Udostępnij za pośrednictwem

Raport reguł zmniejszania obszaru ataków

  • Artykuł

Dotyczy:

Platformy:

  • System Windows

Raport Reguły zmniejszania obszaru ataków zawiera szczegółowe informacje na temat reguł wymuszanych na urządzeniach w organizacji. Ponadto ten raport zawiera informacje na temat:

  • wykryte zagrożenia
  • zablokowane zagrożenia
  • urządzenia, które nie są skonfigurowane do korzystania ze standardowych reguł ochrony w celu blokowania zagrożeń

Ponadto raport udostępnia łatwy w użyciu interfejs, który umożliwia:

  • Wyświetlanie wykrywania zagrożeń
  • Wyświetlanie konfiguracji reguł usługi ASR
  • Konfigurowanie (dodawanie) wykluczeń
  • Przechodzenie do szczegółów w celu zebrania szczegółowych informacji

Aby uzyskać więcej informacji na temat poszczególnych reguł zmniejszania obszaru podatnego na ataki, zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki.

Wymagania wstępne

Ważna

Aby uzyskać dostęp do raportu reguł zmniejszania obszaru ataków, uprawnienia do odczytu są wymagane dla portalu Microsoft Defender. Aby Windows Server 2012 R2 i Windows Server 2016 pojawiały się w raporcie reguł zmniejszania obszaru ataków, te urządzenia muszą zostać dołączone przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New functionality in the modern unified solution for Windows Server 2012 R2 and 2016 (Nowe funkcje w nowoczesnym ujednoliconym rozwiązaniu dla Windows Server 2012 R2 i 2016).

Uprawnienia dostępu do raportów

Aby uzyskać dostęp do raportu reguł zmniejszania obszaru ataków w portalu Microsoft Defender, wymagane są następujące uprawnienia:

Nazwa uprawnienia Typ uprawnień
Wyświetlanie danych Operacje dotyczące zabezpieczeń

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Aby przypisać te uprawnienia:

  1. Zaloguj się do portalu Microsoft Defender.

  2. W okienku nawigacji wybierz pozycję Ustawienia>Rolepunktów końcowych> (w obszarze Uprawnienia).

  3. Wybierz rolę, którą chcesz edytować, a następnie wybierz pozycję Edytuj.

  4. W obszarze Edytuj rolę na karcie Ogólne w polu Nazwa roli wpisz nazwę roli.

  5. W polu Opis wpisz krótkie podsumowanie roli.

  6. W obszarze Uprawnienia wybierz pozycję Wyświetl dane, a w obszarze Wyświetl dane wybierz pozycję Operacje zabezpieczeń.

Aby przejść do kart podsumowania raportu reguł zmniejszania obszaru ataków

  1. Otwórz portal Microsoft Defender.

  2. W okienku nawigacji wybierz pozycję Raporty. W sekcji głównej w obszarze Raporty wybierz pozycję Raport zabezpieczeń.

  3. Przewiń w dół do pozycji Urządzenia , aby znaleźć karty podsumowania reguł zmniejszania obszaru ataków . Karty raportów podsumowania dla reguł usługi ASR przypominają następujący obraz:

Pokazuje karty podsumowania raportów reguł usługi ASR

Karty podsumowania raportów reguł usługi ASR

Podsumowanie raportu reguł usługi ASR jest podzielone na dwie karty:

Karta podsumowania wykrywania reguł usługi ASR

Karta podsumowania wykrywania reguł usługi ASR zawiera podsumowanie liczby wykrytych zagrożeń zablokowanych przez reguły usługi ASR. Ta karta zawiera dwa przyciski akcji:

  • Wykrywanie widoku: otwiera kartę Wykrywanie
  • Dodawanie wykluczeń: otwiera kartę Wykluczenia

Zrzut ekranu przedstawiający kartę wykrywania podsumowania raportów reguł usługi ASR.

Wybranie linku wykrywania reguł usługi ASR w górnej części karty powoduje również otwarcie karty Wykrywanie głównych reguł zmniejszania obszaru ataków.

Karta podsumowania konfiguracji reguł usługi ASR

W górnej sekcji skupiono się na trzech zalecanych regułach, które chronią przed typowymi technikami ataku. Ta karta zawiera bieżące informacje o komputerach w organizacji, które mają następujące trzy standardowe reguły ochrony (ASR) ustawione w trybie bloku, tryb inspekcji lub wyłączone (nieskonfigurowane). Przycisk Chroń urządzenia zawiera pełne szczegóły konfiguracji tylko dla trzech reguł. klienci mogą szybko podjąć działania, aby włączyć te reguły.

W dolnej części przedstawiono sześć reguł na podstawie liczby niechronionych urządzeń na regułę. Przycisk Wyświetl konfigurację zawiera wszystkie szczegóły konfiguracji dla wszystkich reguł usługi ASR. Przycisk Dodaj wykluczenia pokazuje stronę dodawania wykluczenia ze wszystkimi wykrytymi nazwami plików/procesów wymienionymi dla usługi Security Operation Center (SOC) do oceny. Strona Dodawanie wykluczenia jest połączona z Microsoft Intune.

Karta zawiera również dwa przyciski akcji:

  • Wyświetl konfigurację: otwiera kartę Wykrywanie
  • Dodawanie wykluczeń: otwiera kartę Wykluczenia

Pokazuje kartę konfiguracji podsumowania raportu reguł usługi ASR.

Wybranie linku konfiguracji reguł usługi ASR w górnej części karty powoduje również otwarcie karty Konfiguracja głównych reguł zmniejszania obszaru ataków.

Uproszczona opcja standardowej ochrony

Karta podsumowania konfiguracji zawiera przycisk Ochrona urządzeń z trzema standardowymi regułami ochrony. Firma Microsoft zaleca co najmniej włączenie tych trzech standardowych reguł ochrony przed zmniejszaniem obszaru ataków:

Aby włączyć trzy standardowe reguły ochrony:

  1. Wybierz pozycję Chroń urządzenia. Zostanie otwarta główna karta Konfiguracja .

  2. Na karcie Konfiguracjareguły podstawowe automatycznie przełącza się z opcji Wszystkie reguły na włączone standardowe reguły ochrony .

  3. Na liście Urządzenia wybierz urządzenia, dla których mają być stosowane standardowe reguły ochrony, a następnie wybierz pozycję Zapisz.

Ta karta ma dwa inne przyciski nawigacji:

  • Wyświetl konfigurację: otwiera kartę Konfiguracja .
  • Dodaj wykluczenia: otwiera kartę Wykluczenia .

Wybranie linku konfiguracji reguł usługi ASR w górnej części karty powoduje również otwarcie karty Konfiguracja głównych reguł zmniejszania obszaru ataków.

Główne karty reguł zmniejszania obszaru podatnego na ataki

Karty podsumowania raportów reguł usługi ASR są przydatne do szybkiego podsumowania stanu reguł usługi ASR, ale karty główne zapewniają bardziej szczegółowe informacje dotyczące funkcji filtrowania i konfiguracji:

Możliwości wyszukiwania

Funkcja wyszukiwania jest dodawana do kart wykrywania, konfiguracji i dodawania głównych wykluczeń . Dzięki tej możliwości można wyszukiwać przy użyciu identyfikatora urządzenia, nazwy pliku lub nazwy procesu.

Przedstawia funkcję wyszukiwania raportów reguł usługi ASR.

Filtrowanie

Filtrowanie umożliwia określenie, jakie wyniki są zwracane:

  • Data umożliwia określenie zakresu dat dla wyników danych.
  • Filtry

Uwaga

Podczas filtrowania według reguły liczba pojedynczych wykrytych elementów wymienionych w dolnej połowie raportu jest obecnie ograniczona do 200 reguł. Aby zapisać pełną listę wykryć w programie Excel, możesz użyć polecenia Eksportuj .

Porada

Ponieważ filtr obecnie działa w tej wersji, za każdym razem, gdy chcesz "grupować według", musisz najpierw przewinąć w dół do ostatniego wykrycia na liście, aby załadować kompletny zestaw danych. Po załadowaniu kompletnego zestawu danych można uruchomić filtrowanie "sortuj według". Jeśli nie przewiniesz w dół do ostatniego wykrywania wymienionego przy każdym użyciu lub podczas zmiany opcji filtrowania (na przykład reguł usługi ASR stosowanych do bieżącego uruchomienia filtru), wyniki są niepoprawne dla każdego wyniku, który ma więcej niż jedną widoczną stronę z wyświetlonymi wykryciami.

Zrzut ekranu przedstawiający funkcję wyszukiwania raportów reguł usługi ASR na karcie konfiguracji.

Zrzut ekranu przedstawiający filtr wykrywania reguł zmniejszania obszaru ataków w regułach.

Główna karta wykrywania reguł zmniejszania obszaru podatnego na ataki

  • Wykrywanie inspekcji: pokazuje, ile wykryć zagrożeń jest przechwytywanych przez reguły ustawione w trybie inspekcji .
  • Zablokowane wykrycia: pokazuje, ile wykryć zagrożeń jest zablokowanych przez reguły ustawione w trybie bloku .
  • Duży, skonsolidowany wykres: pokazuje zablokowane i poddane inspekcji wykrycia.

Pokazuje kartę Wykrywanie główne raportów reguł usługi ASR z _Audit detections_ i _Blocked detections_.

Wykresy udostępniają dane wykrywania w wyświetlonym zakresie dat z możliwością umieszczenia wskaźnika myszy nad określoną lokalizacją w celu zebrania informacji specyficznych dla daty.

W dolnej części raportu wymieniono wykryte zagrożenia — na poszczególnych urządzeniach — z następującymi polami:

Nazwa pola Definicja
Wykryty plik Plik określony jako zawierający możliwe lub znane zagrożenie
Wykryto na Data wykrycia zagrożenia
Zablokowane/poddane inspekcji? Czy reguła wykrywania określonego zdarzenia była w trybie bloku, czy inspekcji
Reguła Która reguła wykryła zagrożenie
Aplikacja źródłowa Aplikacja, która wykonała wywołanie obraźliwego "wykrytego pliku"
Urządzenie Nazwa urządzenia, na którym wystąpiło zdarzenie Inspekcja lub Blokowanie
Grupa urządzeń Grupa usługi Active Directory, do której należy urządzenie
Użytkownik Konto maszyny odpowiedzialne za wywołanie
Publisher Firma, która wydała konkretną .exe lub aplikację

Aby uzyskać więcej informacji na temat inspekcji reguł asr i trybów blokowych, zobacz Tryby reguł zmniejszania obszaru ataków.

Wysuwany z możliwością działania

Strona główna "Wykrywanie" zawiera listę wszystkich wykryć (plików/procesów) w ciągu ostatnich 30 dni. Wybierz dowolne z wykryć, aby otworzyć z możliwościami przechodzenia do szczegółów.

Pokazuje wysuwaną kartę głównej wykrywania raportów reguł usługi ASR

Sekcja Możliwe wykluczenie i wpływ zapewnia efekt wybranego pliku lub procesu. Możesz:

  • Wybierz pozycję Go hunt (Wyszukiwanie w języku Go ), które otwiera stronę zapytania Zaawansowane wyszukiwanie zagrożeń
  • Otwieranie strony pliku powoduje otwarcie Ochrona punktu końcowego w usłudze Microsoft Defender wykrywania
  • Przycisk Dodaj wykluczenie jest połączony ze stroną główną dodawania wykluczenia.

Na poniższej ilustracji pokazano, jak zostanie otwarta strona zapytania Zaawansowane wyszukiwanie zagrożeń z linku w oknie wysuwanym z możliwością akcji:

Pokazuje, że reguły zmniejszania obszaru ataków zgłaszają link wysuwany karty wykrywania głównego otwierający zaawansowane wyszukiwanie zagrożeń

Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń, zobacz Proaktywne wyszukiwanie zagrożeń za pomocą zaawansowanego wyszukiwania zagrożeń w Microsoft Defender XDR

Główna karta Konfiguracja reguł zmniejszania obszaru podatnego na ataki

Główna karta Konfiguracja reguł usługi ASR zawiera podsumowanie i szczegóły konfiguracji reguł usługi ASR dla poszczególnych urządzeń. Karta Konfiguracja zawiera trzy główne aspekty:

Podstawowe reguły Udostępnia metodę przełączania wyników między regułami podstawowymi i wszystkimi regułami. Domyślnie są wybierane reguły podstawowe .

Omówienie konfiguracji urządzenia Udostępnia bieżącą migawkę urządzeń w jednym z następujących stanów:

  • Wszystkie uwidocznione urządzenia (urządzenia z brakującymi wymaganiami wstępnymi, reguły w trybie inspekcji, nieprawidłowo skonfigurowane reguły lub reguły nieskonfigurowane)
  • Urządzenia z nie skonfigurowanymi regułami
  • Urządzenia z regułami w trybie inspekcji
  • Urządzenia z regułami w trybie bloku

Dolna, nienazwana sekcja karty Konfiguracja zawiera listę bieżącego stanu urządzeń (na podstawie poszczególnych urządzeń):

  • Urządzenie (nazwa)
  • Ogólna konfiguracja (niezależnie od tego, czy reguły są włączone, czy wszystkie są wyłączone)
  • Reguły w trybie bloku (liczba reguł na urządzenie ustawione na blok)
  • Reguły w trybie inspekcji (liczba reguł w trybie inspekcji)
  • Reguły wyłączone (reguły, które są wyłączone lub nie są włączone)
  • Identyfikator urządzenia (identyfikator GUID urządzenia)

Te elementy są wyświetlane na poniższej ilustracji.

Pokazuje główną kartę konfiguracji raportu reguł usługi ASR

Aby włączyć reguły usługi ASR:

  1. W obszarze Urządzenie wybierz urządzenie lub urządzenia, dla których chcesz zastosować reguły usługi ASR.

  2. W oknie wysuwanym sprawdź wybrane opcje, a następnie wybierz pozycję Dodaj do zasad. Na poniższej ilustracji przedstawiono kartę Konfiguracja i okno wysuwane dodawanie reguły .

    Pokazuje wysuwane reguły usługi ASR w celu dodania reguł usługi ASR do urządzeń

[UWAGA!] Jeśli masz urządzenia wymagające zastosowania różnych reguł usługi ASR, należy skonfigurować te urządzenia indywidualnie.

Reguły zmniejszania obszaru ataków Karta Dodawanie wykluczeń

Karta Dodawanie wykluczeń przedstawia rankingową listę wykrywania według nazwy pliku i udostępnia metodę konfigurowania wykluczeń. Domyślnie dla trzech pól są wyświetlane informacje o dodawaniu wykluczeń :

  • Nazwa pliku: nazwa pliku, który wyzwolił zdarzenie reguł usługi ASR.
  • Wykrywanie: całkowita liczba wykrytych zdarzeń dla nazwanego pliku. Poszczególne urządzenia mogą wyzwalać wiele zdarzeń reguł usługi ASR.
  • Urządzenia: liczba urządzeń, na których wystąpiło wykrycie.

Pokazuje kartę Dodawanie wykluczeń w raporcie reguł usługi ASR.

Ważna

Wyłączenie plików lub folderów może znacznie zmniejszyć ochronę zapewnianą przez reguły usługi ASR. Wykluczone pliki mogą być uruchamiane i nie jest rejestrowany żaden raport ani zdarzenie. Jeśli reguły usługi ASR wykrywają pliki, które prawdopodobnie nie powinny zostać wykryte, należy najpierw użyć trybu inspekcji, aby przetestować regułę.

Po wybraniu pliku zostanie wyświetlone okno Podsumowanie & oczekiwanego wpływu , w którym przedstawiono następujące typy informacji:

  • Wybrane pliki — liczba plików wybranych do wykluczenia
  • (liczba) wykryć — określa oczekiwane zmniejszenie liczby wykryć po dodaniu wybranych wykluczeń. Zmniejszenie liczby wykryć jest reprezentowane graficznie w przypadku wykrywania rzeczywistego i wykrywania po wykluczeniach.
  • (liczba) urządzeń, których dotyczy problem — określa oczekiwane zmniejszenie liczby urządzeń zgłaszających wykrycia wybranych wykluczeń.

Strona Dodawanie wykluczenia zawiera dwa przyciski dla akcji, które mogą być używane w przypadku wszystkich wykrytych plików (po zaznaczeniu). Możesz:

  • Dodaj wykluczenie, które otwiera Microsoft Intune stronę zasad usługi ASR. Aby uzyskać więcej informacji, zobacz Intune w temacie "Włączanie alternatywnych metod konfiguracji reguł usługi ASR".
  • Pobierz ścieżki wykluczeń , które pobierają ścieżki plików w formacie csv.

Pokazuje raport reguł usługi ASR, aby dodać podsumowanie wpływu na wysuwaną kartę wykluczeń.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.