[アドレススペースレイアウトのランダム化を強制する] や [DEP を強制する] などのエクスプロイト緩和設定は、 CrowdStrike などのエンドポイント保護ツールで有効にできます。 SPC は、アプリケーションに含まれるポリシーとエンドポイント保護ツールとの API 統合を利用して、デバイスでこの構成を自動的に検出します。

必要なロール: SPC アドミングループと SPC アナリストグループ。

CrowdStrike Exploit Protection (EDR) の軽減コントロール検出の前提条件

1. CrowdStrike サービスグラフコネクタがアクティブ化されていることを確認します。このアプリケーションは ServiceNow Store で入手できます。インストールと構成に関する情報は、アプリのリストに含まれています。詳細については、「緩和コントロールモニタリングのための CrowdStrike 統合のインストールと構成」を参照してください。
2. セキュリティポスチャコントロールワークスペースで CrowdStrike API 統合が有効になっていることを確認します。

Microsoft Exploit Protection (EDR) の軽減コントロール検出の前提条件

Microsoft スクリプト作成者ロールを含む SCCM 認証情報。スクリプト作成者ロールは、SCCM サーバーに緩和情報をインポートするために必要なスクリプトを作成するために必要な権限を提供します。

Microsoft Defender で構成された緩和コントロールを特定するには、SCCM 統合をアクティブ化する必要があります。

詳細については、「Microsoft SCCM のサービスグラフコネクタと Microsoft Defender 緩和コントロール統合のインストールと構成」を参照してください。

• Defender – エクスプロイト緩和 – CFG

  Microsoft Defender Control Flow Guard。

• Defender – エクスプロイト緩和 – DEP

  Microsoft Defender データ実行防止。

• Defender – エクスプロイト緩和 – 必須 ASLR とボトムアップ ASLR

  Microsoft ディフェンダーフォースASLR。

• MITRE 対処される戦術:初期アクセス、実行、認証情報アクセス、防御回避、特権エスカレーション、ラテラルムーブメント。