Partilhar via

Relatório de regras de redução da superfície de ataque

  • Artigo

Aplica-se a:

Plataformas:

  • Windows

O relatório Regras de Redução da Superfície de Ataque fornece informações detalhadas sobre as regras impostas nos dispositivos dentro da sua organização. Além disso, este relatório disponibiliza informações sobre:

  • ameaças detetadas
  • ameaças bloqueadas
  • dispositivos que não estão configurados para utilizar as regras de proteção padrão para bloquear ameaças

Além disso, o relatório fornece uma interface fácil de utilizar que lhe permite:

  • Ver deteções de ameaças
  • Ver a configuração das regras do ASR
  • Configurar exclusões (adicionar)
  • Desagregar para recolher informações detalhadas

Para obter mais informações sobre as regras individuais de redução da superfície de ataque, consulte Referência das regras de redução da superfície de ataque.

Pré-requisitos

Importante

Para aceder ao relatório de regras de redução da superfície de ataque, são necessárias permissões de leitura para o portal Microsoft Defender. Para que Windows Server 2012 R2 e Windows Server 2016 apareçam no relatório de regras de redução da superfície de ataque, estes dispositivos têm de ser integrados com o pacote de solução unificado moderno. Para obter mais informações, veja New functionality in the modern unified solution for Windows Server 2012 R2 and 2016 (Novas funcionalidades na solução unificada moderna para Windows Server 2012 R2 e 2016).

Permissões de acesso a relatórios

Para aceder ao relatório de regras de redução da superfície de ataque no portal do Microsoft Defender, são necessárias as seguintes permissões:

Nome da permissão Tipo de permissão
Ver Dados Operações de segurança

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Para atribuir estas permissões:

  1. Inicie sessão no portal Microsoft Defender.

  2. No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).

  3. Selecione a função que pretende editar e, em seguida, selecione Editar.

  4. Em Editar função, no separador Geral , em Nome da função, escreva um nome para a função.

  5. Em Descrição, escreva um breve resumo da função.

  6. Em Permissões, selecione Ver Dados e, em Ver Dados , selecione Operações de segurança.

Para navegar para os cartões de resumo do relatório de regras de redução da superfície de ataque

  1. Abra o portal Microsoft Defender.

  2. No painel de navegação, selecione Relatórios. Na secção principal, em Relatórios, selecione Relatório de segurança.

  3. Desloque-se para baixo até Dispositivos para encontrar os cartões de resumo Regras de redução da superfície de ataque . Os cartões de relatório de resumo das regras asr assemelham-se à imagem seguinte:

Mostra os cartões de resumo do relatório de regras do ASR

Cartões de resumo do relatório de regras do ASR

O resumo do relatório de regras do ASR está dividido em dois cartões:

Cartão de resumo de deteções de regras do ASR

O cartão de resumo de deteções de regras do ASR mostra um resumo do número de ameaças detetadas bloqueadas pelas regras do ASR. Este cartão inclui dois botões de ação:

  • Ver deteções: abre o separador Deteções
  • Adicionar exclusões: abre o separador Exclusões

Captura de ecrã que mostra o cartão de deteções de resumo do relatório de regras do ASR.

Selecionar a ligação de deteções de regras do ASR na parte superior do cartão também abre o separador Principal Regras de redução da superfície de ataque Deteções.

Cartão de resumo da configuração das regras do ASR

A secção superior centra-se em três regras recomendadas, que protegem contra técnicas de ataque comuns. Este cartão mostra as informações de estado atual sobre os computadores na sua organização que têm as seguintes regras de proteção padrão de Três (ASR) definidas no Modo de bloqueio, Modo de auditoria ou desativado (não configurado). O botão Proteger dispositivos mostra detalhes de configuração completos apenas para as três regras; os clientes podem tomar medidas rapidamente para ativar estas regras.

A secção inferior apresenta seis regras com base no número de dispositivos desprotegidos por regra. O botão Ver configuração apresenta todos os detalhes de configuração de todas as regras do ASR. O botão Adicionar exclusões mostra a página adicionar exclusão com todos os nomes de ficheiro/processo detetados listados para o Centro de Operações de Segurança (SOC) a avaliar. A página Adicionar exclusão está ligada a Microsoft Intune.

O cartão também inclui dois botões de ação:

  • Configuração da vista: abre o separador Deteções
  • Adicionar exclusões: abre o separador Exclusões

Mostra o cartão de configuração do resumo do relatório de regras do ASR.

Selecionar a ligação de configuração de regras asr na parte superior do cartão também abre o separador Principal Regras de redução da superfície de ataque Configuração.

Opção de proteção padrão simplificada

O cartão de resumo de configuração fornece um botão para Proteger dispositivos com as três regras de proteção padrão. No mínimo, a Microsoft recomenda que ative estas três regras de proteção padrão de redução da superfície de ataque:

Para ativar as três regras de proteção padrão:

  1. Selecione Proteger dispositivos. O separador Configuração principal é aberto.

  2. No separador Configuração , as regras Básicas alternam automaticamente de Todas as regras para regras de proteção Padrão ativadas.

  3. Na lista Dispositivos , selecione os dispositivos para os quais pretende aplicar as regras de proteção padrão e, em seguida, selecione Guardar.

Este cartão tem outros dois botões de navegação:

  • Configuração da vista: abre o separador Configuração .
  • Adicionar exclusões: abre o separador Exclusões .

Selecionar a ligação de configuração de regras asr na parte superior do cartão também abre o separador Principal Regras de redução da superfície de ataque Configuração.

Separadores principais das regras de redução da superfície de ataque

Embora os cartões de resumo do relatório de regras do ASR sejam úteis para obter um resumo rápido do estado das regras do ASR, os separadores principais fornecem informações mais aprofundadas com capacidades de filtragem e configuração:

Capacidades de pesquisa

A capacidade de pesquisa é adicionada aos separadores principais Deteção, Configuração e Adicionar exclusão . Com esta capacidade, pode procurar utilizando o ID do dispositivo, o nome do ficheiro ou o nome do processo.

Mostra a funcionalidade de pesquisa de relatórios de regras ASR.

Filtragem

A filtragem fornece uma forma de especificar que resultados são devolvidos:

  • A data permite-lhe especificar um intervalo de datas para resultados de dados.
  • Filtros

Nota

Ao filtrar por regra, o número de itens detetados individuais listados na metade inferior do relatório está atualmente limitado a 200 regras. Pode utilizar Exportar para guardar a lista completa de deteções no Excel.

Sugestão

Como o filtro funciona atualmente nesta versão, sempre que quiser "agrupar por", primeiro tem de se deslocar para baixo até à última deteção na lista para carregar o conjunto de dados completo. Depois de carregar o conjunto de dados completo, pode iniciar a filtragem "ordenar por". Se não se deslocar para baixo até à última deteção listada em cada utilização ou ao alterar as opções de filtragem (por exemplo, as regras ASR aplicadas à execução do filtro atual), os resultados estarão incorretos para qualquer resultado que tenha mais do que uma página visualizável de deteções listadas.

Captura de ecrã que mostra a funcionalidade de pesquisa de relatórios de regras do ASR no separador de configuração.

Captura de ecrã que mostra o filtro de deteções de regras de redução da superfície de ataque nas regras.

Separador principal de deteções das regras de redução da superfície de ataque

  • Deteções de Auditoria: mostra quantas deteções de ameaças são capturadas pelas regras definidas no Modo de auditoria .
  • Deteções Bloqueadas: mostra quantas deteções de ameaças estão bloqueadas por regras definidas no modo De bloqueio.
  • Gráfico grande e consolidado: mostra deteções bloqueadas e auditadas.

Mostra o separador Deteções principais do relatório de regras do ASR, com _Audit detections_ e _Blocked detections_ descritos.

Os gráficos fornecem dados de deteção ao longo do intervalo de datas apresentado, com a capacidade de pairar o cursor sobre uma localização específica para recolher informações específicas de data.

A secção inferior do relatório lista as ameaças detetadas , numa base por dispositivo, com os seguintes campos:

Nome do campo Definição
Ficheiro detetado O ficheiro determinado para conter uma ameaça possível ou conhecida
Detetado em A data em que a ameaça foi detetada
Bloqueado/Auditado? Se a regra de deteção para o evento específico estava no modo Bloquear ou Auditoria
Regra Que regra detetou a ameaça
Aplicação de origem A aplicação que fez a chamada para o "ficheiro detetado" ofensivo
Dispositivo O nome do dispositivo no qual ocorreu o evento Auditoria ou Bloquear
Grupo de dispositivos O grupo do Active Directory ao qual o dispositivo pertence
Utilizador A conta de computador responsável pela chamada
Publisher A empresa que lançou a .exe ou aplicação específica

Para obter mais informações sobre os modos de auditoria e bloqueio de regras DO ASR, veja Modos de regras de redução da superfície de ataque.

Lista de opções acionável

A página principal "Deteção" tem uma lista de todas as deteções (ficheiros/processos) nos últimos 30 dias. Selecione em qualquer uma das deteções para abrir com capacidades de desagregação.

Mostra a lista de opções do separador Deteções principais do relatório de regras do ASR

A secção Possível exclusão e impacto fornece o efeito do processo ou ficheiro selecionado. Pode:

  • Selecione Go hunt que abre a página de consulta Investigação Avançada
  • Abrir página de ficheiro abre Microsoft Defender para Endpoint deteção
  • O botão Adicionar exclusão está ligado à página principal adicionar exclusão.

A imagem seguinte ilustra como a página de consulta Investigação Avançada é aberta a partir da ligação na lista de opções acionável:

Mostra que as regras de redução da superfície de ataque reportam a ligação de lista de opções do separador de deteções principais que abre a Investigação Avançada

Para obter mais informações sobre a Investigação avançada, veja Proativamente investigar ameaças com investigação avançada no Microsoft Defender XDR

Separador Configuração principal das regras de redução da superfície de ataque

O separador Configuração principal das regras do ASR fornece detalhes de configuração de regras ASR por dispositivo e resumo. Existem três aspetos principais no separador Configuração:

Regras básicas Fornece um método para alternar os resultados entre regras Básicas e Todas as Regras. Por predefinição, as regras Básicas estão selecionadas.

Descrição geral da configuração do dispositivo Fornece um instantâneo atual de dispositivos num dos seguintes estados:

  • Todos os Dispositivos expostos (dispositivos com pré-requisitos em falta, regras no Modo de auditoria, regras configuradas incorretamente ou regras não configuradas)
  • Dispositivos com regras não configuradas
  • Dispositivos com regras no modo de auditoria
  • Dispositivos com regras no modo de bloqueio

A secção inferior sem nome do separador Configuração fornece uma listagem do estado atual dos seus dispositivos (por dispositivo):

  • Dispositivo (nome)
  • Configuração geral (se alguma regra está ativada ou está desativada)
  • Regras no modo de bloqueio (o número de regras por dispositivo definidas para bloquear)
  • Regras no modo de auditoria (o número de regras no modo de auditoria)
  • Regras desativadas (regras desativadas ou não ativadas)
  • ID do Dispositivo (GUID do dispositivo)

Estes elementos são apresentados na figura seguinte.

Mostra o separador de configuração principal do relatório de regras do ASR

Para ativar as regras do ASR:

  1. Em Dispositivo, selecione o dispositivo ou dispositivos para os quais pretende aplicar regras ASR.

  2. Na janela de lista de opções, verifique as suas seleções e, em seguida, selecione Adicionar à política. O separador Configuração e a lista de opções adicionar regra são apresentados na imagem seguinte.

    Mostra a lista de opções de regras do ASR para adicionar regras ASR aos dispositivos

[NOTA!] Se tiver dispositivos que exijam a aplicação de regras ASR diferentes, deve configurar esses dispositivos individualmente.

Regras de redução da superfície de ataque Separador Adicionar exclusões

O separador Adicionar exclusões apresenta uma lista classificada de deteções por nome de ficheiro e fornece um método para configurar exclusões. Por predefinição, a opção Adicionar informações de exclusões está listada para três campos:

  • Nome do ficheiro: o nome do ficheiro que acionou o evento de regras do ASR.
  • Deteções: o número total de eventos detetados para o ficheiro nomeado. Os dispositivos individuais podem acionar vários eventos de regras ASR.
  • Dispositivos: o número de dispositivos em que ocorreu a deteção.

Mostra o separador Adicionar exclusões ao relatório de regras do ASR.

Importante

Excluir ficheiros ou pastas pode reduzir severamente a proteção fornecida pelas regras do ASR. Os ficheiros excluídos podem ser executados e não é registado nenhum relatório ou evento. Se as regras do ASR estiverem a detetar ficheiros que acredita que não devem ser detetados, deve utilizar primeiro o modo de auditoria para testar a regra.

Quando seleciona um ficheiro, é aberta uma lista de opções resumo & impacto esperado , apresentando os seguintes tipos de informações:

  • Ficheiros selecionados – o número de ficheiros que selecionou para exclusão
  • (número de) deteções – indica a redução esperada nas deteções após adicionar as exclusões selecionadas. A redução das deteções é representada graficamente para Deteções e Deteções reais após exclusões.
  • (número de) dispositivos afetados – indica a redução esperada nos dispositivos que comunicam deteções para as exclusões selecionadas.

A página Adicionar exclusão tem dois botões para ações que podem ser utilizadas em quaisquer ficheiros detetados (após a seleção). Pode:

  • Adicionar exclusão que abre Microsoft Intune página de política do ASR. Para obter mais informações, veja Intune em "Ativar métodos de configuração alternativos de regras ASR".
  • Obtenha caminhos de exclusão que transferem caminhos de ficheiro num formato csv.

Mostra o resumo de impacto da lista de opções adicionar lista de opções do separador regras do ASR.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.