Понимание и использование возможностей сокращения направлений атак
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Совет
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Области атак — это все места, где ваша организация уязвима для киберугроз и атак. Defender для конечной точки включает несколько возможностей, помогающих сократить количество направлений атак. Просмотрите следующее видео, чтобы узнать больше о сокращении направлений атак.
Настройка возможностей сокращения направлений атак
Чтобы настроить сокращение направлений атак в вашей среде, выполните следующие действия.
Включите управление приложениями.
Ознакомьтесь с базовыми политиками в Windows. См . примеры базовых политик.
См. руководство по проектированию управления приложениями в Защитнике Windows.
См. раздел Развертывание политик управления приложениями в Защитнике Windows (WDAC).
Включите управление устройствами.
Включите веб-защиту.
Настройте брандмауэр сети.
Общие сведения о брандмауэре Windows в режиме повышенной безопасности.
Используйте руководство по проектированию брандмауэра Windows , чтобы решить, как разработать политики брандмауэра.
Используйте руководство по развертыванию брандмауэра Windows , чтобы настроить брандмауэр организации с повышенной безопасностью.
Совет
В большинстве случаев при настройке возможностей сокращения направлений атак можно выбрать один из нескольких способов:
- Microsoft Intune
- Microsoft Configuration Manager
- Групповая политика
- Командлеты PowerShell
Тестирование сокращения направлений атак в Microsoft Defender для конечной точки
В группе безопасности организации вы можете настроить возможности сокращения направлений атак для запуска в режиме аудита, чтобы увидеть, как они работают. В режиме аудита можно включить следующие функции безопасности для уменьшения направлений атак:
- Правила сокращения направлений атак
- Защита от эксплойтов
- Защита сети
- Контролируемый доступ к папкам
- Управление устройствами
Режим аудита позволяет просмотреть запись о том, что произошло бы , если бы эта функция была включена.
Режим аудита можно включить при тестировании работы функций. Включение режима аудита только для тестирования помогает предотвратить влияние режима аудита на бизнес-приложения. Вы также можете получить представление о количестве подозрительных попыток изменения файла в течение определенного периода времени.
Эти функции не блокируют и не запрещают изменение приложений, скриптов или файлов. Однако журнал событий Windows записывает события так, как если бы функции были полностью включены. В режиме аудита можно просмотреть журнал событий, чтобы узнать, какое влияние оказала бы функция, если бы она была включена.
Чтобы найти проверенные записи, перейдите в раздел Приложения и службы>Microsoft>Windows>Defender>Operational.
Используйте Defender для конечной точки, чтобы получить дополнительные сведения о каждом событии. Эти сведения особенно полезны для изучения правил сокращения направлений атак. С помощью консоли Defender для конечной точки можно исследовать проблемы в рамках сценариев временная шкала оповещений и исследований.
Режим аудита можно включить с помощью групповая политика, PowerShell и поставщиков служб конфигурации (CSP).
Параметры аудита | Включение режима аудита | Просмотр событий |
---|---|---|
Аудит применяется ко всем событиям | Включить контролируемый доступ к папкам | События управляемого доступа к папкам |
Аудит применяется к отдельным правилам | Шаг 1. Проверка правил сокращения направлений атак с помощью режима аудита | Шаг 2. Общие сведения о странице отчетов о правилах сокращения направлений атак |
Аудит применяется ко всем событиям | Включение защиты сети | События защиты сети |
Аудит применяется к отдельным решениям по устранению рисков | Включить защиту от эксплойтов | События защиты от эксплойтов |
Например, можно протестировать правила сокращения направлений атак в режиме аудита, прежде чем включать их в режиме блокировки. Правила сокращения направлений атаки предопределяются для защиты распространенных известных направлений атак. Существует несколько методов, которые можно использовать для реализации правил сокращения направлений атак. Предпочтительный метод описан в следующих статьях о развертывании правил сокращения направлений атак:
- Общие сведения о развертывании правил сокращения направлений атак
- Планирование развертывания правил сокращения направлений атак
- Проверка правил сокращения направлений атак
- Включение правил сокращения направлений атак
- Ввод в эксплуатацию правил сокращения направлений атак
Просмотр событий сокращения направлений атак
Просмотрите события сокращения направлений атак в Просмотр событий, чтобы отслеживать, какие правила или параметры работают. Вы также можете определить, являются ли какие-либо параметры слишком "шумными" или влияют на повседневный рабочий процесс.
Просмотр событий удобно при оценке функций. Вы можете включить режим аудита для функций или параметров, а затем проверить, что произошло бы, если бы они были полностью включены.
В этом разделе перечислены все события, связанные с ними функции или параметры, а также описывается создание настраиваемых представлений для фильтрации по определенным событиям.
Получение подробных отчетов о событиях, блоках и предупреждениях в рамках Безопасность Windows, если у вас есть подписка E5 и вы используете Microsoft Defender для конечной точки.
Использование пользовательских представлений для просмотра возможностей сокращения направлений атак
Создавайте пользовательские представления в Просмотр событий Windows, чтобы просматривать только события для определенных возможностей и параметров. Самый простой способ — импортировать пользовательское представление в виде XML-файла. XML-код можно скопировать непосредственно с этой страницы.
Вы также можете вручную перейти к области событий, соответствующей функции.
Импорт существующего настраиваемого представления XML
Создайте пустой файл .txt и скопируйте XML-файл для пользовательского представления, которое вы хотите использовать, в файл .txt. Сделайте это для каждого из пользовательских представлений, которые вы хотите использовать. Переименуйте файлы следующим образом (обязательно измените тип с .txt на .xml):
- Настраиваемое представление событий управляемого доступа к папкам: cfa-events.xml
- Настраиваемое представление событий защиты от эксплойтов: ep-events.xml
- Настраиваемое представление событий сокращения направлений атаки: asr-events.xml
- Настраиваемое представление событий сети и защиты: np-events.xml
Введите средство просмотра событий в меню Пуск и откройте Просмотр событий.
Выберите Действие>Импорт пользовательского представления...
Перейдите к тому месту, где вы извлекли XML-файл для нужного пользовательского представления, и выберите его.
Выберите Открыть.
Он создает пользовательское представление, которое фильтрует только события, связанные с этой функцией.
Копирование XML-кода напрямую
Введите средство просмотра событий в меню Пуск и откройте Просмотр событий Windows.
На панели слева в разделе Действия выберите Создать пользовательское представление...
Перейдите на вкладку XML и выберите Изменить запрос вручную. Появится предупреждение о том, что вы не можете изменить запрос с помощью вкладки Фильтр , если используется параметр XML. Выберите Да.
Вставьте XML-код компонента, по которому требуется фильтровать события, в раздел XML.
Нажмите OK. Укажите имя фильтра. Это действие создает пользовательское представление, которое фильтрует только события, связанные с этой функцией.
XML-код для событий правила сокращения направлений атаки
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-код для событий управляемого доступа к папкам
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-файл для событий защиты от эксплойтов
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML-код для событий защиты сети
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Список событий сокращения направлений атаки
Все события сокращения направлений атаки находятся в разделе Журналы > приложений и служб Microsoft > Windows , а затем в папке или поставщике, как указано в следующей таблице.
Вы можете получить доступ к этим событиям в средстве просмотра событий Windows:
Откройте меню Пуск и введите средство просмотра событий, а затем выберите результат Просмотр событий.
Разверните узел Журналы > приложений и служб Microsoft > Windows , а затем перейдите в папку, указанную в разделе Поставщик или источник в таблице ниже.
Дважды щелкните вложенный элемент, чтобы просмотреть события. Прокрутите события, чтобы найти то, что вы ищете.
Возможность | Поставщик/источник | Идентификатор события | Описание |
---|---|---|---|
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 1 | Аудит ACG |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 2 | Принудительное выполнение ACG |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 3 | Не разрешать аудит для дочерних процессов |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 4 | Не разрешать блокировку дочерних процессов |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 5 | Блокировать аудит изображений с низкой целостностью |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 6 | Блокировать блок изображений с низкой целостностью |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 7 | Блокировать аудит удаленных изображений |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 8 | Блокировать блок удаленных изображений |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 9 | Отключить аудит системных вызовов Win32k |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 10 | Отключить блокировку системных вызовов win32k |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 11 | Аудит защиты целостности кода |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 12 | Блок защиты целостности кода |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 13 | Аудит EAF |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 14 | Принудительное выполнение EAF |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 15 | EAF + аудит |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 16 | EAF+ принудительное выполнение |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 17 | Аудит IAF |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 18 | Принудительное выполнение IAF |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 19 | Аудит ROP StackPivot |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 20 | Принудительное выполнение ROP StackPivot |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 21 | Аудит ROP CallerCheck |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 22 | Принудительное выполнение ROP CallerCheck |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 23 | Аудит ROP SimExec |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 24 | Принудительное выполнение ROP SimExec |
Защита от эксплойтов | WER - Диагностика | 5 | Блок CFG |
Защита от эксплойтов | Win32K (операционный) | 260 | Ненадежный шрифт |
Защита сети | Защитник Windows (операционный) | 5007 | Событие при изменении параметров |
Защита сети | Защитник Windows (операционный) | 1125 | Событие при срабатывании сетевой защиты в режиме аудита |
Защита сети | Защитник Windows (операционный) | 1126 | Событие при срабатывании сетевой защиты в режиме блокировки |
Контролируемый доступ к папкам | Защитник Windows (операционный) | 5007 | Событие при изменении параметров |
Контролируемый доступ к папкам | Защитник Windows (операционный) | 1124 | Событие аудита управляемого доступа к папкам |
Контролируемый доступ к папкам | Защитник Windows (операционный) | 1123 | Событие заблокированного управляемого доступа к папкам |
Контролируемый доступ к папкам | Защитник Windows (операционный) | 1127 | Заблокированный контролируемый доступ к папке, событие блока записи в секторе |
Контролируемый доступ к папкам | Защитник Windows (операционный) | 1128 | Событие блока записи в секторе контролируемого доступа к управляемым папкам |
Сокращение направлений атак | Защитник Windows (операционный) | 5007 | Событие при изменении параметров |
Сокращение направлений атак | Защитник Windows (операционный) | 1122 | Событие при срабатывании правила в режиме аудита |
Сокращение направлений атак | Защитник Windows (операционный) | 1121 | Событие при срабатывании правила в режиме блокировки |
Примечание.
С точки зрения пользователя уведомления режима предупреждения о снижении направлений атаки создаются в виде всплывающего уведомления Windows для правил сокращения направлений атаки.
При сокращении направлений атак защита сети предоставляет только режимы аудита и блокировки.
Ресурсы для получения дополнительных сведений о сокращении направлений атак
Как упоминалось в видео, Defender для конечной точки включает несколько возможностей сокращения направлений атак. Дополнительные сведения см. в следующих ресурсах:
Статья | Описание |
---|---|
Элемент управления приложениями | Используйте управление приложениями, чтобы приложения должны получать доверие для запуска. |
Справочник по правилам сокращения направлений атак | Содержит подробные сведения о каждом правиле сокращения направлений атак. |
Руководство по развертыванию правил сокращения направлений атак | Содержит общие сведения и предварительные требования для развертывания правил сокращения направлений атак, а также пошаговые инструкции по тестированию (режим аудита), включению (режим блокировки) и мониторингу. |
Контролируемый доступ к папкам | Помогает предотвратить внесение изменений в файлы в ключевых системных папках вредоносных программ-шантажистов (в том числе вредоносных программ-шантажистов) вредоносными или подозрительными приложениями (требуется Microsoft Defender антивирусная программа). |
Управление устройством | Защищает от потери данных, отслеживая и контролируя носители, используемые на устройствах, таких как съемные носители и USB-накопители, в вашей организации. |
Защита от эксплойтов | Помогите защитить операционные системы и приложения, используемые вашей организацией, от эксплойтов. Защита от эксплойтов также работает со сторонними антивирусными решениями. |
Аппаратная изоляция | Защищайте и поддерживайте целостность системы при запуске и во время работы. Проверяйте целостность системы с помощью локальной и удаленной проверки. Используйте изоляцию контейнеров для Microsoft Edge, чтобы защититься от вредоносных веб-сайтов. |
Защита сети | Расширяйте защиту сетевого трафика и возможностей подключения на устройствах организации. (Требуется антивирусная программу в Microsoft Defender). |
Проверка правил сокращения направлений атак | Содержит инструкции по использованию режима аудита для проверки правил сокращения направлений атак. |
Веб-защита | Веб-защита позволяет защитить устройства от веб-угроз и помогает регулировать нежелательное содержимое. |
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.