攻击面减少规则报告
适用于:
平台:
- Windows
“攻击面减少规则”报告提供了对组织内设备上强制实施的规则的详细见解。 此外,此报表还提供以下信息:
- 检测到的威胁
- 阻止的威胁
- 未配置为使用标准保护规则来阻止威胁的设备
此外,报表还提供了一个易于使用的界面,使你能够:
- 查看威胁检测
- 查看 ASR 规则的配置
- 配置 (添加) 排除项
- 向下钻取以收集详细信息
有关单个攻击面减少规则的详细信息,请参阅 攻击面减少规则参考。
先决条件
重要
若要访问攻击面减少规则报告,Microsoft Defender门户需要读取权限。 若要在攻击面减少规则报告中显示Windows Server 2012 R2 和Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能。
报表访问权限
若要访问 Microsoft Defender 门户中的攻击面减少规则报告,需要以下权限:
权限名称 | 权限类型 |
---|---|
查看数据 | 安全性操作 |
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
若要分配这些权限,请执行以下作:
在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。
选择要编辑的角色,然后选择 “编辑”。
在 “编辑角色”的“ 常规 ”选项卡上的“ 角色名称”中,键入角色的名称。
在 “说明”中,键入角色的简要摘要。
在 “权限”中,选择“ 查看数据”,在“ 查看数据” 下选择“ 安全作”。
导航到攻击面减少规则报告
导航到攻击面减少规则报告的摘要卡
在导航窗格中,选择“ 报表”。 在“main”部分的“报表”下,选择“安全报告”。
向下滚动到 “设备” ,找到 “攻击面减少规则 ”摘要卡片。 ASR 规则的摘要报表卡如下图所示:
ASR 规则报告摘要卡
ASR 规则报告摘要分为两个卡片:
ASR 规则检测摘要卡
ASR 规则检测摘要卡显示 ASR 规则阻止的检测到的威胁数的摘要。 此卡包括两个作按钮:
- 查看检测:打开“ 检测 ”选项卡
- 添加排除项:打开 “排除项 ”选项卡
选择卡顶部的 ASR 规则检测链接还会打开“main攻击面减少规则”“检测”选项卡。
ASR 规则配置摘要卡
顶部部分重点介绍三个建议的规则,这些规则可防止常见的攻击技术。 此卡显示组织中具有以下三个 (ASR 的计算机的当前状态信息,这些计算机) 标准保护规则设置为“阻止模式”、“审核模式”或“关闭”, (未) 配置。 “ 保护设备 ”按钮仅显示三个规则的完整配置详细信息;客户可以快速采取措施来启用这些规则。
底部部分根据每个规则的未受保护的设备数显示六个规则。 “ 查看配置 ”按钮显示所有 ASR 规则的所有配置详细信息。 “ 添加排除项 ”按钮显示 “添加排除 ”页,其中列出了安全作中心 (SOC) 要评估的所有检测到的文件/进程名称。 “添加排除”页链接到Microsoft Intune。
卡还包括两个作按钮:
- 查看配置:打开“ 检测 ”选项卡
- 添加排除项:打开 “排除项 ”选项卡
选择卡顶部的 ASR 规则配置链接还会打开“main攻击面减少规则配置”选项卡。
简化的标准保护选项
配置摘要卡提供了一个按钮,用于使用三个标准保护规则保护设备。 至少,Microsoft建议启用以下三个攻击面减少标准保护规则:
- 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
- 阻止滥用被利用的易受攻击的已签名驱动程序
- 通过 Windows Management Instrumentation (WMI) 事件订阅阻止持久性
若要启用三个标准保护规则,请执行以下作:
选择 “保护设备”。 此时会打开“main配置”选项卡。
在“配置”选项卡上,“基本规则”会自动从“所有规则”切换到启用Standard保护规则。
在 “设备 ”列表中,选择要应用标准保护规则的设备,然后选择“ 保存”。
此卡有另外两个导航按钮:
- 查看配置:打开“ 配置 ”选项卡。
- 添加排除项:打开 “排除项 ”选项卡。
选择卡顶部的 ASR 规则配置链接还会打开“main攻击面减少规则配置”选项卡。
选项卡main攻击面减少规则
虽然 ASR 规则报告摘要卡有助于快速汇总 ASR 规则状态,但main选项卡提供了更深入的信息以及筛选和配置功能:
搜索功能
搜索功能将添加到“检测”、“配置”和“添加排除main选项卡。 使用此功能,可以使用设备 ID、文件名或进程名称进行搜索。
筛选
筛选提供了一种方法来指定返回的结果:
- 使用 Date 可以为数据结果指定日期范围。
- 筛选器
注意
按规则筛选时,报表下半部分列出的单个 检测到 的项目数目前限制为 200 个规则。 可以使用 “导出” 将检测的完整列表保存到 Excel。
提示
由于筛选器当前在此版本中正常运行,因此每次要“分组依据”时,必须首先向下滚动到列表中的最后一个检测,以加载完整的数据集。 加载完整的数据集后,可以启动“排序依据”筛选。 如果不向下滚动到每次使用时列出的最后一个检测,或者更改筛选选项 (例如,应用于当前筛选器的 ASR 规则运行) ,则对于具有列出检测的多个可查看页面的任何结果都不正确。
“检测”选项卡main攻击面减少规则
- 审核检测:显示在 审核 模式下设置的规则捕获的威胁检测数。
- 阻止的检测:显示 阻止模式下设置 的规则阻止了多少次威胁检测。
- 大型合并图:显示阻止和审核的检测。
图形提供所显示日期范围的检测数据,以及将鼠标悬停在特定位置以收集特定于日期的信息的功能。
报告的底部部分列出了检测到的威胁(基于每个设备)和以下字段:
字段名 | 定义 |
---|---|
检测到的文件 | 确定包含可能或已知威胁的文件 |
在 上检测到 | 检测到威胁的日期 |
已阻止/审核? | 特定事件的检测规则是处于“阻止”还是“审核”模式 |
Rule | 哪个规则检测到威胁 |
源应用 | 调用有问题的“检测到的文件”的应用程序 |
设备 | 发生审核或阻止事件的设备的名称 |
设备组 | 设备所属的 Active Directory 组 |
用户 | 负责呼叫的计算机帐户 |
Publisher | 发布特定 .exe 或应用程序的公司 |
有关 ASR 规则审核和阻止模式的详细信息,请参阅 攻击面减少规则模式。
可作浮出控件
“检测”main页列出了过去 30 天内 (文件/进程) 的所有检测。 选择任何检测以使用向下钻取功能打开。
“ 可能的排除和影响 ”部分提供所选文件或进程的效果。 可以执行下列操作:
- 选择“ 执行搜寻 ”,打开“高级搜寻”查询页
- 打开文件页将打开Microsoft Defender for Endpoint检测
- “添加排除”按钮与“添加排除main”页链接。
下图演示了“高级搜寻”查询页如何从可作浮出控件上的链接打开:
有关高级搜寻的详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁
“配置”选项卡main攻击面减少规则
“配置”选项卡main ASR 规则提供摘要和每个设备的 ASR 规则配置详细信息。 “配置”选项卡有三main方面:
基本规则 提供在 “基本规则” 和“ 所有规则”之间切换结果的方法。 默认情况下,选择 “基本规则 ”。
设备配置概述提供当前处于以下状态之一的设备快照:
- 所有公开的设备 (缺少先决条件、审核模式下的规则、配置错误的规则或未配置)
- 未配置规则的设备
- 处于审核模式且规则为的设备
- 规则处于块模式的设备
“配置”选项卡的下半部分未命名,其中列出了每个设备 (的当前状态,) :
- 设备 (名称)
- 总体配置 (任何规则是打开还是全部关闭)
- 块模式下的规则 (设置为阻止) 的每个设备的规则数
- 审核模式下的规则 (审核模式下的规则数)
- 关闭的规则 (已关闭或未启用的规则)
- 设备 ID (设备 GUID)
下图显示了这些元素。
若要启用 ASR 规则,请执行以下作:
[注意!] 如果设备需要应用不同的 ASR 规则,则应单独配置这些设备。
攻击面减少规则“添加排除项”选项卡
“ 添加排除 项”选项卡按文件名显示检测的排名列表,并提供配置排除项的方法。 默认情况下,将列出三个字段的 “添加排除 项”信息:
- 文件名:触发 ASR 规则事件的文件的名称。
- 检测:命名文件检测到的事件总数。 单个设备可以触发多个 ASR 规则事件。
- 设备:发生检测的设备数。
重要
排除文件或文件夹会严重降低 ASR 规则提供的保护。 允许运行排除的文件,并且不会记录任何报告或事件。 如果 ASR 规则正在检测你认为不应检测到的文件,则应 首先使用审核模式来测试规则。
选择文件时,将打开 “摘要 & 预期影响 ”浮出,其中显示以下类型的信息:
- 所选文件 - 已选择排除的文件数
- () 检测数 - 指出添加所选排除项后预期的检测减少。 检测的减少以图形形式表示 实际检测 和 排除后的检测。
- (受影响的) 设备数 - 指出报告所选排除项检测的设备的预期减少。
“添加排除”页有两个按钮,用于在选择) 后,可用于任何检测到的文件 (的作。 可以执行下列操作:
- 添加将打开Microsoft Intune ASR 策略页的排除项。 有关详细信息,请参阅“启用 ASR 规则备用配置方法”中的Intune。
- 获取 以 csv 格式下载文件路径的排除路径。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。