください。

関連コンテンツ

  • Last updated on