Hyökkäyspinnan pienentämissääntöjen vianmääritys

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Kun käytät hyökkäyspinnan vähentämissääntöjä , saatat kohdata esimerkiksi seuraavaa:

• Sääntö estää tiedoston, prosessin tai suorittaa jonkin muun toiminnon, jota ei pitäisi tehdä (epätosi-positiivinen); tai
• Sääntö ei toimi kuvatulla tavalla, tai se ei estä tiedostoa tai prosessia, jonka sen pitäisi toimia (epätosi negatiivinen).

Näiden ongelmien vianmääritykseen on neljä vaihetta:

1. Edellytysten vahvistaminen
2. Käytä valvontatilaa säännön testaamiseen
3. Lisää määritetylle säännölle poissulkemisia (false-positiivisille)
4. Tukilokien lähettäminen

Edellytysten vahvistaminen

Hyökkäyspinnan vähentämissäännöt toimivat vain laitteissa, joissa on seuraavat ehdot:

• Laitteet toimivat Windows 10 Enterprise tai uudemmassa.
• Laitteet käyttävät virustentorjunta Microsoft Defender ainoana virustentorjuntasovelluksena. Minkä tahansa muun virustentorjuntasovelluksen käyttäminen saa Microsoft Defender virustentorjuntaohjelman poistamaan itsensä käytöstä.
• Reaaliaikainen suojaus on käytössä.
• Valvontatila ei ole käytössä. Määritä säännön arvoksi Disabled ryhmäkäytäntö (arvo: 0) kohdassa Hyökkäyspinnan pienentämisen sääntöjen käyttöönotto kuvatulla tavalla.

Jos nämä edellytykset täyttyvät, testaa sääntö valvontatilassa seuraavasta vaiheesta.

Parhaat käytännöt hyökkäyspinnan vähentämissääntöjen määrittämiseen ryhmäkäytäntö avulla

Kun määrität hyökkäyspinnan vähentämissääntöjä ryhmäkäytäntö avulla, seuraavassa on muutamia parhaita käytäntöjä yleisten virheiden välttämiseksi:

1. Varmista, että lisätessäsi hyökkäysalueen vähentämissääntöjen GUID-tunnusta GUID-tunnus ei ole GUID-tunnuksen alussa tai lopussa.

2. Varmista, että alussa tai lopussa ei ole välilyöntejä , kun lisäät GUID-tunnuksen hyökkäysalueen vähentämissääntöjä varten.

Käytä valvontatilaa säännön testaamiseen

Noudata näitä ohjeita kohdassa Käytä esittelytyökalua, jotta näet, miten hyökkäyspinnan vähentämissäännöt toimivat , testataksesi tiettyä sääntöä, jonka kanssa kohtaat ongelmia.

1. Ota käyttöön testattavan säännön valvontatila. Määritä säännön arvoksi Audit mode ryhmäkäytäntö (arvo: 2) kohdassa Hyökkäyspinnan pienentämisen sääntöjen käyttöönotto kuvatulla tavalla. Valvontatilan avulla sääntö voi raportoida tiedoston tai prosessin, mutta sallii sen suorittamisen.

2. Suorita toiminto, joka aiheuttaa ongelman. Voit esimerkiksi avata tiedoston tai suorittaa prosessin, joka tulisi estää, mutta joka sallitaan.

3. Tarkista hyökkäysalueen pienentämissäännön tapahtumalokeista , estääkö sääntö tiedoston tai prosessin, jos säännön asetuksena Enabledon .

   Jos sääntö ei estä tiedostoa tai prosessia, jonka odotat sen estävän, tarkista ensin, onko valvontatila käytössä. Valvontatila voidaan ottaa käyttöön toisen ominaisuuden tai automatisoidun PowerShell-komentosarjan testaamista varten, eikä sitä ehkä poisteta käytöstä testien suorittamisen jälkeen.

Jos olet testannut säännön esittelytyökalulla ja valvontatilalla ja hyökkäyspinnan pienentämissäännöt toimivat esimääritetyissä skenaarioissa, mutta sääntö ei toimi odotetulla tavalla, siirry jompaakumpaa seuraavista osioista tilanteesi mukaan:

• Jos hyökkäyspinnan pienentämissääntö estää jotain, mitä sen ei pitäisi estää (tunnetaan myös vääränä positiivisena), voit ensin lisätä hyökkäyspinnan pienentämissäännön poikkeuksen.
• Jos hyökkäyspinnan pienentämissääntö ei estä jotakin, jonka sen pitäisi estää (kutsutaan myös negatiiviseksi epätodeksi), voit siirtyä heti viimeiseen vaiheeseen keräämällä diagnostiikkatietoja ja lähettämällä ongelman meille.

Lisää poissulkemisia false-positiiviselle

Jos hyökkäyspinnan pienentämissääntö estää jotain, mitä sen ei pitäisi estää (tunnetaan myös vääränä positiivisena), voit lisätä poissulkemisia estääksesi hyökkäyspinnan pienentämissääntöjä arvioimasta pois jätettyjä tiedostoja tai kansioita.

Jos haluat lisätä poikkeuksen, katso Hyökkäyspinnan vähentämisen mukauttaminen.

Tärkeää

Voit määrittää yksittäisiä tiedostoja ja kansioita, jotka jätetään pois, mutta et voi määrittää yksittäisiä sääntöjä. Tämä tarkoittaa sitä, että kaikki tiedostot tai kansiot, jotka on jätetty pois, jätetään pois kaikista ASR-säännöistä.

Ilmoita negatiivinen epätosi tai epätosi

Käytä Microsoftin suojaustiedustelu verkkopohjaista lähetyslomaketta, jos haluat ilmoittaa verkon suojausta koskevan negatiivisen tai epätosi-positiivisen tuloksen. Windows E5 -tilauksella voit myös antaa linkin mihin tahansa liittyvään ilmoitukseen.

Tiedostojen lähettämisen diagnostiikkatietojen kerääminen

Kun ilmoitat ongelmasta hyökkäysalueen vähentämissäännöissä, sinua pyydetään keräämään ja lähettämään diagnostiikkatietoja, joita Microsoftin tuki- ja suunnittelutiimit voivat käyttää ongelmien vianmääritykseen.

1. Avaa komentokehote järjestelmänvalvojana ja avaa Windows Defenderin hakemisto:

   cd "c:\program files\Windows Defender"
   

2. Luo diagnostiikkalokit suorittamalla tämä komento:

   mpcmdrun -getfiles
   

3. Oletusarvon mukaan ne tallennetaan kohteeseen C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Liitä tiedosto lähetyslomakkeeseen.

Aiheeseen liittyviä artikkeleita

• Hyökkäyspinta-alan rajoittamissäännöt
• Hyökkäyspinnan pienentämissääntöjen käyttöönotto
• Hyökkäyspinnan pienentämissääntöjen arvioiminen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.