エクスプロイト保護 (EDR)

必要なロール: SPC アドミングループと SPC アナリストグループ。

このカテゴリの緩和コントロールは、エンドポイント保護エージェント構成の形式で資産で利用可能な緩和をカバーします。これは、 CrowdStrike や Microsoft SCCM、 Microsoft Defender Mitigation Control Integration や SentineOne などのエンドポイント保護エージェントに適用されます。

[アドレススペースレイアウトのランダム化を強制する] や [DEP を強制する] などのエクスプロイト緩和設定は、 CrowdStrike などのエンドポイント保護ツールで有効にできます。 SPC は、アプリケーションに含まれるポリシーとエンドポイント保護ツールとの API 統合を利用して、デバイスでこの構成を自動的に検出します。

を使用した Exploit Protection (EDR) 検出の前提条件 CrowdStrike

1. CrowdStrike サービスグラフコネクタがアクティブ化されていることを確認します。このアプリケーションは ServiceNow Store で入手できます。インストールと構成に関する情報は、アプリのリストに含まれています。詳細については、「緩和コントロールモニタリングのための CrowdStrike 統合をインストールして構成します」を参照してください。
2. セキュリティポスチャコントロールワークスペースで CrowdStrike API 統合が有効になっていることを確認します。

Exploit Protection (EDR) の軽減コントロールとポリシー CrowdStrike

Microsoft SCCM と Microsoft Defender 緩和コントロール統合による Exploit Protection (EDR) 検出の前提条件

Microsoft スクリプト作成者ロールを含む SCCM 認証情報。スクリプト作成者ロールは、SCCM サーバーに緩和情報をインポートするために必要なスクリプトを作成するために必要な権限を提供します。

詳細については、「Microsoft SCCM のサービスグラフコネクタと Microsoft Defender 緩和コントロール統合のインストールと構成」を参照してください。

Exploit Protection (EDR) with Microsoft SCCM および Microsoft Defender Mitigation Control Integration の軽減コントロールとポリシー:

• Defender – エクスプロイト緩和 – CFG

  Microsoft Defender Control Flow Guard。

• Defender – エクスプロイト緩和 – DEP

  Microsoft Defender データ実行防止。

• Defender – エクスプロイト緩和 – 必須 ASLR とボトムアップ ASLR

  Microsoft ディフェンダーフォースASLR。

• MITRE 対処される戦術:初期アクセス、実行、認証情報アクセス、防御回避、特権エスカレーション、ラテラルムーブメント。
• MITRE この緩和策で対処される手法:ドライブバイ侵害 (初期アクセス)、クライアント実行のためのエクスプロイト (実行)、認証情報アクセスのエクスプロイト (認証情報アクセス)、防御回避のためのエクスプロイト (防御回避)、特権エスカレーションのためのエクスプロイト (防御回避)、リモートサービスのエクスプロイト (ラテラルムーブメント)。

SentinelOne Mitigation Control Integration を使用した Exploit Protection (EDR) 検出の前提条件