CrowdStrike などのエンドポイント保護ツールでは、「アドレススペースレイアウトのランダム化を強制」や「DEP を強制」などのエクスプロイト緩和設定を有効化することができます。SPC では、アプリケーションに含まれるポリシーやエンドポイント保護ツールとの API 統合を利用して、デバイス上でこの構成を自動的に検出することができます。

必要なロール：SPC Admin Group (アドミングループ) および SPC Analyst Group (アナリストグループ)

CrowdStrike Exploit Protection (EDR) 緩和コントロール検出の前提条件

1. CrowdStrike サービスグラフコネクタがアクティブ化されていることを確認します。このアプリケーションは、ServiceNow Storeで入手できます。インストールや構成に関する情報は、アプリの一覧に記載されています。詳細については、「緩和コントロールモニタリングのための CrowdStrike 統合をインストールして構成します」を参照してください。
2. セキュリティポスチャコントロール ワークスペースで CrowdStrike API 統合がアクティブ化されていることを確認します。

Microsoft Exploit Protection (EDR) 緩和コントロール検出の前提条件

「スクリプト作成者」ロールを含む Microsoft SCCM 認証情報。「スクリプト作成者」ロールには、SCCM サーバーに緩和情報をインポートする際のスクリプトの作成に必要な権限があります。

Microsoft Defender で構成された緩和コントロールを識別するには、SCCM 統合をアクティブ化する必要があります。

詳細については、「Microsoft SCCM のサービスグラフコネクタおよび Microsoft Defender 緩和コントロール統合をインストールして構成する」を参照してください。

• Defender – エクスプロイト緩和 - CFG

  Microsoft Defender コントロールフローガード。

• Defender – エクスプロイト緩和 - DEP

  Microsoft Defender データ実行防止

• Defender – エクスプロイト緩和 – 必須 ASLR とボトムアップ ASLR

  Microsoft Defender の「ASLR を強制」

• MITRE 戦術での対処：初期アクセス、実行、認証情報アクセス、防御回避、特権エスカレーション、ラテラルムーブメント