Jaa

Hyökkäyspinnan pienentämissääntöjen raportti

  • Artikkeli

Koskee seuraavia:

Alustoilla:

  • Windows

Attack Surface Reduction Rules -raportti tarjoaa yksityiskohtaisia tietoja organisaatiosi laitteissa käyttöönotetusta säännöistä. Lisäksi tässä raportissa on tietoja:

  • havaitut uhat
  • estetyt uhat
  • laitteet, joita ei ole määritetty käyttämään uhkien estämiseen vakiosuojaussääntöjä

Lisäksi raportti tarjoaa helppokäyttöisen käyttöliittymän, jonka avulla voit:

  • Näytä uhkien tunnistuksia
  • Näytä ASR-sääntöjen määritykset
  • Määritä (lisää) poissulkemisia
  • Poraudu alaspäin ja kerää yksityiskohtaisia tietoja

Lisätietoja yksittäisistä hyökkäyspinnan pienentämissäännöistä on kohdassa Hyökkäyksen pinnan pienentämissääntöjen viite.

Ennakkovaatimukset

Tärkeää

Jos haluat käyttää hyökkäysalueen vähentämissääntöjen raporttia, Microsoft Defender portaalin lukuoikeudet vaaditaan. Jotta Windows Server 2012 R2 ja Windows Server 2016 näkyvät hyökkäyspinnan vähentämissääntöjen raportissa, nämä laitteet on otettava käyttöön nykyaikaisen yhdistetyn ratkaisupaketin avulla. Lisätietoja on artikkelissa Uudet toiminnot modernissa yhdistetyssä Windows Server 2012 R2 ja 2016 -ratkaisussa.

Raportin käyttöoikeudet

Hyökkäysalueen vähentämissääntöjen raportin käyttäminen Microsoft Defender portaalissa edellyttää seuraavia käyttöoikeuksia:

Käyttöoikeuden nimi Käyttöoikeustyyppi
Näytä tiedot Suojaustoiminnot

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Voit määrittää nämä oikeudet seuraavasti:

  1. Kirjaudu sisään Microsoft Defender portaaliin.

  2. Valitse siirtymisruudussa Asetukset>Päätepisteet Roolit> (käyttöoikeudet-kohdassa).

  3. Valitse rooli, jota haluat muokata, ja valitse sitten Muokkaa.

  4. Kirjoita Roolin nimi Muokkaa roolia - kohdan Yleiset-välilehdenRoolin nimi -kohtaan.

  5. Kirjoita Kuvaus-kohdassa lyhyt yhteenveto roolista.

  6. Valitse Käyttöoikeudet-kohdassaNäytä tiedot ja valitse sitten Näytä tiedot -kohdasta Suojaustoiminnot.

Siirry hyökkäyspinnan vähennyssääntöjen yhteenvetokorttien raporttiin

  1. Avaa Microsoft Defender portaali.

  2. Valitse siirtymisruudussa Raportit. Valitse pääosion Raportit-kohdastaSuojausraportti.

  3. Vieritä alaspäin kohtaan Laitteet , niin löydät Hyökkäyspinnan vähentämissääntöjen yhteenvetokortit. ASR-sääntöjen yhteenvetoraporttikortit muistuttavat seuraavaa kuvaa:

Näyttää ASR-sääntöjen raporttiyhteenvedon kortit

ASR-sääntöjen raporttiyhteenvedon kortit

ASR-sääntöjen raportin yhteenveto on jaettu kahteen korttiin:

ASR-sääntöjen tunnistuksen yhteenvetokortti

ASR-sääntöjen tunnistamisen yhteenvetokortti näyttää yhteenvedon ASR-sääntöjen estämien havaittujen uhkien määrästä. Tässä kortissa on kaksi toimintopainiketta:

  • Näytä tunnistuksia: Avaa Tunnistuksia-välilehden
  • Lisää poissulkemisia: Avaa Poissulkemiset-välilehden

Näyttökuva, jossa näkyy ASR-sääntöjen raportin yhteenvedon tunnistuskortti.

Kun valitset ASR-sääntöjen havaitsemislinkin kortin yläreunasta, avautuu myös Hyökkäyspinnan päävähennyssääntöjen Tunnistuksia -välilehti.

ASR-sääntöjen määritysyhteenvedon kortti

Yläosassa keskitytään kolmeen suositeltuun sääntöön, jotka suojaavat yleisiltä hyökkäystekniikoilta. Tässä kortissa näytetään organisaatiosi tietokoneiden nykyisen tilan tiedot, joiden kolme (ASR) vakiosuojaussääntöä on määritetty estämistilassa, valvontatilassa tai poissa käytöstä (ei määritetty). Suojaa laitteet -painike näyttää vain kolmen säännön täydet määritystiedot. asiakkaat voivat nopeasti ottaa nämä säännöt käyttöön.

Alaosassa on kuusi sääntöä, jotka perustuvat suojaamattomien laitteiden määrään sääntöä kohden. Näytä määritys -painike näyttää kaikki ASR-sääntöjen määritystiedot. Lisää poissulkemiset -painike näyttää lisää poissulkemissivun, jossa on kaikki havaitut tiedoston/prosessin nimet listattuna Tietoturvakeskus (SOC) -arviointia varten. Lisää poissulkeminen -sivu on linkitetty Microsoft Intune.

Kortti sisältää myös kaksi toimintopainiketta:

  • Näytä määritykset: Avaa Tunnistuksia-välilehden
  • Lisää poissulkemisia: Avaa Poissulkemiset-välilehden

Näyttää ASR-sääntöjen raportin yhteenvedon määrityskortin.

Kortin yläreunassa olevan ASR-sääntöjen määrityslinkin valitseminen avaa myös Hyökkäyspinnan päävähennyssääntöjen Määritys-välilehden.

Yksinkertaistettu vakiosuojausasetus

Määritysyhteenvedon kortissa on painike , jolla suojataan laitteita kolmella vakiosuojaussäännöllä. Microsoft suosittelee vähintään, että otat käyttöön nämä kolme hyökkäyspinnan pienentämisen vakiosuojaussääntöä:

Voit ottaa käyttöön kolme vakiosuojaussääntöä seuraavasti:

  1. Valitse Suojaa laitteet. Määritysten päävälilehti avautuu.

  2. Määritys-välilehdessäPerussäännöt vaihtaa automaattisesti kaikki säännötStandard suojaussäännöt käyttöön.

  3. Valitse Laitteet-luettelosta laitteet, joissa haluat käyttää vakiosuojaussääntöjä, ja valitse sitten Tallenna.

Tässä kortissa on kaksi muuta siirtymispainiketta:

  • Näytä määritykset: Avaa Määritys-välilehden .
  • Lisää poissulkemisia: Avaa Poissulkemiset-välilehden .

Kortin yläreunassa olevan ASR-sääntöjen määrityslinkin valitseminen avaa myös Hyökkäyspinnan päävähennyssääntöjen Määritys-välilehden.

Hyökkäyspinnan pienentämissääntöjen päävälilehtiä

Vaikka ASR-sääntöjen raporttiyhteenvedon korteista on hyötyä, kun saat nopean yhteenvedon ASR-sääntöjen tilasta, päävälilehdissä on tarkempia tietoja sekä suodatus- ja määritysominaisuuksia:

Hakutoiminnot

Hakuominaisuus lisätään tunnistamis-, määritys- ja Lisää poissulkeminen -päävälilehtiin. Tämän ominaisuuden avulla voit hakea käyttämällä laitetunnusta, tiedostonimeä tai prosessin nimeä.

Näyttää ASR-sääntöjen raportin hakuominaisuuden.

Suodatus

Suodattamisen avulla voit määrittää, mitä tuloksia palautetaan:

  • Päivämäärän avulla voit määrittää tietotulosten päivämääräalueen.
  • Suodattimet

Huomautus

Kun suodatat säännön mukaan, raportin alemmalla puoliskolla lueteltujen yksittäisten havaittujen kohteiden määrä on tällä hetkellä rajoitettu 200 sääntöön. Vie-toiminnolla voit tallentaa täydellisen tunnistusluettelon Exceliin.

Vihje

Koska suodatin toimii tällä hetkellä tässä versiossa, aina kun haluat ryhmitellä, sinun on vieritettävä alaspäin luettelon viimeiseen tunnistamiseen, jotta voit ladata koko tietojoukon. Kun olet ladannut koko tietojoukon, voit käynnistää Lajitteluperuste-suodatuksen. Jos et vieritä alaspäin viimeiseen tunnistukseen, joka on lueteltu jokaisessa käytössä tai suodatusasetuksia muutettaessa (esimerkiksi nykyisessä suodattimen suorittamisessa käytetyt ASR-säännöt), tulokset eivät kelpaa tulokselle, jolla on useampi kuin yksi näkyvien tunnistusten sivu.

Näyttökuva, jossa näkyy ASR-sääntöjen raportin hakutoiminto määritysvälilehdellä.

Näyttökuva, joka näyttää hyökkäysalueen vähentämissääntöjen tunnistuksen suodattimen säännöille.

Hyökkäyspinnan pienentämissääntöjen päätunnistusvälilehti

  • Valvonnan tunnistuksia: Näyttää, kuinka monta uhkien tunnistusta valvontatilassa määritetyt säännöt tallentavat.
  • Estetyt tunnistukset: Näyttää, kuinka monta uhkien tunnistusta estävät Estä-tilassa määritetyillä säännöillä.
  • Suuri yhdistetty kaavio: Näyttää estetyt ja valvotut tunnistuksia.

Näyttää ASR-sääntöjen raportin päätunnistusvälilehden, jossa on korostettu _Audit detections_ ja _Blocked detections_.

Kaaviot tarjoavat tunnistustietoja näytetyltä päivämääräväliltä, ja niiden avulla voidaan siirtää hiiren osoitin tietyn sijainnin päälle päivämääräkohtaisten tietojen keräämiseksi.

Raportin alaosassa on lueteltu uhat laitekohtaisesti seuraavilla kentillä:

Kentän nimi Määritelmä
Tunnistettu tiedosto Tiedosto on määritetty sisältämään mahdollinen tai tunnettu uhka
Havaittu Päivämäärä, jolloin uhka havaittiin
Estetty/valvottu? Oliko tietyn tapahtuman tunnistamissääntö block- vai audit-tilassa
Sääntö Mikä sääntö havaitsi uhan
Lähdesovellus Sovellus, joka teki kutsun loukkaavaan "havaittuun tiedostoon"
Laite Sen laitteen nimi, jossa Audit- tai Block-tapahtuma ilmeni
Laiteryhmä Active Directory -ryhmä, johon laite kuuluu
Käyttäjä Puhelusta vastaava tietokonetili
Publisher Yritys, joka julkaisi kyseisen .exe tai sovelluksen

Lisätietoja ASR-säännön valvonta- ja estotiloista on kohdassa Hyökkäyspinnan pienentämissääntöjen tilat.

Toiminnallinen pikaikkuna

Tunnistaminen-pääsivulla on luettelo kaikista tunnistuksista (tiedostot/prosessit) viimeisten 30 päivän ajalta. Valitse jokin tunnistuksista avattavaksi porautumisominaisuuksilla.

Näyttää ASR-sääntöjen raportin päätunnistuksen välilehden pikaikkunan

Mahdollinen poissulkeminen ja vaikutus -osio näyttää valitun tiedoston tai prosessin vaikutuksen. Voit toimia seuraavasti:

  • Valitse Go hunt , joka avaa kehittyneen metsästyksen kyselysivun
  • Avaa tiedostosivu avaa Microsoft Defender for Endpoint tunnistuksen
  • Lisää poissulkeminen -painike on linkitetty lisää poissulkeminen -pääsivuun.

Seuraava kuva havainnollistaa, miten Kehittynyt metsästys -kyselysivu avautuu toiminnallisen pikaikkunan linkistä:

Näyttää hyökkäyspinnan pienentämissäännöt raportti päätunnistimet välilehden pikaikkunan, joka avaa kehittyneen metsästyksen

Lisätietoja kehittyneestä metsästyksestä on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR

Hyökkäysalueen pienentämissääntöjen päämääritysvälilehti

ASR-sääntöjen Päämääritys-välilehti sisältää yhteenvedon ja laitekohtaiset ASR-sääntöjen määritystiedot. Määritys-välilehdessä on kolme keskeistä näkökohtaa:

Perussäännöt Tarjoaa tavan, jolla tulokset voidaan vaihtaa perussääntöjen ja kaikkien sääntöjen välillä. Oletusarvoisesti valitaan perussäännöt .

Laitteen kokoonpanon yleiskatsaus Tarjoaa nykyisen tilannevedoksen laitteista jossakin seuraavista til joistakin:

  • Kaikki näytetyt laitteet (laitteet, joissa on puuttuvia edellytyksiä, valvontatilan säännöt, väärin määritetyt säännöt tai säännöt, joita ei ole määritetty)
  • Laitteet, joissa on sääntöjä, joita ei ole määritetty
  • Laitteet, joissa on sääntöjä valvontatilassa
  • Laitteet, joissa on sääntöjä lohkotilassa

Määritys-välilehden alemmassa, nimeämättömässä osassa on luettelo laitteiden nykyisestä tilasta (laitekohtaisesti):

  • Laite (nimi)
  • Yleinen määritys (Ovatko säännöt käytössä vai kaikki poissa käytöstä)
  • Estotilassa olevat säännöt (estettyjen laitekohtaisten sääntöjen määrä)
  • Valvontatilassa olevat säännöt (sääntöjen määrä valvontatilassa)
  • Säännöt on poistettu käytöstä (säännöt, jotka on poistettu käytöstä tai joita ei ole otettu käyttöön)
  • Laitetunnus (laitteen GUID-tunnus)

Nämä elementit näkyvät seuraavassa kuvassa.

Näyttää ASR-sääntöjen raportin päämääritysvälilehden

ASR-sääntöjen käyttöönotto:

  1. Valitse Laite-kohdassa laite tai laitteet, joissa haluat käyttää ASR-sääntöjä.

  2. Tarkista valintasi pikaikkunassa ja valitse sitten Lisää käytäntöön. Määritys-välilehti ja säännön lisääminen -pikaikkuna näkyvät seuraavassa kuvassa.

    Näyttää ASR-sääntöjen pikaikkunan ASR-sääntöjen lisäämiseksi laitteisiin

[HUOMAUTUS!] Jos sinulla on laitteita, jotka edellyttävät eri ASR-sääntöjen käyttöönottoa, sinun tulee määrittää kyseiset laitteet erikseen.

Hyökkäysalueen pienentämissäännöt Lisää poikkeukset -välilehti

Lisää poissulkemisia -välilehti esittelee luokitellun tunnistusluettelon tiedostonimen mukaan ja tarjoaa menetelmän poissulkemisten määrittämiseen. Oletusarvon mukaan Lisää poissulkemiset - tiedot on lueteltu kolmessa kentässä:

  • Tiedostonimi: SEN tiedoston nimi, joka käynnisti ASR-sääntötapahtuman.
  • Tunnistuksia: nimetyn tiedoston havaittujen tapahtumien kokonaismäärä. Yksittäiset laitteet voivat käynnistää useita ASR-sääntötapahtumia.
  • Laitteet: Niiden laitteiden määrä, joissa tunnistus tapahtui.

Näyttää ASR-sääntöjen raportin lisää poissulkemiset -välilehden.

Tärkeää

Tiedostojen tai kansioiden pois jättäminen voi heikentää ASR-sääntöjen tarjoamaa suojausta. Pois jätettyjen tiedostojen suorittaminen on sallittua, eikä raporttia tai tapahtumaa tallenneta. Jos ASR-säännöt tunnistavat tiedostoja, joita ei mielestäsi pitäisi havaita, testaa sääntö valvontatilassa ensin.

Kun valitset tiedoston, näkyviin tulee Yhteenveto-& odotettu vaikutus -pikaikkuna, joka esittää seuraavantyyppiset tiedot:

  • Valitut tiedostot – Poisjätettävien tiedostojen määrä
  • (havaitsemisten määrä) – Kertoo, että tunnistusten odotettu väheneminen valittujen poissulkemisten lisäämisen jälkeen. Tunnistusten vähentäminen on graafisesti esitetty todellisissa tunnistukset ja tunnistukset poissulkemisten jälkeen.
  • (asianomaisten laitteiden määrä) – Kertoo valittujen poissulkemisten tunnistusten raportoimiseen käytettävien laitteiden odotetun vähenemisen.

Lisää poissulkeminen -sivulla on kaksi painiketta toiminnoille, joita voidaan käyttää missä tahansa havaituissa tiedostoissa (valinnan jälkeen). Voit toimia seuraavasti:

  • Lisää poissulkeminen, joka avaa ASR Microsoft Intune käytäntösivun. Lisätietoja on kohdassa Intune kohdassa Asr-sääntöjen vaihtoehtoisten määritysmenetelmien käyttöönotto.
  • Hae poissulkemispolut , jotka lataavat tiedostopolut csv-muodossa.

Näyttää ASR-sääntöjen raportin lisäämällä Poissulkemiset-välilehden pikaikkunan vaikutusyhteenvedon.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.