Omówienie możliwości zmniejszania obszaru ataków i korzystanie z nich
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Porada
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Powierzchnie ataków to wszystkie miejsca, w których twoja organizacja jest narażona na ataki cybernetyczne i ataki. Usługa Defender for Endpoint oferuje kilka możliwości, które ułatwiają zmniejszenie obszarów ataków. Obejrzyj poniższy film wideo, aby dowiedzieć się więcej na temat zmniejszania obszaru podatnego na ataki.
Konfigurowanie możliwości zmniejszania obszaru ataków
Aby skonfigurować redukcję obszaru ataków w środowisku, wykonaj następujące kroki:
Włącz kontrolę aplikacji.
Przejrzyj zasady podstawowe w systemie Windows. Zobacz przykładowe zasady podstawowe.
Zobacz przewodnik projektowania kontrolki aplikacji usługi Windows Defender.
Zapoznaj się z tematem Wdrażanie zasad kontroli aplikacji usługi Windows Defender (WDAC).
Włącz kontrolę urządzenia.
Włącz ochronę sieci Web.
Skonfiguruj zaporę sieciową.
Zapoznaj się z omówieniem zapory systemu Windows z zaawansowanymi zabezpieczeniami.
Skorzystaj z przewodnika projektowania Zapory systemu Windows , aby zdecydować, jak chcesz zaprojektować zasady zapory.
Skorzystaj z przewodnika wdrażania Zapory systemu Windows , aby skonfigurować zaporę organizacji z zaawansowanymi zabezpieczeniami.
Porada
W większości przypadków podczas konfigurowania możliwości zmniejszania obszaru podatnego na ataki można wybrać jedną z kilku metod:
- Microsoft Intune
- Microsoft Configuration Manager
- Zasady grupy
- Polecenia cmdlet programu PowerShell
Zmniejszanie obszaru ataków testowych w Ochrona punktu końcowego w usłudze Microsoft Defender
W ramach zespołu ds. zabezpieczeń organizacji możesz skonfigurować możliwości zmniejszania obszaru ataków, aby uruchamiać je w trybie inspekcji, aby zobaczyć, jak działają. W trybie inspekcji można włączyć następujące funkcje zabezpieczeń zmniejszania obszaru podatnego na ataki:
- Reguły zmniejszania obszaru podatnego na ataki
- Ochrona przed wykorzystywaniem
- Ochrona sieci
- Kontrolowany dostęp do folderu
- Kontrola urządzenia
Tryb inspekcji umożliwia wyświetlenie rekordu, co by się stało, gdyby funkcja została włączona.
Tryb inspekcji można włączyć podczas testowania działania funkcji. Włączenie trybu inspekcji tylko na potrzeby testowania pomaga zapobiegać wpływowi trybu inspekcji na aplikacje biznesowe. Możesz również poznać liczbę podejrzanych prób modyfikacji plików w określonym okresie.
Funkcje nie blokują ani nie uniemożliwiają modyfikowania aplikacji, skryptów ani plików. Jednak dziennik zdarzeń systemu Windows rejestruje zdarzenia tak, jakby funkcje były w pełni włączone. W trybie inspekcji możesz przejrzeć dziennik zdarzeń, aby zobaczyć, jaki wpływ miałaby funkcja, gdyby została włączona.
Aby znaleźć wpisy inspekcji, przejdź do obszaru Aplikacje i usługi>Microsoft>Windows>Defender>Operational.
Użyj usługi Defender for Endpoint, aby uzyskać więcej szczegółów dotyczących każdego zdarzenia. Te szczegóły są szczególnie przydatne w badaniu reguł zmniejszania obszaru podatnego na ataki. Korzystanie z konsoli usługi Defender for Endpoint umożliwia badanie problemów w ramach osi czasu alertów i scenariuszy badania.
Tryb inspekcji można włączyć przy użyciu dostawców usług zasady grupy, PowerShell i konfiguracji.
Opcje inspekcji | Jak włączyć tryb inspekcji | Jak wyświetlać zdarzenia |
---|---|---|
Inspekcja dotyczy wszystkich zdarzeń | Włącz kontrolowany dostępu do folderu | Zdarzenia dostępu do kontrolowanych folderów |
Inspekcja ma zastosowanie do poszczególnych reguł | Krok 1. Testowanie reguł zmniejszania obszaru ataków przy użyciu trybu inspekcji | Krok 2. Omówienie strony raportowania reguł zmniejszania obszaru ataków |
Inspekcja dotyczy wszystkich zdarzeń | Włączanie ochrony sieci | Zdarzenia ochrony sieci |
Inspekcja ma zastosowanie do poszczególnych środków zaradczych | Włącz ochronę przed wykorzystaniem | Zdarzenia ochrony przed lukami w zabezpieczeniach |
Na przykład przed włączeniem ich w trybie bloku można przetestować reguły zmniejszania obszaru podatnego na ataki w trybie inspekcji. Reguły zmniejszania obszaru podatnego na ataki są wstępnie zdefiniowane w celu wzmacniania typowych, znanych obszarów ataków. Istnieje kilka metod, za pomocą których można zaimplementować reguły zmniejszania obszaru podatnego na ataki. Preferowana metoda jest udokumentowana w następujących artykułach dotyczących wdrażania reguł zmniejszania obszaru ataków:
- Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
- Planowanie wdrożenia reguł zmniejszania obszaru podatnego na ataki
- Reguły zmniejszania obszaru ataków testowych
- Włączanie reguł zmniejszania obszaru ataków
- Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki
Wyświetlanie zdarzeń redukcji obszaru ataków
Przejrzyj zdarzenia zmniejszania obszaru ataków w Podgląd zdarzeń, aby monitorować, jakie reguły lub ustawienia działają. Możesz również określić, czy jakiekolwiek ustawienia są zbyt "hałaśliwe" lub mają wpływ na przepływ pracy z dnia na dzień.
Przeglądanie zdarzeń jest przydatne podczas oceny funkcji. Możesz włączyć tryb inspekcji dla funkcji lub ustawień, a następnie sprawdzić, co by się stało, gdyby były w pełni włączone.
W tej sekcji wymieniono wszystkie zdarzenia, skojarzoną z nimi funkcję lub ustawienie oraz opisano sposób tworzenia widoków niestandardowych w celu filtrowania do określonych zdarzeń.
Uzyskaj szczegółowe raporty dotyczące zdarzeń, bloków i ostrzeżeń w ramach Zabezpieczenia Windows, jeśli masz subskrypcję E5 i używasz Ochrona punktu końcowego w usłudze Microsoft Defender.
Przeglądanie możliwości zmniejszania obszaru podatnego na ataki przy użyciu widoków niestandardowych
Tworzenie widoków niestandardowych w Podgląd zdarzeń systemu Windows w celu wyświetlenia zdarzeń tylko dla określonych możliwości i ustawień. Najprostszym sposobem jest zaimportowanie widoku niestandardowego jako pliku XML. Kod XML można skopiować bezpośrednio z tej strony.
Możesz również ręcznie przejść do obszaru zdarzeń, który odpowiada funkcji.
Importowanie istniejącego widoku niestandardowego XML
Utwórz pusty plik .txt i skopiuj plik XML dla widoku niestandardowego, którego chcesz użyć, do pliku .txt. Zrób to dla każdego z widoków niestandardowych, których chcesz użyć. Zmień nazwę plików w następujący sposób (upewnij się, że typ został zmieniony z .txt na .xml):
- Widok niestandardowy zdarzeń dostępu do folderów kontrolowanych: cfa-events.xml
- Widok niestandardowy zdarzeń ochrony przed lukami w zabezpieczeniach: ep-events.xml
- Niestandardowy widok zdarzeń zmniejszania obszaru ataków: asr-events.xml
- Widok niestandardowy zdarzeń sieci/ochrony: np-events.xml
Wpisz podgląd zdarzeń w menu Start i otwórz Podgląd zdarzeń.
Wybierz pozycję Akcja>Importuj widok niestandardowy...
Przejdź do miejsca wyodrębnienia pliku XML dla żądanego widoku niestandardowego i wybierz go.
Wybierz opcję Otwórz.
Tworzy on niestandardowy widok, który filtruje tylko w celu wyświetlenia zdarzeń związanych z tą funkcją.
Bezpośrednie kopiowanie kodu XML
Wpisz podgląd zdarzeń w menu Start i otwórz Podgląd zdarzeń systemu Windows.
Na panelu po lewej stronie w obszarze Akcje wybierz pozycję Utwórz widok niestandardowy...
Przejdź do karty XML i ręcznie wybierz pozycję Edytuj zapytanie. Zostanie wyświetlone ostrzeżenie, że nie można edytować zapytania przy użyciu karty Filtr , jeśli używasz opcji XML. Wybierz opcję Tak.
Wklej kod XML funkcji, z której chcesz filtrować zdarzenia, do sekcji XML.
Wybierz przycisk OK. Określ nazwę filtru. Ta akcja tworzy widok niestandardowy, który filtruje tylko w celu wyświetlenia zdarzeń związanych z tą funkcją.
XML dla zdarzeń reguły zmniejszania obszaru ataków
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML dla zdarzeń dostępu do folderów kontrolowanych
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
KOD XML dla zdarzeń ochrony przed lukami w zabezpieczeniach
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML dla zdarzeń ochrony sieci
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista zdarzeń zmniejszania obszaru ataków
Wszystkie zdarzenia zmniejszania obszaru ataków znajdują się w obszarze Dzienniki > aplikacji i usług Microsoft > Windows , a następnie folder lub dostawca, jak wymieniono w poniższej tabeli.
Dostęp do tych zdarzeń można uzyskać w przeglądarce zdarzeń systemu Windows:
Otwórz menu Start i wpisz podgląd zdarzeń, a następnie wybierz wynik Podgląd zdarzeń.
Rozwiń węzeł Dzienniki > aplikacji i usług Microsoft > Windows , a następnie przejdź do folderu wymienionego w obszarze Dostawca/źródło w poniższej tabeli.
Kliknij dwukrotnie element podrzędny, aby wyświetlić zdarzenia. Przewiń zdarzenia, aby znaleźć ten, którego szukasz.
Funkcja | Dostawca/źródło | Identyfikator zdarzenia | Opis |
---|---|---|---|
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 1 | Inspekcja ACG |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 2 | Wymuszanie acg |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 3 | Nie zezwalaj na inspekcję procesów podrzędnych |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 4 | Nie zezwalaj na blok procesów podrzędnych |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 5 | Blokuj inspekcję obrazów o niskiej integralności |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 6 | Blokuj blok obrazów o niskiej integralności |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 7 | Blokuj inspekcję obrazów zdalnych |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 8 | Blokuj zdalny blok obrazów |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 9 | Wyłącz inspekcję wywołań systemowych win32k |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 10 | Wyłącz blok wywołań systemowych win32k |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 11 | Ochrona integralności kodu |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 12 | Blok ochrony integralności kodu |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 13 | Inspekcja zapory aplikacji internetowej |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 14 | Wymuszanie zapory aplikacji internetowej |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 15 | Inspekcja EAF+ |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 16 | Wymuszanie aplikacji EAF+ |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 17 | Inspekcja zapory aplikacji internetowej |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 18 | Wymuszanie zapory aplikacji internetowej |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 19 | Inspekcja ROP StackPivot |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 20 | Wymuszanie ROP StackPivot |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 21 | Inspekcja kontroli wywołań ROP |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 22 | Wymuszanie wywołania ROP |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 23 | Inspekcja ROP SimExec |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 24 | Wymuszanie ROP SimExec |
Ochrona przed wykorzystywaniem | WER-Diagnostics | 5 | Blok CFG |
Ochrona przed wykorzystywaniem | Win32K (operacyjny) | 260 | Niezaufane czcionki |
Ochrona sieci | Windows Defender (operacyjny) | 5007 | Zdarzenie po zmianie ustawień |
Ochrona sieci | Windows Defender (operacyjny) | 1125 | Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie inspekcji |
Ochrona sieci | Windows Defender (operacyjny) | 1126 | Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie bloku |
Kontrolowany dostęp do folderu | Windows Defender (operacyjny) | 5007 | Zdarzenie po zmianie ustawień |
Kontrolowany dostęp do folderu | Windows Defender (operacyjny) | 1124 | Zdarzenie inspekcji dostępu do folderów kontrolowanych |
Kontrolowany dostęp do folderu | Windows Defender (operacyjny) | 1123 | Zablokowane zdarzenie dostępu do folderu kontrolowanego |
Kontrolowany dostęp do folderu | Windows Defender (operacyjny) | 1127 | Zablokowane zdarzenie bloku zapisu w sektorze dostępu do folderów kontrolowanych |
Kontrolowany dostęp do folderu | Windows Defender (operacyjny) | 1128 | Zdarzenie bloku zapisu w sektorze inspekcji dostępu do folderów kontrolowanych |
Zmniejszanie obszaru podatnego na ataki | Windows Defender (operacyjny) | 5007 | Zdarzenie po zmianie ustawień |
Zmniejszanie obszaru podatnego na ataki | Windows Defender (operacyjny) | 1122 | Zdarzenie, gdy reguła jest uruchamiana w trybie inspekcji |
Zmniejszanie obszaru podatnego na ataki | Windows Defender (operacyjny) | 1121 | Zdarzenie, gdy reguła jest uruchamiana w trybie bloku |
Uwaga
Z perspektywy użytkownika powiadomienia o trybie ostrzegania dotyczące zmniejszania obszaru ataków są wysyłane jako powiadomienie wyskakujące systemu Windows dla reguł zmniejszania obszaru ataków.
W przypadku zmniejszania obszaru podatnego na ataki ochrona sieci zapewnia tylko tryby inspekcji i bloku.
Zasoby, aby dowiedzieć się więcej na temat zmniejszania obszaru ataków
Jak wspomniano w filmie wideo, usługa Defender for Endpoint oferuje kilka możliwości zmniejszania obszaru ataków. Aby dowiedzieć się więcej, skorzystaj z następujących zasobów:
Artykuł | Opis |
---|---|
Kontrola aplikacji | Użyj kontroli aplikacji, aby aplikacje mogły uzyskiwać zaufanie do uruchamiania. |
Dokumentacja reguł zmniejszania obszaru podatnego na ataki | Zawiera szczegółowe informacje o każdej regule zmniejszania obszaru ataków. |
Przewodnik wdrażania reguł zmniejszania obszaru ataków | Przedstawia omówienie informacji i wymagań wstępnych dotyczących wdrażania reguł zmniejszania obszaru podatnego na ataki, a następnie wskazówki krok po kroku dotyczące testowania (trybu inspekcji), włączania (trybu bloku) i monitorowania. |
Kontrolowany dostęp do folderu | Zapobiegaj złośliwym lub podejrzanym aplikacjom (w tym złośliwemu oprogramowaniu wymuszającemu szyfrowanie plików) przed wprowadzaniem zmian w plikach w kluczowych folderach systemowych (wymaga programu antywirusowego Microsoft Defender). |
Sterowanie urządzeniem | Chroni przed utratą danych przez monitorowanie i kontrolowanie nośników używanych na urządzeniach, takich jak magazyn wymienny i dyski USB, w organizacji. |
Ochrona przed wykorzystywaniem | Ochrona systemów operacyjnych i aplikacji używanych przez organizację przed wykorzystywaniem. Ochrona przed lukami w zabezpieczeniach działa również z rozwiązaniami antywirusowymi innych firm. |
Izolacja sprzętowa | Chroń i zachowaj integralność systemu podczas uruchamiania i podczas jego działania. Weryfikowanie integralności systemu za pomocą lokalnego i zdalnego zaświadczania. Użyj izolacji kontenera dla przeglądarki Microsoft Edge, aby chronić przed złośliwymi witrynami internetowymi. |
Ochrona sieci | Rozszerzanie ochrony ruchu sieciowego i łączności na urządzeniach organizacji. (Wymaga programu antywirusowego Microsoft Defender). |
Reguły zmniejszania obszaru ataków testowych | Zawiera instrukcje dotyczące używania trybu inspekcji do testowania reguł zmniejszania obszaru podatnego na ataki. |
Ochrona sieci Web | Ochrona w Internecie pozwala zabezpieczyć urządzenia przed zagrożeniami internetowymi i pomaga regulować niechcianą zawartość. |
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.