Udostępnij za pośrednictwem

Reguły zmniejszania obszaru ataków testowych

  • Artykuł

Dotyczy:

Testowanie Ochrona punktu końcowego w usłudze Microsoft Defender reguł zmniejszania obszaru podatnego na ataki pomaga określić, czy reguły utrudniają operacje biznesowe przed włączeniem jakiejkolwiek reguły. Zaczynając od małej, kontrolowanej grupy, możesz ograniczyć potencjalne zakłócenia pracy podczas rozszerzania wdrożenia w całej organizacji.

W tej sekcji przewodnika wdrażania reguł zmniejszania obszaru ataków dowiesz się, jak wykonywać następujące czynności:

  • konfigurowanie reguł przy użyciu Microsoft Intune
  • używanie raportów reguł zmniejszania obszaru ataków Ochrona punktu końcowego w usłudze Microsoft Defender
  • konfigurowanie wykluczeń reguł zmniejszania obszaru ataków
  • włączanie reguł zmniejszania obszaru ataków przy użyciu programu PowerShell
  • używanie Podgląd zdarzeń w przypadku zdarzeń reguł zmniejszania obszaru ataków

Uwaga

Przed rozpoczęciem testowania reguł zmniejszania obszaru podatnego na ataki zaleca się najpierw wyłączenie wszystkich reguł, które zostały wcześniej ustawione na inspekcję lub włączenie (jeśli ma to zastosowanie). Zobacz Raporty reguł zmniejszania obszaru ataków , aby uzyskać informacje o używaniu raportu reguł zmniejszania obszaru ataków wyłączania reguł zmniejszania obszaru ataków.

Rozpocznij wdrażanie reguł zmniejszania obszaru ataków od pierścienia 1.

Kroki testowe Ochrona punktu końcowego w usłudze Microsoft Defender zmniejszania obszaru podatnego na ataki (reguły ASR). Inspekcja reguł zmniejszania obszaru ataków, konfigurowanie wykluczeń reguł usługi ASR. Skonfiguruj reguły usługi ASR Intune. Wykluczenia reguł usługi ASR. Przeglądarka zdarzeń reguł usługi ASR.

Krok 1. Testowanie reguł zmniejszania obszaru podatnego na ataki przy użyciu funkcji Inspekcja

Rozpocznij fazę testowania, włączając reguły zmniejszania obszaru ataków z regułami ustawionymi na Inspekcja, zaczynając od użytkowników lub urządzeń mistrzowskich w pierścieniu 1. Zazwyczaj zaleca się włączenie wszystkich reguł (w obszarze Inspekcja), aby można było określić, które reguły są wyzwalane w fazie testowania.

Reguły, które są ustawione na Inspekcja, zwykle nie mają wpływu na funkcjonalność jednostki lub jednostek, do których jest stosowana reguła, ale generują zarejestrowane zdarzenia dla oceny; nie ma wpływu na użytkowników końcowych.

Konfigurowanie reguł zmniejszania obszaru ataków przy użyciu Intune

Za pomocą Microsoft Intune Endpoint Security można skonfigurować niestandardowe reguły zmniejszania obszaru podatnego na ataki.

  1. Otwórz centrum administracyjne Microsoft Intune.

  2. Przejdź do obszaruZmniejszanie obszaru ataków zabezpieczeń >punktu końcowego.

  3. Wybierz pozycję Utwórz zasady.

  4. W obszarze Platforma wybierz pozycję Windows 10, Windows 11 i Windows Server, a następnie w obszarze Profil wybierz pozycję Reguły zmniejszania obszaru ataków.

    Strona tworzenia profilu dla reguł usługi ASR

  5. Wybierz pozycję Utwórz.

  6. Na karcie Podstawy okienka Tworzenie profilu w obszarze Nazwa dodaj nazwę zasad. W obszarze Opis dodaj opis zasad reguł zmniejszania obszaru ataków.

  7. Na karcie Ustawienia konfiguracji w obszarze Reguły zmniejszania obszaru podatnego na ataki ustaw wszystkie reguły na tryb inspekcji.

    Konfiguracja reguł zmniejszania obszaru ataków w trybie inspekcji

    Uwaga

    Istnieją różnice w niektórych listach trybu reguł zmniejszania obszaru ataków; Zablokowane i włączone zapewniają te same funkcje.

  8. [Opcjonalnie] W okienku Tagi zakresu możesz dodać informacje o tagach do określonych urządzeń. Możesz również użyć kontroli dostępu opartej na rolach i tagów zakresu, aby upewnić się, że odpowiedni administratorzy mają odpowiedni dostęp i wgląd w odpowiednie obiekty Intune. Dowiedz się więcej: Użyj kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT w Intune.

  9. W okienku Przypisania można wdrożyć lub "przypisać" profil do grup użytkowników lub urządzeń. Dowiedz się więcej: Przypisywanie profilów urządzeń w Microsoft Intune

    Uwaga

    Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

  10. Przejrzyj ustawienia w okienku Przeglądanie i tworzenie . Wybierz pozycję Utwórz , aby zastosować reguły.

    Strona Tworzenie profilu

Nowe zasady zmniejszania obszaru ataków dla reguł zmniejszania obszaru ataków są wymienione w temacie Zabezpieczenia punktu końcowego | Zmniejszanie obszaru podatnego na ataki.

Strona zmniejszania obszaru ataków

Krok 2. Omówienie strony raportowania reguł zmniejszania obszaru ataków w portalu Microsoft Defender

Strona raportowania reguł zmniejszania obszaru ataków znajduje się w Microsoft Defender portaluRaporty>reguły zmniejszania obszaru> podatnego na ataki. Ta strona ma trzy karty:

  • Wykrywania
  • Konfiguracja
  • Dodawanie wykluczeń

Karta Wykrywanie

Zapewnia 30-dniową oś czasu wykrytego inspekcji i zablokowanych zdarzeń.

Wykres przedstawiający kartę wykrywania podsumowania raportów reguł zmniejszania obszaru ataków.

Okienko reguł zmniejszania obszaru ataków zawiera omówienie wykrytych zdarzeń na podstawie reguły.

Uwaga

Istnieją pewne różnice w raportach reguł zmniejszania obszaru ataków. Firma Microsoft jest w trakcie aktualizowania zachowania raportów reguł zmniejszania obszaru ataków w celu zapewnienia spójnego środowiska.

Wykres przedstawiający kartę konfiguracji podsumowania raportów reguł zmniejszania obszaru ataków.

Wybierz pozycję Wyświetl wykrywania , aby otworzyć kartę Wykrywanie .

Zrzut ekranu przedstawiający funkcję wyszukiwania raportów reguł zmniejszania obszaru ataków.

Okienko GroupBy i Filter ( Grupuj według ) i Filter (Filtr ) udostępnia następujące opcje:

Funkcja GroupBy zwraca wyniki ustawione na następujące grupy:

  • Brak grupowania
  • Wykryty plik
  • Inspekcja lub blokowanie
  • Reguła
  • Aplikacja źródłowa
  • Urządzenie
  • Użytkownik
  • Publisher

Uwaga

Podczas filtrowania według reguły liczba pojedynczych wykrytych elementów wymienionych w dolnej połowie raportu jest obecnie ograniczona do 200 reguł. Aby zapisać pełną listę wykryć w programie Excel, możesz użyć polecenia Eksportuj .

Zrzut ekranu przedstawiający funkcję wyszukiwania raportów reguł usługi Azure Site Recovery na karcie konfiguracji.

Filtr otwiera stronę Filtruj reguły , która umożliwia określenie zakresu wyników tylko do wybranych reguł zmniejszania obszaru ataków:

Filtr wykrywania reguł zmniejszania obszaru ataków w regułach

Uwaga

Jeśli masz licencję microsoft 365 Security E5 lub A5, Windows E5 lub A5, poniższy link otwiera kartę wykrywania obszaru ataków Microsoft Defender 365 Raporty >>.

Karta Konfiguracja

Listy — na komputerze — zagregowany stan reguł zmniejszania obszaru ataków: Wyłączone, Inspekcja, Blokuj.

Zrzut ekranu przedstawiający główną kartę konfiguracji raportów reguł zmniejszania obszaru ataków.

Na karcie Konfiguracje możesz zobaczyć, które reguły zmniejszania obszaru podatnego na ataki są włączone, oraz ich tryb dla każdego urządzenia, wybierając urządzenie, które chcesz przejrzeć.

Zrzut ekranu przedstawiający wysuwane reguły usługi ASR w celu dodania reguł usługi ASR do urządzeń.

Link Wprowadzenie otwiera centrum administracyjne Microsoft Intune, w którym można utworzyć lub zmodyfikować zasady ochrony punktu końcowego w celu zmniejszenia obszaru podatnego na ataki:

Element menu *Zabezpieczenia punktu końcowego na stronie Przegląd

Zabezpieczenia punktu końcowego | Omówienie, wybierz pozycję Zmniejszanie obszaru ataków:

Zmniejszanie obszaru ataków w Intune

Zabezpieczenia punktu końcowego | Zostanie otwarte okienko zmniejszania obszaru podatnego na ataki:

Okienko zmniejszania obszaru ataków zabezpieczeń punktu końcowego

Uwaga

Jeśli masz Microsoft Defender 365 E5 (lub Windows E5?) Licencja, ten link otwiera kartę konfiguracji Microsoft Defender 365 Raporty > dotyczące zmniejszania obszaru ataków>.

Dodawanie wykluczeń

Ta karta zawiera metodę wybierania wykrytych jednostek (na przykład wyników fałszywie dodatnich) do wykluczenia. Po dodaniu wykluczeń raport zawiera podsumowanie oczekiwanego wpływu.

Uwaga

Reguły zmniejszania obszaru ataków uwzględniają wykluczenie programu antywirusowego Microsoft Defender (AV). Zobacz Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia, nazwy lub lokalizacji.

Okienko wykluczania wykrytego pliku

Uwaga

Jeśli masz Microsoft Defender 365 E5 (lub Windows E5?) Licencja, ten link otworzy kartę wykluczeń obszaru ataków Microsoft Defender 365 Raporty >>.

Aby uzyskać więcej informacji na temat korzystania z raportu reguł zmniejszania obszaru ataków, zobacz Raporty dotyczące reguł zmniejszania obszaru ataków.

Konfigurowanie wykluczeń dotyczących zmniejszania obszaru ataków dla reguł

Reguły zmniejszania obszaru ataków zapewniają teraz możliwość konfigurowania wykluczeń specyficznych dla reguł, znanych jako "Wykluczenia według reguły".

Aby skonfigurować określone wykluczenia reguł, możesz użyć MDE Zarządzanie ustawieniami zabezpieczeń, Intune i zasady grupy.

Za pośrednictwem Intune:

  1. Otwórz centrum administracyjne Microsoft Intune i przejdź do obszaru Obszaratakówzabezpieczeń> punktu końcowego domu>.

  2. Jeśli nie została jeszcze skonfigurowana, ustaw regułę, dla której chcesz skonfigurować wykluczenia, na wartość Inspekcja lub Blokuj.

  3. W obszarze Wykluczenie tylko dla reguły usługi ASR kliknij przełącznik, aby zmienić opcję Nie skonfigurowano na Skonfigurowano.

  4. Wprowadź nazwy plików lub aplikacji, które chcesz wykluczyć.

  5. W dolnej części kreatora tworzenia profilu wybierz pozycję Dalej i postępuj zgodnie z instrukcjami kreatora.

Zrzut ekranu przedstawiający ustawienia konfiguracji dodawania wykluczeń reguły dla usługi ASR.

Porada

Użyj pól wyboru obok listy wpisów wykluczeń, aby wybrać elementy do pozycji Usuń, Sortuj, Importuj lub Eksportuj.

Za pośrednictwem zasady grupy

Użyj zasady grupy, aby ustawić wykluczenia reguł asr dla poszczególnych użytkowników

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy.

  2. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

  3. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera.

  4. Wybierz pozycję Szablony administracyjne.

  5. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Antivirus>Microsoft Defender Exploit Guard > Attack Surface Reduction.

  6. Kliknij dwukrotnie pozycję Zastosuj listę wykluczeń do określonych reguł zmniejszania obszaru ataków (ASR) i ustaw opcję Włączone.

  7. Następnie kliknij pozycję Pokaż...

  8. W obszarze "Nazwa wartości" wprowadź "IDENTYFIKATOR GUID reguły ASR" bez podwójnych cudzysłowów

  9. W obszarze "Wartość" wprowadź <drive_letter:\Path\ProcessName>. Aby dodać wiele procesów, jest on oddzielony znakiem większym niż (>)

    np. "C:\Notepad.exe>c:\regedit.exe>C:\SomeFolder\test.exe" bez cudzysłowów

  10. wybierz przycisk OK. To ustawienie umożliwia kontynuowanie działania procesów blokowanych przez określoną regułę usługi ASR.

Uwaga

"Jeśli zasady nie są stosowane, zapoznaj się z artykułem Rozwiązywanie problemów z ustawieniami programu antywirusowego Microsoft Defender

Używanie programu PowerShell jako alternatywnej metody w celu włączenia reguł zmniejszania obszaru ataków

Użyj programu PowerShell, jako alternatywy dla Intune, aby włączyć reguły zmniejszania obszaru ataków w trybie inspekcji. Dzięki temu można wyświetlić rekord aplikacji, które zostałyby zablokowane, gdyby funkcja została w pełni włączona. Możesz również zobaczyć, jak często reguły są uruchamiane podczas normalnego użytkowania.

Aby włączyć regułę zmniejszania obszaru ataków w trybie inspekcji, użyj następującego polecenia cmdlet programu PowerShell:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Gdzie <rule ID> jest wartością identyfikatora GUID reguły zmniejszania obszaru ataków.

Aby włączyć wszystkie dodane reguły zmniejszania obszaru ataków w trybie inspekcji, użyj następującego polecenia cmdlet programu PowerShell:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Porada

Jeśli chcesz w pełni sprawdzić, jak działają reguły zmniejszania obszaru podatnego na ataki w organizacji, musisz użyć narzędzia do zarządzania, aby wdrożyć to ustawienie na urządzeniach w sieci.

Możesz również użyć dostawców usług konfiguracji zasady grupy, Intune lub zarządzania urządzeniami przenośnymi (MDM), aby skonfigurować i wdrożyć to ustawienie. Dowiedz się więcej w artykule Main Attack surface reduction rules (Główne reguły zmniejszania obszaru podatnego na ataki ).

Używanie funkcji Windows Podgląd zdarzeń Review jako alternatywy dla strony raportowania reguł zmniejszania obszaru ataków w portalu Microsoft Defender

Aby przejrzeć aplikacje, które zostałyby zablokowane, otwórz Podgląd zdarzeń i odfiltruj identyfikator zdarzenia 1121 w dzienniku Microsoft-Windows-Windows Defender/Operational. W poniższej tabeli wymieniono wszystkie zdarzenia ochrony sieci.

Identyfikator zdarzenia Opis
5007 Zdarzenie po zmianie ustawień
1121 Zdarzenie, gdy reguła zmniejszania obszaru ataków jest uruchamiana w trybie bloku
1122 Zdarzenie, gdy reguła zmniejszania obszaru ataków jest uruchamiana w trybie inspekcji

Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki

Planowanie wdrożenia reguł zmniejszania obszaru podatnego na ataki

Włączanie reguł zmniejszania obszaru ataków

Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki

Dokumentacja reguł zmniejszania obszaru podatnego na ataki

Rozwiązywanie problemów z regułami zmniejszania obszaru ataków

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.