Feilsøke regler for reduksjon av angrepsoverflate

Gjelder for:

• Microsoft Defender for endepunkt plan 1 og 2
• Microsoft Defender XDR

Når du bruker regler for reduksjon av angrepsoverflater , kan det oppstå problemer, for eksempel:

• En regel blokkerer en fil, prosess eller utfører en annen handling som den ikke skal (falsk positiv); eller
• En regel fungerer ikke som beskrevet, eller blokkerer ikke en fil eller prosess som den skal (usann negativ).

Det er fire trinn for å feilsøke disse problemene:

1. Bekreft forutsetninger
2. Bruke overvåkingsmodus til å teste regelen
3. Legg til utelatelser for den angitte regelen (for falske positiver)
4. Send inn støttelogger

Bekreft forutsetninger

Regler for reduksjon av angrepsoverflate fungerer bare på enheter med følgende betingelser:

• Enheter kjører Windows 10 Enterprise eller nyere.
• Enheter bruker Microsoft Defender Antivirus som eneste antivirusbeskyttelsesapp. Hvis du bruker en annen antivirusapp, deaktiveres Microsoft Defender Antivirus.
• Sanntidsbeskyttelse er aktivert.
• Overvåkingsmodus er ikke aktivert. Bruk gruppepolicy til å angi regelen til Disabled (verdi: 0) som beskrevet i Aktiver regler for reduksjon av angrepsoverflaten.

Hvis disse forutsetningene er oppfylt, går du videre til neste trinn for å teste regelen i overvåkingsmodus.

Anbefalte fremgangsmåter når du konfigurerer regler for reduksjon av angrepsoverflater ved hjelp av gruppepolicy

Her er noen anbefalte fremgangsmåter for å unngå å gjøre vanlige feil når du konfigurerer reglene for reduksjon av angrepsoverflate ved hjelp av gruppepolicy:

1. Kontroller at når du legger til GUID for regler for reduksjon av angrepsoverflaten, finnes det ingen doble anførselstegn (som dette: «GUID for ASR-regler») i begynnelsen eller på slutten av GUID-en.

2. Kontroller at det ikke er mellomrom i begynnelsen eller på slutten når du legger til GUID-en for regler for reduksjon av angrepsoverflaten.

Bruke overvåkingsmodus til å teste regelen

Følg disse instruksjonene i Bruk demonstrasjonsverktøyet for å se hvordan regler for reduksjon av angrepsoverflater fungerer for å teste den bestemte regelen du støter på problemer med.

1. Aktiver overvåkingsmodus for den bestemte regelen du vil teste. Bruk gruppepolicy til å angi regelen til Audit mode (verdi: 2) som beskrevet i Aktiver regler for reduksjon av angrepsoverflaten. Overvåkingsmodus gjør det mulig for regelen å rapportere filen eller prosessen, men tillater den å kjøre.

2. Utfør aktiviteten som forårsaker et problem. Du kan for eksempel åpne filen eller kjøre prosessen som skal blokkeres, men som er tillatt.

3. Se gjennom hendelsesloggene for angrepsoverflatereduksjonsregler for å se om regelen ville blokkere filen eller prosessen hvis regelen ble satt til Enabled.

Hvis en regel ikke blokkerer en fil eller prosess som du forventer at den skal blokkere, må du først kontrollere om overvåkingsmodus er aktivert. Overvåkingsmodus kan være aktivert for testing av en annen funksjon, eller av et automatisert PowerShell-skript, og kan ikke deaktiveres etter at testene er fullført.

Hvis du har testet regelen med demonstrasjonsverktøyet og med overvåkingsmodus, og regler for reduksjon av angrepsoverflaten fungerer på forhåndskonfigurerte scenarioer, men regelen ikke fungerer som forventet, går du videre til en av følgende deler basert på situasjonen din:

• Hvis regelen for reduksjon av angrepsoverflaten blokkerer noe som den ikke bør blokkere (også kjent som en falsk positiv), kan du først legge til utelukkelse av en regel for reduksjon av angrepsoverflaten.
• Hvis regelen for reduksjon av angrepsoverflaten ikke blokkerer noe den skal blokkere (også kjent som en falsk negativ), kan du fortsette umiddelbart til det siste trinnet, samle inn diagnosedata og sende inn problemet til oss.

Legge til utelatelser for en falsk positiv

Hvis regelen for reduksjon av angrepsoverflaten blokkerer noe som den ikke bør blokkere (også kalt en falsk positiv), kan du legge til utelatelser for å hindre at regler for reduksjon av angrepsoverflater evaluerer de utelatte filene eller mappene.

Hvis du vil legge til en utelatelse, kan du se Tilpasse reduksjon av angrepsoverflaten.

Viktig

Du kan angi individuelle filer og mapper som skal utelates, men du kan ikke angi individuelle regler. Dette betyr at alle filer eller mapper som er utelatt, utelates fra alle ASR-regler.

Rapportere en falsk positiv eller usann negativ

Bruk det Microsoft Sikkerhetsintelligens nettbaserte innsendingsskjemaet til å rapportere en falsk negativ eller usann positiv for nettverksbeskyttelse. Med et Windows E5-abonnement kan du også gi en kobling til alle tilknyttede varsler.

Samle inn diagnosedata for filinnsendinger

Når du rapporterer et problem med regler for reduksjon av angrepsoverflaten, blir du bedt om å samle inn og sende inn diagnosedata for Microsofts støtte- og ingeniørteam for å feilsøke problemer.

1. Åpne ledeteksten som administrator, og åpne Windows Defender-katalogen:

   cd "c:\program files\Windows Defender"
   

2. Kjør denne kommandoen for å generere diagnoseloggene:

   mpcmdrun -getfiles
   

3. Som standard lagres de i C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Legg ved filen i innsendingsskjemaet.

Relaterte artikler

• Regler for reduksjon av angrepsoverflaten
• Aktiver regler for reduksjon av angrepsoverflate
• Evaluer regler for reduksjon av angrepsoverflate

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.