Sdílet prostřednictvím

Sestava pravidel omezení potenciální oblasti útoku

  • Článek

Platí pro:

Platformy:

  • Windows

Sestava Pravidla omezení potenciální plochy útoku poskytuje podrobné přehledy o pravidlech vynucování na zařízeních v organizaci. Kromě toho tato sestava nabízí informace o:

  • zjištěné hrozby
  • blokované hrozby
  • zařízení, která nejsou nakonfigurovaná tak, aby blokovala hrozby pomocí standardních pravidel ochrany

Kromě toho sestava poskytuje snadno použitelné rozhraní, které umožňuje:

  • Zobrazení detekcí hrozeb
  • Zobrazení konfigurace pravidel ASR
  • Konfigurace (přidání) vyloučení
  • Přejít k podrobnostem a shromáždit podrobné informace

Další informace o jednotlivých pravidlech omezení potenciální oblasti útoku najdete v tématu Referenční informace o pravidlech omezení potenciální oblasti útoku.

Požadavky

Důležité

Pro přístup k sestavě pravidel omezení potenciální oblasti útoku se na portálu Microsoft Defender vyžadují oprávnění ke čtení. Aby se Windows Server 2012 R2 a Windows Server 2016 zobrazily v sestavě pravidel omezení potenciální oblasti útoku, musí být tato zařízení nasazená pomocí moderního balíčku sjednoceného řešení. Další informace najdete v tématu Nové funkce moderního sjednoceného řešení pro Windows Server 2012 R2 a 2016.

Přístupová oprávnění k sestavě

Pro přístup k sestavě pravidel omezení potenciální oblasti útoku na portálu Microsoft Defender jsou vyžadována následující oprávnění:

Název oprávnění Typ oprávnění
Zobrazit data Operace zabezpečení

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Přiřazení těchto oprávnění:

  1. Přihlaste se k portálu Microsoft Defender.

  2. V navigačním podokně vyberte Nastavení>Role koncových bodů>(v části Oprávnění).

  3. Vyberte roli, kterou chcete upravit, a pak vyberte Upravit.

  4. V části Upravit roli zadejte na kartě Obecné do pole Název role název role.

  5. Do pole Popis zadejte stručný souhrn role.

  6. V části Oprávnění vyberte Zobrazit data a v části Zobrazit data vyberte Operace zabezpečení.

Přechod na souhrnné karty pro sestavu pravidel omezení potenciální oblasti útoku

  1. Otevřete portál Microsoft Defender.

  2. V navigačním podokně vyberte Sestavy. V hlavní části v části Sestavy vyberte Sestava zabezpečení.

  3. Posuňte se dolů k části Zařízení a vyhledejte karty se souhrnem pravidel omezení potenciální oblasti útoku . Karty souhrnné sestavy pro pravidla ASR se podobají následujícímu obrázku:

Zobrazuje souhrnné karty sestavy pravidel ASR.

Souhrnné karty sestav pravidel ASR

Souhrn sestavy pravidel ASR je rozdělený na dvě karty:

Karta souhrnu detekce pravidel ASR

Karta souhrnu detekce pravidel ASR zobrazuje souhrn počtu zjištěných hrozeb blokovaných pravidly ASR. Tato karta obsahuje dvě tlačítka akcí:

  • Zobrazení detekcí: Otevře kartu Detekce .
  • Přidat vyloučení: Otevře kartu Vyloučení .

Snímek obrazovky znázorňující kartu souhrnu detekce pravidel ASR

Výběrem odkazu Detekce pravidel ASR v horní části karty se také otevře hlavní karta Pravidla omezení oblasti útoku Detekce.

Karta souhrnu konfigurace pravidel ASR

Horní část se zaměřuje na tři doporučená pravidla, která chrání před běžnými technikami útoku. Tato karta zobrazuje informace o aktuálním stavu počítačů ve vaší organizaci, které mají následující standardní pravidla ochrany Tři (ASR) nastavená v režimu blokování, režimu auditování nebo vypnuto (není nakonfigurováno). Tlačítko Chránit zařízení zobrazuje podrobnosti o úplné konfiguraci pouze pro tři pravidla. zákazníci můžou tato pravidla rychle povolit.

V dolní části se zobrazí šest pravidel na základě počtu nechráněných zařízení na pravidlo. Tlačítko Zobrazit konfiguraci zobrazí všechny podrobnosti o konfiguraci pro všechna pravidla ASR. Tlačítko Přidat vyloučení zobrazuje stránku přidat vyloučení se všemi názvy zjištěných souborů nebo procesů, které se mají vyhodnotit ve službě Security Operation Center (SOC). Stránka Přidat vyloučení je propojená s Microsoft Intune.

Karta obsahuje také dvě tlačítka akcí:

  • Konfigurace zobrazení: Otevře kartu Detekce .
  • Přidat vyloučení: Otevře kartu Vyloučení .

Zobrazuje souhrnnou konfigurační kartu sestavy pravidel ASR.

Výběrem odkazu na konfiguraci pravidel ASR v horní části karty se také otevře hlavní karta Pravidla omezení oblasti útoku Konfigurace.

Zjednodušená možnost standardní ochrany

Souhrnná karta konfigurace poskytuje tlačítko Chránit zařízení pomocí tří standardních pravidel ochrany. Společnost Microsoft doporučuje povolit minimálně tato tři standardní pravidla ochrany proti potenciálnímu útoku:

Povolení tří standardních pravidel ochrany:

  1. Vyberte Chránit zařízení. Otevře se hlavní karta Konfigurace .

  2. Základní pravidla na kartě Konfigurace automaticky přepíná ze všech pravidel na Povolená standardní pravidla ochrany.

  3. V seznamu Zařízení vyberte zařízení, pro která chcete použít standardní pravidla ochrany, a pak vyberte Uložit.

Tato karta má dvě další navigační tlačítka:

  • Zobrazit konfiguraci: Otevře kartu Konfigurace .
  • Přidat vyloučení: Otevře kartu Vyloučení .

Výběrem odkazu na konfiguraci pravidel ASR v horní části karty se také otevře hlavní karta Pravidla omezení oblasti útoku Konfigurace.

Hlavní karty pravidel omezení potenciální oblasti útoku

I když jsou souhrnné karty sestavy pravidel ASR užitečné pro rychlé shrnutí stavu pravidel ASR, hlavní karty poskytují podrobnější informace s možnostmi filtrování a konfigurace:

Možnosti vyhledávání

Funkce vyhledávání se přidá na hlavní karty Detekce, Konfigurace a Přidat vyloučení . Díky této funkci můžete vyhledávat pomocí ID zařízení, názvu souboru nebo názvu procesu.

Zobrazuje funkci hledání sestav pravidel ASR.

Filtrování

Filtrování poskytuje způsob, jak určit, jaké výsledky se mají vrátit:

  • Datum umožňuje určit rozsah dat pro výsledky dat.
  • Filtruje

Poznámka

Při filtrování podle pravidla je počet jednotlivých zjištěných položek uvedených v dolní polovině sestavy aktuálně omezený na 200 pravidel. Úplný seznam detekcí můžete uložit do Excelu pomocí příkazu Exportovat .

Tip

Vzhledem k tomu, že filtr aktuálně funguje v této verzi, pokaždé, když chcete "seskupit podle", musíte nejprve přejít dolů na poslední detekci v seznamu, abyste načetli úplnou datovou sadu. Po načtení úplné sady dat pak můžete spustit filtrování "seřadit podle". Pokud se při každém použití nebo při změně možností filtrování (například pravidla ASR použitá pro aktuální spuštění filtru) nepřesouváte dolů, jsou výsledky nesprávné pro všechny výsledky, které mají více než jednu zobrazitelnou stránku uvedených detekcí.

Snímek obrazovky znázorňující funkci vyhledávání sestav pravidel ASR na kartě konfigurace

Snímek obrazovky znázorňující filtry detekce pravidel omezení potenciální oblasti útoku na pravidla

Karta Hlavní detekce pravidel omezení potenciální oblasti útoku

  • Detekce auditu: Zobrazuje, kolik detekcí hrozeb jsou zachyceny pravidly nastavenými v režimu auditování .
  • Blokované detekce: Zobrazuje, kolik detekcí hrozeb blokuje pravidla nastavená v režimu blokování .
  • Velký konsolidovaný graf: Zobrazuje blokované a auditované detekce.

Zobrazuje kartu hlavního zjišťování pravidel ASR s _Audit detections_ a _Blocked detections_.

Grafy poskytují data detekce v zobrazeném rozsahu kalendářních dat s možností najetí myší na konkrétní místo, aby se shromažďovaly informace o konkrétním datu.

Dolní část sestavy obsahuje seznam zjištěných hrozeb – na základě jednotlivých zařízení – s následujícími poli:

Název pole Vysvětlení
Zjištěný soubor Soubor obsahující možnou nebo známou hrozbu
Zjistilo se Datum zjištění hrozby
Blokované nebo auditované? Jestli bylo pravidlo zjišťování pro konkrétní událost v režimu blokování nebo auditování
Pravidlo Které pravidlo hrozbu zjistilo
Zdrojová aplikace Aplikace, která provedla volání do uráženého "zjištěného souboru"
Device Název zařízení, na kterém došlo k události auditování nebo blokování
Skupina zařízení Skupina služby Active Directory, do které zařízení patří
User Účet počítače zodpovědný za volání
Vydavatel Společnost, která vydala konkrétní .exe nebo aplikaci

Další informace o režimech auditování a blokování pravidel ASR najdete v tématu Režimy pravidel omezení potenciální oblasti útoku.

Akční informační panel

Hlavní stránka Detekce obsahuje seznam všech detekcí (souborů nebo procesů) za posledních 30 dnů. Vyberte některou z detekcí a otevřete ji s možnostmi přechodu k podrobnostem.

Zobrazuje informační panel hlavní karty pravidel ASR pro sestavy detekce.

Část Možné vyloučení a dopad obsahuje účinek vybraného souboru nebo procesu. Máte tyto možnosti:

  • Vyberte Přejít proaktivně. Otevře se stránka dotazu rozšířeného proaktivního proaktivního vyhledávání.
  • Otevření stránky souboru se otevře Microsoft Defender for Endpoint zjišťování
  • Tlačítko Přidat vyloučení je propojené s hlavní stránkou přidat vyloučení.

Následující obrázek znázorňuje, jak se stránka dotazu rozšířeného proaktivního proaktivního vyhledávání otevře z odkazu na informačním rámečku s možností akce:

Zobrazuje informační odkaz na kartu Hlavní detekce pravidel omezení potenciální oblasti útoku, která otevírá rozšířené proaktivní vyhledávání.

Další informace o rozšířeném proaktivním vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání v Microsoft Defender XDR

Hlavní karta Konfigurace pravidel omezení potenciální oblasti útoku

Hlavní karta Konfigurace pravidel ASR poskytuje souhrnné podrobnosti o konfiguraci pravidel ASR pro jednotlivá zařízení. Karta Konfigurace má tři hlavní aspekty:

Základní pravidla Poskytuje metodu pro přepínání výsledků mezi základními pravidly a všechna pravidla. Ve výchozím nastavení je vybraná možnost Základní pravidla .

Přehled konfigurace zařízení Poskytuje aktuální snímek zařízení v jednom z následujících stavů:

  • Všechna vystavená zařízení (zařízení s chybějícími požadavky, pravidla v režimu auditování, chybně nakonfigurovaná pravidla nebo nenakonfigurovaná pravidla)
  • Zařízení s nenakonfigurovanými pravidly
  • Zařízení s pravidly v režimu auditování
  • Zařízení s pravidly v režimu blokování

Dolní, nepojmenovaná část karty Konfigurace obsahuje seznam aktuálního stavu vašich zařízení (na základě jednotlivých zařízení):

  • Zařízení (název)
  • Celková konfigurace (jestli jsou některá pravidla zapnutá nebo všechna vypnutá)
  • Pravidla v režimu blokování (počet pravidel na zařízení nastavených na blokování)
  • Pravidla v režimu auditování (počet pravidel v režimu auditování)
  • Pravidla jsou vypnutá (pravidla, která jsou vypnutá nebo nejsou povolená)
  • ID zařízení (IDENTIFIKÁTOR GUID zařízení)

Tyto prvky jsou znázorněny na následujícím obrázku.

Zobrazuje hlavní kartu konfigurace pravidel ASR.

Povolení pravidel ASR:

  1. V části Zařízení vyberte zařízení nebo zařízení, u kterých chcete použít pravidla ASR.

  2. V okně informačního rámečku ověřte vybrané možnosti a pak vyberte Přidat do zásady. Karta Konfigurace a vysouvací panel přidat pravidlo jsou vidět na následujícím obrázku.

    Zobrazuje informační panel pravidel ASR pro přidání pravidel ASR do zařízení.

[POZNÁMKA!] Pokud máte zařízení, která vyžadují použití různých pravidel ASR, měli byste je nakonfigurovat jednotlivě.

Karta Přidat vyloučení pro pravidla omezení potenciální oblasti útoku

Karta Přidat vyloučení zobrazuje seřazený seznam detekcí podle názvu souboru a poskytuje metodu konfigurace vyloučení. Ve výchozím nastavení jsou informace o vyloučeních přidání uvedené pro tři pole:

  • Název souboru: Název souboru, který aktivoval událost pravidel ASR.
  • Detekce: Celkový počet zjištěných událostí pro pojmenovaný soubor. Jednotlivá zařízení můžou aktivovat více událostí pravidel ASR.
  • Zařízení: Počet zařízení, na kterých k detekci došlo.

Zobrazuje kartu pro přidání vyloučení v sestavě pravidel ASR.

Důležité

Vyloučení souborů nebo složek může výrazně snížit ochranu poskytovanou pravidly ASR. Vyloučené soubory se můžou spouštět a nezaznamenávají se žádné sestavy ani události. Pokud pravidla ASR detekují soubory, o které se domníváte, že by se neměly detekovat, měli byste k otestování pravidla nejprve použít režim auditování.

Když vyberete soubor, otevře se informační okno Souhrn & očekávaného dopadu s následujícími typy informací:

  • Vybrané soubory – počet souborů, které jste vybrali pro vyloučení
  • (počet) detekcí – udává očekávané snížení počtu detekcí po přidání vybraných vyloučení. Snížení počtu detekcí je graficky znázorněno pro skutečné detekce a detekce po vyloučeních.
  • (počet) ovlivněných zařízení – udává očekávané snížení počtu zařízení, která hlásí detekce vybraných vyloučení.

Stránka Přidat vyloučení obsahuje dvě tlačítka pro akce, které se dají použít u všech zjištěných souborů (po výběru). Máte tyto možnosti:

  • Přidat vyloučení, které otevře Microsoft Intune stránce zásad ASR. Další informace najdete v tématu Intune v tématu Povolení alternativních metod konfigurace pravidel ASR.
  • Získejte cesty vyloučení , které stahují cesty k souborům ve formátu CSV.

Zobrazuje sestavu pravidel ASR se souhrnem dopadu na kartu přidat vyloučení.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.