Jaa

Hyökkäyspinnan pienentämissääntöjen testaaminen

  • Artikkeli

Koskee seuraavia:

Hyökkäysalueen vähentämissääntöjen Microsoft Defender for Endpoint testaamisen avulla voit selvittää, haittaavatko säännöt toimialakohtaisia toimintoja ennen minkään säännön käyttöönottoa. Aloittamalla pienestä, valvotusta ryhmästä voit rajoittaa mahdollisia työhäiriöitä, kun laajennat käyttöönottoa koko organisaatiossasi.

Tässä hyökkäysalueen vähentämissääntöjen käyttöönotto-oppaan osiossa opit seuraavaa:

  • määritä säännöt Microsoft Intune avulla
  • käytä Microsoft Defender for Endpoint hyökkäyspinnan vähentämissääntöjen raportteja
  • määritä hyökkäyspinnan vähentämissääntöjen poikkeukset
  • ota hyökkäyspinnan vähentämissäännöt käyttöön PowerShellin avulla
  • käytä Tapahtumienvalvonta hyökkäyspinnan vähentämissääntöjen tapahtumille

Huomautus

Ennen kuin aloitat hyökkäyspinnan pienentämissääntöjen testaamisen, on suositeltavaa poistaa ensin käytöstä kaikki säännöt, jotka olet aiemmin määrittänyt joko valvomaan tai ottamaan käyttöön (jos käytettävissä). Lisätietoja hyökkäyspinnan pienentämissääntöjen käyttämisestä on kohdassa Hyökkäyspinnan vähentämissääntöjen raportit , joissa kerrotaan hyökkäyspinnan vähentämissääntöjen poistamisesta käytöstä.

Aloita hyökkäyspinnan pienentämissääntöjen käyttöönotto renkaalla 1.

Microsoft Defender for Endpoint hyökkäyspinnan pienentämisen (ASR-säännöt) testivaiheet. Audit attack surface reduction rules, configure ASR rules exclusions. Määritä ASR-sääntöjen Intune. ASR-sääntöjen poikkeukset. ASR-sääntöjen tapahtumienvalvonta.

Vaihe 1: Hyökkäyksen pinnan vähentämissääntöjen testaaminen valvonnan avulla

Aloita testausvaihe ottamalla käyttöön hyökkäysalueen vähentämissäännöt, joiden sääntöjen asetuksena on Valvonta, alkaen kehän 1 mestarikäyttäjistä tai laitteista. Yleensä suositus on, että otat kaikki säännöt käyttöön (auditoinnissa), jotta voit määrittää, mitkä säännöt käynnistetään testausvaiheessa.

Säännöt, joiden asetuksena on Valvonta, eivät yleensä vaikuta sen entiteetin tai entiteettien toiminnallisuuteen, johon sääntöä sovelletaan, mutta luovat kirjatut tapahtumat arviointia varten. sillä ei ole vaikutusta loppukäyttäjiin.

Hyökkäyspinnan pienentämissääntöjen määrittäminen Intune avulla

Voit käyttää Microsoft Intune Päätepisteen suojaus -toimintoa mukautettujen hyökkäyspinnan pienentämissääntöjen määrittämiseen.

  1. Avaa Microsoft Intune hallintakeskus.

  2. Siirry kohtaan Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen.

  3. Valitse Luo käytäntö.

  4. Valitse käyttöympäristössäWindows 10, Windows 11 ja Windows Server ja valitse profiilissaHyökkäyspinnan pienentämissäännöt.

    ASR-sääntöjen profiilinluontisivu

  5. Valitse Luo.

  6. Lisää käytännöllesi nimi Luo profiili -ruudun Perustiedot-välilehden Nimi-kohdassa. Lisää Kuvaus-kohtaan kuvaus hyökkäysalueen vähentämissääntöjen käytännölle.

  7. Määritä Kokoonpanoasetukset-välilehdenAttack Surface Reduction Rules -kohdassa kaikki säännöt valvontatilaan.

    Hyökkäyspinnan vähentämissääntöjen määrittäminen valvontatilaan

    Huomautus

    Joissakin hyökkäyspinnan pienentämistilan luetteloissa on muunnelmia. Estetyt ja käytössä ovat samat toiminnot.

  8. [Valinnainen] Käyttöalueen tunnisteet -ruudussa voit lisätä tunnistetietoja tiettyihin laitteisiin. Voit myös käyttää roolipohjaisia käyttöoikeuksien hallinta- ja vaikutusaluetunnisteita varmistaaksesi, että oikeilla järjestelmänvalvojilla on oikeat käyttöoikeudet ja näkyvyys oikeisiin Intune objekteihin. Lisätietoja: Käytä roolipohjaista käytönvalvontaa (RBAC) ja käyttöaluetunnisteita hajautetuille IT-toiminnoille Intune.

  9. Määritykset-ruudussa voit ottaa käyttöön tai "määrittää" profiilin käyttäjä- tai laiteryhmille. Lisätietoja: Laiteprofiilien määrittäminen Microsoft Intune

    Huomautus

    Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

  10. Tarkista asetuksesi Tarkista + luo -ruudussa. Käytä sääntöjä valitsemalla Luo .

    Luo profiili -sivu

Uusi hyökkäysalueen vähentämiskäytäntö hyökkäysalueen vähentämissäännöille on lueteltu päätepisteen suojauksessa | Hyökkäyspinnan pienentäminen.

Hyökkäyspinnan pienentämissivu

Vaihe 2: Hyökkäyspinnan vähentämisen sääntöjen raportointisivun ymmärtäminen Microsoft Defender portaalissa

Hyökkäysalueen vähennyssääntöjen raportointisivu löytyy Microsoft Defender portaalin>Raporttien>hyökkäyspinnan pienentämissäännöistä. Tällä sivulla on kolme välilehteä:

  • Etsivä
  • Määritykset
  • Lisää poissulkemisia

Tunnistuksia-välilehti

Tarjoaa 30 päivän aikajanan havaituista auditointi- ja estettyjen tapahtumien tapahtumista.

Kaavio, joka näyttää hyökkäyspinnan vähentämissäännöt raportin yhteenvedontunnistuskortti.

Hyökkäysalueen pienentämissääntöjen ruutu tarjoaa yleiskatsauksen havaituista tapahtumista sääntökohtaisesti.

Huomautus

Hyökkäyspinnan pienentämissääntöjen raporteissa on joitakin muunnelmia. Microsoft päivittää parhaillaan hyökkäyspinnan vähentämissääntöjen raporttien toimintaa yhdenmukaisen käyttökokemuksen tarjoamiseksi.

Kaavio, joka näyttää hyökkäysalueen pienentämissääntöjen raportin yhteenvedon määrityskortin.

Avaa Tunnistuksia-välilehti valitsemalla Näytä tunnistuksia.

Näyttökuva, jossa näkyy hyökkäysalueen pienentämissääntöjen raporttihakuominaisuus.

Ryhmittelyperuste- ja Suodatin-ruudussa on seuraavat asetukset:

GroupBy palauttaa seuraaville ryhmille asetetut tulokset:

  • Ei ryhmittelyä
  • Tunnistettu tiedosto
  • Valvonta tai lohko
  • Sääntö
  • Lähdesovellus
  • Laite
  • Käyttäjä
  • Publisher

Huomautus

Kun suodatat säännön mukaan, raportin alemmalla puoliskolla lueteltujen yksittäisten havaittujen kohteiden määrä on tällä hetkellä rajoitettu 200 sääntöön. Vie-toiminnolla voit tallentaa täydellisen tunnistusluettelon Exceliin.

Näyttökuva, jossa näkyy Azure Site Recovery sääntöjen raporttihakutoiminto määritysvälilehdellä.

Suodatin avaa Suodata sääntöihin -sivun, jonka avulla voit rajata tulokset vain valittuihin hyökkäysalueen vähentämissääntöihin:

Hyökkäyspinnan vähentämisen sääntöjen tunnistuksia suodatetaan säännöissä

Huomautus

Jos sinulla on Microsoft 365 Security E5- tai A5-, Windows E5- tai A5-käyttöoikeus, seuraava linkki avaa Microsoft Defender 365 -raportit >Hyökkäyspinnan vähennysten tunnistuksia> -välilehti.

Määritys-välilehti

Lists – tietokonekohtaisesti – hyökkäyspinnan vähentämissääntöjen koostetila: ei käytössä, valvonta, esto.

Näyttökuva, joka näyttää hyökkäysalueen pienentämissäännöt -raportin päämääritysvälilehden.

Määritykset-välilehdessä voit nähdä, mitkä hyökkäyspinnan vähentämissäännöt on otettu käyttöön ja niiden tilan kullekin laitteelle valitsemalla laitteen, jonka haluat tarkastella.

Näyttökuva, jossa näkyy ASR-sääntöjen pikaikkuna ASR-sääntöjen lisäämiseksi laitteisiin.

Aloittaminen-linkki avaa Microsoft Intune hallintakeskuksen, jossa voit luoda tai muokata päätepisteen suojauskäytäntöä hyökkäyspinnan pienentämistä varten:

*Päätepisteen suojausvalikon vaihtoehto Yleiskatsaus-sivulla

Päätepisteen suojauksessa | Yleiskatsaus, valitse Hyökkäyspinnan pienentäminen:

Hyökkäyspinnan pieneneminen Intune

Päätepisteen suojaus | Hyökkäysalueen pienentämisruutu avautuu:

Päätepisteen suojauksen Hyökkäysalueen pienentäminen -ruutu

Huomautus

Jos sinulla on Microsoft Defender 365 E5 (tai Windows E5?) Käyttöoikeus, tämä linkki avaa Microsoft Defender 365 -raportit > Hyökkäyspinnan vähennysten Kokoonpanot-välilehden>.

Lisää poissulkemisia

Tässä välilehdessä on menetelmä, jolla tunnistetut entiteetit (esimerkiksi false-positiiviset) valitaan poissulkemisen vuoksi. Kun poissulkemisia lisätään, raportissa on yhteenveto odotetusta vaikutuksesta.

Huomautus

Attack surface reduction rules honor Microsoft Defender Antivirus (AV) exclusion. Katso Poikkeuksen määrittäminen ja vahvistaminen tunnisteen, nimen tai sijainnin perusteella.

Ruutu, joka sisältää tunnistetun tiedoston poissulkemisen

Huomautus

Jos sinulla on Microsoft Defender 365 E5 (tai Windows E5?) Käyttöoikeus, tämä linkki avaa Microsoft Defender 365 -raportit > Hyökkäyspinnan vähennysten poikkeukset> -välilehden.

Lisätietoja hyökkäyspinnan pienentämissääntöjen käyttämisestä on kohdassa Hyökkäyspinnan pienentämissääntöjen raportit.

Hyökkäyspinnan säännönkohtaisen vähentämisen poissulkemisten määrittäminen

Hyökkäyspinnan vähentämissäännöt tarjoavat nyt mahdollisuuden määrittää sääntökohtaisia poissulkemisia, joita kutsutaan säännön poissulkemisiksi.

Jos haluat määrittää tiettyjä säännön poissulkemisia, voit halutessasi käyttää MDE suojausasetusten hallintaa, Intune ja ryhmäkäytäntö.

Intune kautta:

  1. Avaa Microsoft Intune hallintakeskus ja siirry kohtaanAloituspäätepisteen> suojaus >Hyökkäyspinnan pienentäminen.

  2. Jos sitä ei ole vielä määritetty, määritä säännöksi, jolle haluat määrittää poissulkemiset , kohtaan Valvonta tai Estä.

  3. Valitse VAIN SÄÄNTÖkohtainen ASR-asetus poissulkeva -kohdassa vaihtopainike, jos haluat muuttaa Ei määritetty-asetukseksi Määritetty.

  4. Kirjoita niiden tiedostojen tai sovellusten nimet, jotka haluat jättää pois.

  5. Valitse ohjatun profiilitoiminnon luomisen alareunassa Seuraava ja noudata ohjatun toiminnon ohjeita.

Näyttökuva, jossa näkyvät sääntökohtaisten ASR-poikkeusten lisäämisen määritysasetukset.

Vihje

Valitse poissulkemismerkintäluettelon vieressä olevien valintaruutujen avulla kohteita, jotka poistetaan, lajitellaan, tuodaan tai viedään.

Via ryhmäkäytäntö

Määritä käyttäjäkohtaiset ASR-säännön poikkeukset ryhmäkäytäntö avulla

  1. Avaa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö hallintakonsoli.

  2. Napsauta hiiren kakkospainikkeella ryhmäkäytäntö objektia, jonka haluat määrittää, ja valitse sitten Muokkaa.

  3. Siirry ryhmäkäytäntö-hallinta-Kirjoitusavustajakohtaan Tietokoneen määritykset.

  4. Valitse Hallintamallit.

  5. Laajenna puu Windowsin osiin>Microsoft Defender Virustentorjunta>Microsoft Defender Hyödynnä Guard > Attack Surfacen pienentämistä.

  6. Kaksoisnapsauta Käytä tiettyjen hyökkäyspinnan vähentämissääntöjen poissulkemisten luetteloa ja määritä asetukseksi Käytössä.

  7. Valitse sitten Näytä...

  8. Kirjoita Arvon nimi -kohtaan ASR-säännön GUID ilman lainausmerkkejä.

  9. Kirjoita Arvo-kohtaan< drive_letter:\Path\ProcessName>. Jos haluat lisätä useita prosesseja, se erotetaan toisistaan suuremmalla kuin -merkillä (>)

    esimerkiksi "C:\Notepad.exec:\regedit.exe>>C:\SomeFolder\test.exe" ilman lainausmerkkejä

  10. Valitse OK. Tämän asetuksen avulla prosessit, jotka tietty ASR-sääntö estää, voivat jatkaa suorittamista.

Huomautus

"Jos käytännöt eivät ole käytössä, katso Microsoft Defender virustentorjunta-asetusten vianmääritys

Käytä PowerShelliä vaihtoehtoisena menetelmänä hyökkäyspinnan pienentämissääntöjen käyttöön ottamiseksi

Käytä PowerShelliä vaihtoehtona Intune, kun haluat ottaa käyttöön hyökkäyspinnan pienentämissäännöt valvontatilassa. Näin voit tarkastella tietuetta sovelluksista, jotka olisi estetty, jos ominaisuus olisi täysin käytössä. Voit myös nähdä, kuinka usein säännöt käynnistyvät normaalin käytön aikana.

Voit ottaa hyökkäyspinnan pienentämissäännön käyttöön valvontatilassa käyttämällä seuraavaa PowerShellin cmdlet-komentoa:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Missä <rule ID> on hyökkäyspinnan pienentämissäännön GUID-arvo.

Jos haluat ottaa käyttöön kaikki lisätyt hyökkäyspinnan vähentämissäännöt valvontatilassa, käytä seuraavaa PowerShellin cmdlet-komentoa:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Vihje

Jos haluat valvoa täysin, miten hyökkäyspinnan vähentämissäännöt toimivat organisaatiossasi, sinun on otettava tämä asetus käyttöön verkon laitteissa hallintatyökalun avulla.

Voit käyttää myös ryhmäkäytäntö-, Intune- tai mobiililaitteiden hallinnan (MDM) määrityspalveluntarjoajia asetuksen määrittämiseen ja käyttöönottoon. Lue lisää artikkelista Hyökkäysalueen päävähennyssäännöt .

Windows Tapahtumienvalvonta Reviewin käyttäminen vaihtoehtona hyökkäyspinnan vähentämisen sääntöjen raportointisivulle Microsoft Defender-portaalissa

Jos haluat tarkistaa sovellukset, jotka olisi estetty, avaa Tapahtumienvalvonta ja suodata tapahtumatunnus 1121 Microsoft-Windows-Windows Defender/Operational-lokissa. Seuraavassa taulukossa on lueteltu kaikki verkon suojaustapahtumat.

Tapahtuman tunnus Kuvaus
5007 Tapahtuma, kun asetuksia muutetaan
1121 Tapahtuma, kun hyökkäyspinnan pienennyssääntö käynnistyy lohkotilassa
1122 Tapahtuma, kun hyökkäyspinnan pienentämissääntö käynnistyy valvontatilassa

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen

Hyökkäyspinnan pienentämissääntöjen käyttöönotto

Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen

Hyökkäyksen pinnan pienentämissääntöjen viittaus

Hyökkäyspinnan pienentämissääntöjen vianmääritys

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.