Overføre fra en ikke-Microsoft HIPS for å angripe overflatereduksjonsregler

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Denne artikkelen hjelper deg med å tilordne vanlige regler til Microsoft Defender for endepunkt.

Scenarioer når du overfører fra et ikke-Microsoft HIPS-produkt for å angripe overflatereduksjonsregler

Blokker oppretting av bestemte filer

• Gjelder for alle prosesser
• Operasjon– Oppretting av fil
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Regler for angrepsoverflatereduksjon– regler for angrepsoverflatereduksjon blokkerer angrepsteknikkene og ikke indikatorene for kompromiss (IOC). Blokkering av en bestemt filtype er ikke alltid nyttig, da den ikke hindrer en enhet i å inngå kompromisser. Det hindrer bare delvis et angrep til angripere oppretter en ny type utvidelse for nyttelasten.
• Andre anbefalte funksjoner– Det anbefales på det sterkeste å ha Microsoft Defender Antivirus aktivert, sammen med Cloud Protection and Behavior Analysis. Vi anbefaler at du bruker annen forebygging, for eksempel regelen for reduksjon av angrepsoverflaten , Bruk avansert beskyttelse mot løsepengevirus, som gir et større beskyttelsesnivå mot løsepengevirusangrep. I tillegg overvåker Microsoft Defender for endepunkt mange av disse registernøklene, for eksempel ASEP-teknikker, som utløser bestemte varsler. Registernøklene som brukes, krever minimum lokale Admin eller klarerte installasjonsrettigheter kan endres. Det anbefales å bruke et låst miljø med minimum administrative kontoer eller rettigheter. Andre systemkonfigurasjoner kan aktiveres, inkludert Disable SeDebug for ikke-nødvendige roller som er en del av våre bredere sikkerhetsanbefalinger.

Blokker oppretting av bestemte registernøkler

• Gjelder for alle prosesser
• Prosesser– I/T
• Operasjon– Registerendringer
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Regler for angrepsoverflatereduksjon– regler for angrepsoverflatereduksjon blokkerer angrepsteknikkene og ikke indikatorene for kompromiss (IOC). Blokkering av en bestemt filtype er ikke alltid nyttig, fordi den ikke hindrer en enhet i å inngå kompromisser. Det hindrer bare delvis et angrep til angripere oppretter en ny type utvidelse for nyttelasten.
• Andre anbefalte funksjoner– Det anbefales på det sterkeste å ha Microsoft Defender Antivirus aktivert, sammen med Cloud Protection and Behavior Analysis. Vi anbefaler at du bruker ekstra forebygging, for eksempel regelen for reduksjon av angrepsoverflaten , bruk avansert beskyttelse mot løsepengevirus. Dette gir et større beskyttelsesnivå mot løsepengevirusangrep. I tillegg overvåker Microsoft Defender for endepunkt flere av disse registernøklene, for eksempel ASEP-teknikker, som utløser bestemte varsler. Registernøklene som brukes, krever i tillegg minimum lokale Admin eller klarerte installasjonsrettigheter kan endres. Det anbefales å bruke et låst miljø med minimum administrative kontoer eller rettigheter. Andre systemkonfigurasjoner kan aktiveres, inkludert Disable SeDebug for ikke-nødvendige roller som er en del av våre bredere sikkerhetsanbefalinger.

Blokkere ikke-klarerte programmer fra å kjøre fra flyttbare stasjoner

• Gjelder for ikke-klarerte programmer fra USB
• Prosesser- *
• Operasjon– Prosesskjøring
• * Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester:-
• Regler for reduksjon av angrepsoverflate – regler for reduksjon av angrepsoverflater har en innebygd regel for å forhindre lanseringen av uklarerte og usignerte programmer fra flyttbare stasjoner: Blokker uklarerte og usignerte prosesser som kjører fra USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Andre anbefalte funksjoner– Utforsk flere kontroller for USB-enheter og andre flyttbare medier ved hjelp av Microsoft Defender for endepunkt:Slik kontrollerer du USB-enheter og andre flyttbare medier ved hjelp av Microsoft Defender for endepunkt.

Blokker Mshta fra å starte visse underordnede prosesser

• Gjelder for Mshta
• Prosesser– mshta.exe
• Operasjon– Prosesskjøring
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- powershell.exe, cmd.exe, regsvr32.exe
• Regler for reduksjon av angrepsoverflate – regler for reduksjon av angrepsoverflater inneholder ingen spesifikk regel for å hindre at underordnede prosesser mshta.exe. Denne kontrollen er innenfor ansvaret for Exploit Protection eller Windows Defender Application Control.
• Andre anbefalte funksjoner– Aktiver Windows Defender programkontroll for å hindre at mshta.exe kjøres fullstendig. Hvis organisasjonen krever mshta.exe for bransjespesifikke apper, konfigurerer du en bestemt regel for Windows Defender Exploit Protection for å hindre mshta.exe i å starte underordnede prosesser.

Blokkere Outlook fra å starte underordnede prosesser

• Gjelder for Outlook
• Prosesser– outlook.exe
• Operasjon– Prosesskjøring
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- powershell.exe
• Regler for reduksjon av angrepsoverflate – regler for reduksjon av angrepsoverflater har en innebygd regel for å hindre at Office-kommunikasjonsapper (Outlook, Skype og Teams) starter underordnede prosesser: Blokkere Office-kommunikasjonsprogram fra å opprette underordnede prosesser, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Andre anbefalte funksjoner– Vi anbefaler at du aktiverer powershell-avgrenset språkmodus for å minimere angrepsoverflaten fra PowerShell.

Blokkere Office-apper fra å starte underordnede prosesser

• Gjelder for Office
• Prosesser– winword.exe, powerpnt.exe, excel.exe
• Operasjon– Prosesskjøring
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE regsrv32.exe
• Angrepsregler for Surface-reduksjon– regler for reduksjon av angrepsoverflater har en innebygd regel for å hindre at Office-apper starter underordnede prosesser: Blokkere alle Office-programmer fra å opprette underordnede prosesser, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Andre anbefalte funksjoner- I/T

Blokkere Office-apper fra å opprette kjørbart innhold

• Gjelder for Office
• Prosesser– winword.exe, powerpnt.exe, excel.exe
• Operasjon– Oppretting av fil
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- C:\brukere*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Regler for reduksjon av angrep av Surface- I/T.

Blokkere Wscript fra å lese visse typer filer

• Gjelder for Wscript
• Prosesser– wscript.exe
• Operasjon– Fil lest
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- C:\brukere*\AppData**.js, C:\Brukere*\Nedlastinger**.js
• Regler for reduksjon av angrep på Surface– På grunn av pålitelighets- og ytelsesproblemer har ikke regler for reduksjon av angrepsoverflaten muligheten til å forhindre at en bestemt prosess leser en bestemt skriptfiltype. Vi har en regel for å forhindre angrepsvektorer som kan komme fra disse scenariene. Regelnavnet er Blokkere JavaScript eller VBScript fra å starte nedlastet kjørbart innhold (GUID d3e037e1-3eb8-44c8-a917-57927947596d) og blokkkjøringen av potensielt obfuscated skript (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Andre anbefalte funksjoner– Selv om det finnes spesifikke regler for reduksjon av angrepsoverflaten som reduserer visse angrepsvektorer i disse scenariene, er det viktig å nevne at AV som standard kan inspisere skript (PowerShell, Windows Script Host, JavaScript, VBScript og mer) i sanntid, gjennom Antimalware Scan Interface (AMSI). Mer informasjon er tilgjengelig her: Antimalware Scan Interface (AMSI).

Blokker oppstart av underordnede prosesser

• Gjelder for Adobe Acrobat
• Prosesser– AcroRd32.exe, Acrobat.exe
• Operasjon– Prosesskjøring
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- cmd.exe, powershell.exe, wscript.exe
• Regler for å angripe Surface Reduction – regler for reduksjon av angrepsoverflate tillater blokkering av Adobe Reader fra å starte underordnede prosesser. Regelnavnet er Block Adobe Reader fra å opprette underordnede prosesser, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Andre anbefalte funksjoner- I/T

Blokker nedlasting eller oppretting av kjørbart innhold

• Gjelder for CertUtil: Blokker nedlasting eller oppretting av kjørbar fil
• Prosesser– certutil.exe
• Operasjon– Oppretting av fil
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- *.exe
• Regler for reduksjon av angrep på Surface– regler for reduksjon av angrepsoverflater støtter ikke disse scenariene fordi de er en del av Microsoft Defender antivirusbeskyttelse.
• Andre anbefalte funksjoner– Microsoft Defender Antivirus hindrer CertUtil i å opprette eller laste ned kjørbart innhold.

Blokkere prosesser fra å stoppe kritiske systemkomponenter

• Gjelder for alle prosesser
• Prosesser- *
• Operasjon– Prosessavslutning
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe og mer.
• Regler for reduksjon av angrep på Surface– regler for reduksjon av angrepsoverflater støtter ikke disse scenariene fordi de er beskyttet med innebygd sikkerhetsbeskyttelse i Windows.
• Andre anbefalte funksjoner: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light og System Guard.

Blokker et bestemt forsøk på oppstartsprosess

• Gjelder for bestemte prosesser
• Prosesser- Gi navn til prosessen
• Operasjon– Prosesskjøring
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- tor.exe, bittorrent.exe, cmd.exe, powershell.exe og mer
• Regler for reduksjon av angrepsoverflaten– Totalt sett er ikke regler for reduksjon av angrepsoverflater utformet for å fungere som programbehandling.
• Andre anbefalte funksjoner– Hvis du vil hindre brukere i å starte bestemte prosesser eller programmer, anbefales det å bruke Windows Defender programkontroll. Microsoft Defender for endepunkt Fil- og Cert-indikatorer kan brukes i et scenario for hendelsesrespons (bør ikke ses på som en programkontrollmekanisme).

Blokkere uautoriserte endringer i Microsoft Defender Antivirus-konfigurasjoner

• Gjelder for alle prosesser
• Prosesser- *
• Operasjon– Registerendringer
• Eksempler på filer/mapper, registernøkler/verdier, prosesser, tjenester- HKLM\SOFTWARE\policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring og så videre.
• Regler for angrepsoverflatereduksjon – regler for reduksjon av angrepsoverflater dekker ikke disse scenariene fordi de er en del av Microsoft Defender for endepunkt innebygd beskyttelse.
• Andre anbefalte funksjoner– Tamper Protection (opt-in, administrert fra Intune) hindrer uautoriserte endringer i DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring og DisableIOAVProtection registernøkler (og mer).

Se også

• Vanlige spørsmål om reduksjon av angrepsoverflate
• Aktiver regler for reduksjon av angrepsoverflate
• Evaluer regler for reduksjon av angrepsoverflate

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.