管理人– Author –

概要 初期侵入対策 GUID: A8F5898E-1DC8-49A9-9878-85004B8A61E6 推奨設定値：2: 監査 → 1: ブロック (攻撃面の縮小ルールを有効にする) この ASR ルールは、Web サーバー上に "遠隔操作用スクリプト（Web シェル）" を生成・配置する行為を、作成時点で遮...

概要 特権昇格対策 GUID: C1DB55AB-C21A-4637-BB3F-A12568109D35 推奨設定値：1: ブロック (攻撃面の縮小ルールを有効にする) このルールは、Windows 標準ツールを "コピーもしくは偽装" して攻撃に悪用する手口を実行段階で遮断するものです。攻撃者は "L...

概要 初期侵入対策 GUID: B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 1: ブロック (攻撃面の縮小ルールを有効にする) このルールは、USB メモリなどのリムーバブルメディアから "信用できない実行ファイル" を直接起動させない、というものです。閉域網であっ...

概要 永続化対策 GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A 推奨設定値：2: 監査 → 1: ブロック (攻撃面の縮小ルールを有効にする) Microsoft Endpoint Configuration Manager 環境では使用不可 この ASR ルールは、"攻撃者が意図的に Windows を「セー...

概要 水平展開対策 GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c 推奨設定値：2: 監査 → 1: ブロック (攻撃面の縮小ルールを有効にする) Microsoft Endpoint Configuration Manager 環境では使用不可 この ASR ルールはMicrosoft Endpoint Configurat...

概要 永続化対策 GUID：e6db77e5-3df2-4cf1-b95a-636979351e5b 推奨設定値：1: ブロック (攻撃面の縮小ルールを有効にする) 攻撃者は、WMI を使い "自動実行（永続化）" を試みます。WMI の _EventFilter、 CommandLineEventConsumer、_FilterToConsumerBi...

概要 初期侵入対策 GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869 推奨設定値：1: ブロック (攻撃面の縮小ルールを有効にする) 主に Outlook / Teams / Skype for Business を対象として、Officeの通信系アプリが cmd / powershell / exe を起動する行為」...

概要 悪意あるプログラムの実行対策 GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 推奨設定値：1: ブロック (攻撃面の縮小ルールを有効にする) このルールは、Word、Excel、OneNote、およびPowerPoint が、以下のようなプロセスインジェクションをブロック...

概要 悪意あるプログラムの実行対策 GUID: 3b576869-a4ec-4529-8536-b80a7769e899 推奨設定値：1: ブロック (攻撃面の縮小ルールを有効にする) このルールは、Word / Excel / PowerPoint / Outlook / OneNote などの "Office アプリが “実行可能形式...

概要 初期侵入対策 GUID: d3e037e1-3eb8-44c8-a917-57927947596d 推奨設定値：1: ブロック (攻撃面の縮小ルールを有効にする) このルールは、"インターネットやメール経由でダウンロードされた EXE/DLL などを、JavaScript（.js）やVBScript（.vbs） ...