- フィッシング - この手法は、スパム、インスタント メッセージング、またはテキストを使用して、人々をだまして個人情報を開示させます。たとえば、クレジット カード番号、銀行口座情報、社会保障番号、パスワード、またはその他の機密情報です。インターネット詐欺師は、インターネット ユーザーからのパスワードや財務データを「フィッシング」するために電子メールの餌を使用します。例: Google Doc および DocuSign フィッシング キャンペーン、スピア フィッシング、音声および SMS フィッシング、ランサムウェア フィッシング キャンペーン。
- スパム - 不要な電子メッセージであり、最も一般的な迷惑メールです。通常、スパムは、受信を希望していない複数の受信者に送信されます。種類には、電子メール スパム、インスタント メッセージング スパム、Web 検索エンジン スパム、ブログ内のスパム、携帯電話メッセージ スパムなどがあります。スパムには、正当な広告、誤解を招く広告、恐喝の試み、および受信者をだまして個人情報や財務情報をあきらめさせるように設計されたフィッシング メッセージが含まれます。例: ランサムウェア スパム キャンペーン、エクスプロイト MIME 配信メカニズム、および JS\Nemucod。
- 偽/悪意のあるリンク - マルウェアのダウンロードへのリンク、または実際の会社のサイトを模倣した Web サイトへのリンクを含む悪意のある電子メール。電子メールは主に金融サイトを標的としており、個人情報 (パスワード、口座番号、社会保障番号) を盗みます。例: なりすましの Web サイトとダウンローダー。
- 悪意のある添付ファイル - 電子的に送信された悪意のある添付ファイル。通常は不明な送信元から送信されます。例: DOC、PDF、JS、EXE、および XLS エクスプロイトとダウンローダー。
- なりすまし - 偽造/偽の電子メール アドレスから電子メールを配信することにより、受信者を欺くために送信される電子メールの作成。例: すべての電子メール ベクトル。
侵入経路脅威への対策
技術的な記事 ID:
KB91836
最終更新: 2023/07/07
最終更新: 2023/07/07
環境
Endpoint Security (ENS) 10.7, 10.6
Host Intrusion Prevention (Host IPS) 8.0
Security for Microsoft Exchange (SME) 8.x
VirusScan Enterprise (VSE) 8.8
Host Intrusion Prevention (Host IPS) 8.0
Security for Microsoft Exchange (SME) 8.x
VirusScan Enterprise (VSE) 8.8
概要
エンドポイント保護製品は、マルウェアを阻止するために使用できる一連の機能を提供します。この機能は、DAT のみに依存するのではなく、動作特性に基づいてマルウェアを阻止します。通常、ダウンローダー、ドロッパー、およびフィッシングは、他のマルウェアの最初の段階です。侵入経路の脅威を防ぐことで、第 2 段階以降の脅威が環境に侵入するのを防ぎます。
注: 以下の推奨事項を実装する前に、ルールを十分にテストする必要があります。徹底したテストにより、ルールの完全性が保証されます。また、社内で開発されたものであろうとなかろうと、正当なアプリケーションが悪意のあるものと見なされ、運用環境で機能しなくなることもありません。提案されたルールは、テスト目的でレポート専用モードで設定して、環境内で競合が発生するかどうかを確認できます。 ルールが正当なアプリケーションからのアクティビティをブロックしないことを確認したら、ブロックするようにルールを設定し、これらの設定を関連するすべてのシステムに適用できます。
解決策
以下は、一般的なエントリ ベクトルです。矢印をクリックして、表示するセクションを展開します。
対策は次のとおりです。クリックすると、表示するセクションに進みます。
ENS 適応型脅威対策 (ATP)
適応型脅威対策の ePolicy Orchestrator (ePO) サーバー設定で、以下のルールの設定を有効または無効にします。Productivity、Balanced、および Security の 3 つの異なる構成があります。サーバー設定で行った変更は、ATP オプション ポリシーのルール グループの割り当てに適用されます。
先頭に戻る
ENS Dynamic Application Containment (DAC)
DAC は、プロセスのレピュテーションが ATP オプション ポリシーで定義されたレピュテーション基準を満たす場合にのみトリガーされます。 プロセスが DAC に含まれている場合は、実行後の監視と、DAC ポリシー内で有効になっているすべてのルールが対象になります。
先頭に戻る
ENS Threat Prevention Antimalware Scan Interface (AMSI)
AMSI との統合を有効にします。 AMSI では、スクリプト スキャンが強化されています。 AMSI は、アプリケーションとサービスを脅威対策と統合し、マルウェアからの保護を強化する汎用インターフェース規格です。Microsoft は AMSI を提供しています。 AMSI は Windows 10 と Windows Server 2016 (およびそれ以降) のシステムでサポートされています。 AMSI を使用して、PowerShell、WScript 、 CScript などのブラウザ ベース以外のスクリプトで脅威のスキャンを強化します。
先頭に戻る
ENS エクスプロイト防止
以下のすべてのシグネチャはデフォルトで無効になっています。
ENS エクスプロイト防止エキスパート ルール
以下は、エクスプロイト防止ルール ID 6107 「MS Word が不要なプログラムを実行しようとしています」の拡張されたエキスパート レベルのルールで、他のプログラムを実行する脅威に対する保護が追加されています。
このエキスパート ルールを実装する場合は、エクスプロイト防止シグネチャ 6107 を無効にします。
Rule Name: "Prevent MS Office from executing unwanted programs (enhanced)"
Rule {
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
先頭に戻る
ENS アクセス保護のデフォルトvルール
デフォルトでは、以下のすべてのルールが無効になっています。
ENS アクセス保護カスタム ルール
以下では、4 つのカスタム ルールの詳細について説明します。
カスタム ルール 1:
実行ファイル 1:
包含:含む
ファイル名またはパス:winword.exe
実行ファイル 2:
包含:含む
ファイル名またはパス:excel.exe
実行ファイル 3:
包含:含む
ファイル名またはパス:eqnedt32.exe
サブルール 1:
SubRule タイプ:ファイル
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:cmd.exe
サブルール 2:
SubRule タイプ:ファイル
操作:実行
ターゲット 2:
包含:含む
ファイル、フォルダー名またはファイルパス:mshta.exe
サブルール 3:
SubRule タイプ:ファイル
操作:実行
ターゲット 3:
包含:含む
ファイル、フォルダー名またはファイルパス:powershell.exe
カスタム ルール 2:
実行ファイル 1:
包含:含む
ファイル名またはパス:powershell.exe
実行ファイル 2:
包含:含む
ファイル名またはパス:cmd.exe
サブルール 1:
SubRule タイプ:ファイル
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:SchTasks.exe
カスタム ルール 3:
実行ファイル 1:
包含:含む
ファイル名またはパス:?script.exe
サブルール 1:
SubRule 種類: ファイル
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:powershell.exe
注:必要に応じて、VBS、DLL、BAT、JS、PS1、SCT、DOC を追加するカスタム ルール 3を変更できます。 次のターゲットの場所は mildly アグレッシブ アプローチです。
カスタム ルール4:
実行ファイル 1:
包含:含む
ファイル名またはパス:winword.exe (より積極的なアプローチは、* を単一の実行可能ファイルとして使用し、実行可能ファイル 2 ~ 4 を不要にすることです。)
実行ファイル 2:
包含:含む
ファイル名またはパス:excel.exe
実行ファイル 3:
包含:含む
ファイル名またはパス:?script.exe
実行ファイル 4:
包含:含む
ファイル名またはパス:powershell.exe
サブルール 1:
SubRule タイプ:ファイル
操作:作成して実行
Target1:
包含:含む
ファイル、フォルダー名またはファイルパス:?:\users\*\*.exe
注:ルールの例は、より積極的なアプローチを示しています。
カスタム ルール 5:wmiprvse.exe による powershell.exe の実行を防止する
注: このルールは、ePO MER の実行を妨げます。ePO MER を実行しようとするときは、ターゲット システムでこのルールを無効にする必要があります。
実行ファイル 1:
包含:含む
ファイル名またはパス:wmiprvse.exe
サブルール 1:
SubRule 種類: ファイル
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:powershell.exe
先頭に戻る
ENS ファイアウォール ルール
以下では、ファイアウォール ルールの詳細について説明します。
注:excel.exe プロセスも追加されましたが、スクロール ダウンをしないと表示できません。
また、これらのアプリケーションによって生成された正当なトラフィックに基づいて、適切な許可リストを作成する必要があります。 たとえば、Office 365 を使用していて、ネットワーク上のコンピューターがインターネットに接続できないように制限している場合は、送信許可リストにエンドポイントを含めます。送信許可リストに含めることで、コンピューターが Office 365 を正常に使用できるようになります。エンドポイントは、完全修飾ドメイン名、ポート、URL、IPv4 アドレス範囲、および IPv6 アドレス範囲です。これらについては、Office 365 の URL と IP アドレス範囲に関する記事で説明されています。
先頭に戻る
VSE アクセス保護のデフォルト ルール
以下のすべてのルールは無効になっているか、デフォルトでレポートのみに設定されています。
VSE アクセス保護カスタム ルール
以下では、6 つのカスタム ルールの詳細について説明します。
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:winword.exe 、 excel.exe 、
eqnedt32.exe
ブロックするファイルまたはフォルダの名前:cmd.exe
防止するファイル アクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:winword.exe 、 excel.exe 、
eqnedt32.exe
ブロックするファイルまたはフォルダの名前:mshta.exe
防止するファイルアクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:winword.exe 、 excel.exe 、
eqnedt32.exe
ブロックするファイルまたはフォルダの名前:powershell.exe
防止するファイルアクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:powershell.exe 、
cmd.exe
ブロックするファイルまたはフォルダの名前:SchTasks.exe
防止するファイルアクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:?script.exe
ブロックするファイルまたはフォルダの名前:powershell.exe
防止するファイルのアクション: 除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:winword.exe , excel.exe , ?script.exe , powershell.exe (より積極的なアプローチは * を使用することです。)
ブロックするファイルまたはフォルダの名前: *\users\*\*.exe
防止するファイルのアクション:作成して実行
注:必要に応じて、VBS、DLL、BAT、JS、PS1、SCT、DOC を追加するカスタム ルールを変更できます。 次のターゲットの場所は mildly アグレッシブ アプローチです。
追加するプロセス:wmiprvse.exe
ブロックするファイルまたはフォルダの名前:powershell.exe
防止するファイルのアクション: 実行
注:このルールは、ePO MER の実行を妨げます。 ePO MER を実行しようとするときは、ターゲット システムでこのルールを無効にする必要があります。
先頭に戻る
Host IPS シグネチャ
デフォルトでは、以下のすべての署名は無効になっているか、ブロックされない重大度に設定されています。 シグネチャの重大度または適切な IPS 保護ポリシーを調整する必要がある場合があります。
SME スパム対策およびオンアクセス スキャン ポリシー
次のスパム対策およびオンアクセス スキャン ポリシーを使用します。
先頭に戻る
その他のユーザーの推奨事項
- ブラウザ エクスプロイト - 被害者の Web ブラウザの欠陥または脆弱性を利用して、何らかの悪意を実行するマルウェア コード。例: Chrome のゼロデイ、Apple の iOS での脱獄、ドライブバイ ダウンロード、エクスプロイト キット、I フレーム インジェクション。
- ブラウザ/DNS リダイレクト - 意図したものとは異なる場所に誰かまたは何かを誘導するために使用される方法。サイバー犯罪者は、正規の Web サイトのトラフィックを偽の Web サイトにルーティングできます。例: JS\Redirectors、DNS\Changer、およびブラウザ ハイジャッカー。
- マルウェア ホスティング Web サイト - システムにマルウェアやその他の望ましくないプログラムをインストールしようとする悪意のある Web サイト。これらの Web サイトは、ブラウザーの脆弱性を悪用したり、スパイウェアやその他の望ましくないソフトウェアをユーザーに送信したりするため、危険であると見なされます例:
Malvertising 、ボットネット ネットワーク、およびBlacole 。 - 直接アクセス、リムーバブル メディアに感染したデバイス - リムーバブル メディアを効果的に使用して、インターネットと内部ネットワーク間の物理的なギャップを解消したマルウェア。例:
Stuxnet 、BadUSB、Autoruns。
- ソーシャル エンジニアリング - 人々を操作して行動を実行させたり、機密情報を漏らしたりする行為。これは、情報収集、詐欺、またはコンピューター システムへのアクセスのための策略や欺瞞によって誰かの信頼を得ようとするなど、人間の相互作用に依存しています。オンラインとオフラインの両方で、さまざまな形を取ることができます。ソーシャル エンジニアリングの手法は、通常、フィッシング (電子メール)、リダイレクト (Web)、
vishing (電話/その他) などの他のベクトルに影響を与えます。例: スピア フィッシング、quid pro quo 、口実。 - 不正なハッキング - コンピュータを使用してデータまたはネットワークへの不正アクセスを取得し、違法行為を行う反抗的な個人またはグループ。不正なハッキングには、ハクティビズム、悪評、または金銭的利益のためのほとんどの経路が含まれます。
対策は次のとおりです。クリックすると、表示するセクションに進みます。
- ENS 適応型脅威対策 (ATP)
- ENS 動的アプリケーション封じ込め (DAC)
- ENS Threat Prevention Antimalware Scan Interface (AMSI)
- ENS エクスプロイト防止
- ENS エクスプロイト防止 エキスパート ルール
- ENS アクセス保護 デフォルト ルール
- ENS アクセス保護 カスタム ルール
- ENS ファイアウォール ルール
- VSE アクセス保護 デフォルト ルール
- VSE アクセス保護 カスタム ルール
- Host IPS シグネチャ
- SME スパム対策およびオンアクセス スキャン ポリシー
- その他のユーザーの推奨事項
ENS 適応型脅威対策 (ATP)
適応型脅威対策の ePolicy Orchestrator (ePO) サーバー設定で、以下のルールの設定を有効または無効にします。Productivity、Balanced、および Security の 3 つの異なる構成があります。サーバー設定で行った変更は、ATP オプション ポリシーのルール グループの割り当てに適用されます。
ルール名 | ルール ID 番号 | デフォルトのステータス |
ルール ID 2 | デフォルトで有効にされています | |
ルール ID 4 | デフォルトで有効にされています | |
ルール ID 5 | デフォルトで有効にされています | |
ルール ID 208 | デフォルトで有効にされています | |
ルール ID 239 | デフォルトで有効にされています | |
ルール ID 251 | デフォルトで監視 | |
ルール ID 255 | デフォルトで監視 | |
ルール ID 256 | デフォルトで監視 | |
ルール ID 257 | デフォルトで有効にされています | |
ルール ID 260 | デフォルトで監視 | |
ルール ID 263 | デフォルトで有効にされています | |
ルール ID 269 | デフォルトで監視 | |
ルール ID 300 | デフォルトで有効にされています | |
ルール ID 301 | デフォルトで監視 | |
ルール ID 304 | デフォルトで監視 | |
ルール ID 307 | デフォルトで監視 | |
ルール ID 309 | 高セキュリティ ポリシーでのみ有効 | |
ルール ID 322 | デフォルトで有効にされています | |
ルール ID 323 | デフォルトで監視 | |
ルール ID 325 | デフォルトで有効にされています |
先頭に戻る
ENS Dynamic Application Containment (DAC)
DAC は、プロセスのレピュテーションが ATP オプション ポリシーで定義されたレピュテーション基準を満たす場合にのみトリガーされます。 プロセスが DAC に含まれている場合は、実行後の監視と、DAC ポリシー内で有効になっているすべてのルールが対象になります。
- ルール:
Allocating memory in another process - ルール:
Creating a thread in another process - ルール:
Creating files with the .bat extension - ルール:
Creating files with the .exe extension - ルール:
Creating files with the .job extension - ルール:
Creating files with the .vbs extension - ルール:
Deleting files commonly targeted by ransomware-class malware - ルール:
Executing any child process - ルール:
Modifying portable executable files - ルール:
Modifying the hidden attribute bit - ルール:
Modifying the Services registry location - ルール:
Modifying user policies - ルール:
Modifying startup registry locations - ルール:
Reading from another process' memory - ルール:
Suspending a process - ルール:
Terminating another process - ルール:
Writing to another process' memory - ルール:
Writing to files commonly targeted by ransomware-class malware - ルール:
Modifying the Windows Firewall policy
先頭に戻る
ENS Threat Prevention Antimalware Scan Interface (AMSI)
AMSI との統合を有効にします。 AMSI では、スクリプト スキャンが強化されています。 AMSI は、アプリケーションとサービスを脅威対策と統合し、マルウェアからの保護を強化する汎用インターフェース規格です。Microsoft は AMSI を提供しています。 AMSI は Windows 10 と Windows Server 2016 (およびそれ以降) のシステムでサポートされています。 AMSI を使用して、PowerShell、
先頭に戻る
ENS エクスプロイト防止
以下のすべてのシグネチャはデフォルトで無効になっています。
344: New Startup Program Creation 2844: Microsoft Word WordPerfect5 Converter Module Buffer Overflow Vulnerability 6073: Execution Policy Bypass in PowerShell 6075: Remote script execution by core windows utility 6087: PowerShell Command Restriction - EncodedCommand 6105: Windows Script Command Restriction - Batch Mode 6107: MS Word trying to execute unwanted programs 6108: PowerShell - Suspicious download string script execution 6109: PowerShell - Suspicious wmi script execution 6112: MS Outlook trying to execute unwanted programs 6113: Fileless Threat: Reflective Self Injection 6114: Fileless Threat: Reflective EXE Self Injection 6121: Fileless Threat: Shellcode Self Injection 6125: Java Remote Shellcode Injection 6131: Weaponized OLE object infection via WMI 6153: Malware Behavior: Ryuk Ransomware activity detected 6163: Suspicious Behavior: Malicious Shellcode Injection Detected 6207: ASR : File Download attempt by Scripts 6217: Execution Policy Bypass in PWSH 6224: PWSH Command Restriction – EncodedCommand 8003: Fileless Threat: Suspicious PowerShell Behavior Detected 8004: Fileless Threat: Malicious PowerShell Behavior Detected
ENS エクスプロイト防止エキスパート ルール
以下は、エクスプロイト防止ルール ID 6107 「
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
先頭に戻る
ENS アクセス保護のデフォルトvルール
デフォルトでは、以下のすべてのルールが無効になっています。
- ルール:
Creating new executable files in the Windows folder - ルール:
Creating new executable file in the programs files folder - ルール:
Prevent CScript.exe or WScript.exe from creating files in Windows temp directory, its subfolders, and common user folder - ルール:
Registering of programs to autorun - ルール:
Executing mimikatz malware - ルール:
Browsers launching programs from downloaded programs file folders - ルール:
Executing scripts by windows script host
ENS アクセス保護カスタム ルール
以下では、4 つのカスタム ルールの詳細について説明します。
カスタム ルール 1:
実行ファイル 1:
包含:含む
ファイル名またはパス:
実行ファイル 2:
包含:含む
ファイル名またはパス:
実行ファイル 3:
包含:含む
ファイル名またはパス:
サブルール 1:
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:
サブルール 2:
操作:実行
ターゲット 2:
包含:含む
ファイル、フォルダー名またはファイルパス:
サブルール 3:
操作:実行
ターゲット 3:
包含:含む
ファイル、フォルダー名またはファイルパス:
カスタム ルール 2:
実行ファイル 1:
包含:含む
ファイル名またはパス:
実行ファイル 2:
包含:含む
ファイル名またはパス:
サブルール 1:
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:
カスタム ルール 3:
実行ファイル 1:
包含:含む
ファイル名またはパス:
サブルール 1:
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:
注:必要に応じて、VBS、DLL、BAT、JS、PS1、SCT、DOC を追加するカスタム ルール 3を変更できます。 次のターゲットの場所は mildly アグレッシブ アプローチです。
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
カスタム ルール4:
実行ファイル 1:
包含:含む
ファイル名またはパス:
実行ファイル 2:
包含:含む
ファイル名またはパス:
実行ファイル 3:
包含:含む
ファイル名またはパス:
実行ファイル 4:
包含:含む
ファイル名またはパス:
サブルール 1:
操作:作成して実行
Target1:
包含:含む
ファイル、フォルダー名またはファイルパス:
注:ルールの例は、より積極的なアプローチを示しています。
カスタム ルール 5:
注: このルールは、ePO MER の実行を妨げます。ePO MER を実行しようとするときは、ターゲット システムでこのルールを無効にする必要があります。
実行ファイル 1:
包含:含む
ファイル名またはパス:
サブルール 1:
操作:実行
ターゲット 1:
包含:含む
ファイル、フォルダー名またはファイルパス:
先頭に戻る
ENS ファイアウォール ルール
以下では、ファイアウォール ルールの詳細について説明します。
- 実行ファイル 1:
powershell.exe - 実行ファイル 2:
?script.exe - 実行ファイル 3:
winword.exe - 実行ファイル 4:
excel.exe
注:
また、これらのアプリケーションによって生成された正当なトラフィックに基づいて、適切な許可リストを作成する必要があります。 たとえば、Office 365 を使用していて、ネットワーク上のコンピューターがインターネットに接続できないように制限している場合は、送信許可リストにエンドポイントを含めます。送信許可リストに含めることで、コンピューターが Office 365 を正常に使用できるようになります。エンドポイントは、完全修飾ドメイン名、ポート、URL、IPv4 アドレス範囲、および IPv6 アドレス範囲です。これらについては、Office 365 の URL と IP アドレス範囲に関する記事で説明されています。
先頭に戻る
VSE アクセス保護のデフォルト ルール
以下のすべてのルールは無効になっているか、デフォルトでレポートのみに設定されています。
- ルール:
Anti-spyware Maximum Protection: Prevent execution of scripts from the Temp folder - ルール:
Anti-virus Maximum Protection: Preventsvchost executing non-Windows executables - ルール:
Common Maximum Protection: Prevent creation of new executable files in the Windows folder - ルール:
Common Maximum Protection: Prevent programs registering as a service
VSE アクセス保護カスタム ルール
以下では、6 つのカスタム ルールの詳細について説明します。
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:
ブロックするファイルまたはフォルダの名前:
防止するファイル アクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:
ブロックするファイルまたはフォルダの名前:
防止するファイルアクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:
ブロックするファイルまたはフォルダの名前:
防止するファイルアクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:
ブロックするファイルまたはフォルダの名前:
防止するファイルアクション:除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:
ブロックするファイルまたはフォルダの名前:
防止するファイルのアクション: 除外
ルール タイプ:ファイル/フォルダのブロック ルール
追加するプロセス:
ブロックするファイルまたはフォルダの名前:
防止するファイルのアクション:作成して実行
注:必要に応じて、VBS、DLL、BAT、JS、PS1、SCT、DOC を追加するカスタム ルールを変更できます。 次のターゲットの場所は mildly アグレッシブ アプローチです。
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
追加するプロセス:
ブロックするファイルまたはフォルダの名前:
防止するファイルのアクション: 実行
注:このルールは、ePO MER の実行を妨げます。 ePO MER を実行しようとするときは、ターゲット システムでこのルールを無効にする必要があります。
先頭に戻る
Host IPS シグネチャ
デフォルトでは、以下のすべての署名は無効になっているか、ブロックされない重大度に設定されています。 シグネチャの重大度または適切な IPS 保護ポリシーを調整する必要がある場合があります。
344: New Startup Program Creation 933: System Drive Executable Modification 3814: Microsoft Word Enveloping - Illegal file creation 6073: Execution Policy Bypass in PowerShell 6075: Remote script execution by core windows utility 6087: PowerShell Command Restriction - EncodedCommand 6105: Windows Script Command Restriction - Batch Mode 6107: MS Word trying to execute unwanted programs 6108: PowerShell - Suspicious download string script execution 6109: PowerShell - Suspicious wmi script execution 6113: Fileless Threat: Reflective Self Injection 6121: Fileless Threat: Shellcode Self Injection 6131: Weaponized OLE object infection via WMI
SME スパム対策およびオンアクセス スキャン ポリシー
次のスパム対策およびオンアクセス スキャン ポリシーを使用します。
先頭に戻る
その他のユーザーの推奨事項
- セキュリティに関する意識とトレーニング:
- フィッシングとスパムキャンペーンをシミュレートして、ソーシャル エンジニアリング攻撃に該当するユーザーそれぞれにセキュリティ意識を持たせます。
- 送信者から要求されていない限り、添付ファイルを開いたり、不審なリンクを開始したりしないでください。添付ファイルを開く前に、電子メール ヘッダーを表示するか、別の電子メールを送信して送信者を検証します。
- 疑わしい電子メールを組織のセキュリティ オペレーション センターに報告します。 不審なメールを安全に提出する方法と場所を皆様に知らせます。
- 悪意あるリンクを特定し、リンクまたは添付ファイルもしくは両方を含む電子メールをブロックする、メールおよび Web ゲートウェイ製品を使用します。
- スパム フィルタリングを使用します。
- ENS Web Control を使用します。これはオンラインブラウジングおよび検索中に Web サイトの安全性評価と報告を表示します。ENS Web Control では、サイト管理者が安全性評価またはコンテンツに従って Web サイトへのアクセスをブロックできます。
- Powershell の実行が想定されていないシステムで PowerShell の実行を防止します。
- マクロの Microsoft Office セキュリティ ポリシーが [高い] または [極めて高い] に設定されていることを確認します。
および同様の添付ファイルをメールか Web ゲートウェイでブロックします。.EXE ,.RAR ,.SCR ,.CAB ,.VBS ,.BAT ,.WSF ,.JS ,.PS1 ,.IQY ,.SCT
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
影響を受ける製品
言語:
この記事は、次の言語で表示可能です: