攻击面减少规则报告

适用于:

平台:

  • Windows

“攻击面减少规则”报告提供了对组织内设备上强制实施的规则的详细见解。 此外,此报表还提供以下信息:

  • 检测到的威胁
  • 阻止的威胁
  • 未配置为使用标准保护规则来阻止威胁的设备

此外,报表还提供了一个易于使用的界面,使你能够:

  • 查看威胁检测
  • 查看 ASR 规则的配置
  • 配置 (添加) 排除项
  • 向下钻取以收集详细信息

有关单个攻击面减少规则的详细信息,请参阅 攻击面减少规则参考

先决条件

重要

若要访问攻击面减少规则报告,Microsoft Defender门户需要读取权限。 若要在攻击面减少规则报告中显示Windows Server 2012 R2 和Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能

报表访问权限

若要访问 Microsoft Defender 门户中的攻击面减少规则报告,需要以下权限:

权限名称 权限类型
查看数据 安全性操作

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

若要分配这些权限,请执行以下作:

  1. 登录到Microsoft Defender门户

  2. 在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。

  3. 选择要编辑的角色,然后选择 “编辑”。

  4. “编辑角色”的“ 常规 ”选项卡上的“ 角色名称”中,键入角色的名称。

  5. “说明”中,键入角色的简要摘要。

  6. “权限”中,选择“ 查看数据”,在“ 查看数据” 下选择“ 安全作”。

导航到攻击面减少规则报告的摘要卡

  1. 打开Microsoft Defender门户

  2. 在导航窗格中,选择“ 报表”。 在“main”部分的“报表”下,选择“安全报告”。

  3. 向下滚动到 “设备” ,找到 “攻击面减少规则 ”摘要卡片。 ASR 规则的摘要报表卡如下图所示:

显示 ASR 规则报表摘要卡

ASR 规则报告摘要卡

ASR 规则报告摘要分为两个卡片:

ASR 规则检测摘要卡

ASR 规则检测摘要卡显示 ASR 规则阻止的检测到的威胁数的摘要。 此卡包括两个作按钮:

  • 查看检测:打开“ 检测 ”选项卡
  • 添加排除项:打开 “排除项 ”选项卡

显示 ASR 规则报告摘要检测卡的屏幕截图。

选择卡顶部的 ASR 规则检测链接还会打开“main攻击面减少规则”“检测”选项卡

ASR 规则配置摘要卡

顶部部分重点介绍三个建议的规则,这些规则可防止常见的攻击技术。 此卡显示组织中具有以下三个 (ASR 的计算机的当前状态信息,这些计算机) 标准保护规则设置为“阻止模式”、“审核模式”或“关闭”, (未) 配置。 “ 保护设备 ”按钮仅显示三个规则的完整配置详细信息;客户可以快速采取措施来启用这些规则。

底部部分根据每个规则的未受保护的设备数显示六个规则。 “ 查看配置 ”按钮显示所有 ASR 规则的所有配置详细信息。 “ 添加排除项 ”按钮显示 “添加排除 ”页,其中列出了安全作中心 (SOC) 要评估的所有检测到的文件/进程名称。 “添加排除”页链接到Microsoft Intune。

卡还包括两个作按钮:

  • 查看配置:打开“ 检测 ”选项卡
  • 添加排除项:打开 “排除项 ”选项卡

显示 ASR 规则报告摘要配置卡。

选择卡顶部的 ASR 规则配置链接还会打开“main攻击面减少规则配置”选项卡

简化的标准保护选项

配置摘要卡提供了一个按钮,用于使用三个标准保护规则保护设备。 至少,Microsoft建议启用以下三个攻击面减少标准保护规则:

若要启用三个标准保护规则,请执行以下作:

  1. 选择 “保护设备”。 此时会打开“main配置”选项卡。

  2. 在“配置”选项卡上,“基本规则”会自动从“所有规则”切换到启用Standard保护规则

  3. “设备 ”列表中,选择要应用标准保护规则的设备,然后选择“ 保存”。

此卡有另外两个导航按钮:

  • 查看配置:打开“ 配置 ”选项卡。
  • 添加排除项:打开 “排除项 ”选项卡。

选择卡顶部的 ASR 规则配置链接还会打开“main攻击面减少规则配置”选项卡

选项卡main攻击面减少规则

虽然 ASR 规则报告摘要卡有助于快速汇总 ASR 规则状态,但main选项卡提供了更深入的信息以及筛选和配置功能:

搜索功能

搜索功能将添加到“检测”、“配置”和“添加排除main选项卡。 使用此功能,可以使用设备 ID、文件名或进程名称进行搜索。

显示 ASR 规则报表搜索功能。

筛选

筛选提供了一种方法来指定返回的结果:

  • 使用 Date 可以为数据结果指定日期范围。
  • 筛选器

注意

按规则筛选时,报表下半部分列出的单个 检测到 的项目数目前限制为 200 个规则。 可以使用 “导出” 将检测的完整列表保存到 Excel。

提示

由于筛选器当前在此版本中正常运行,因此每次要“分组依据”时,必须首先向下滚动到列表中的最后一个检测,以加载完整的数据集。 加载完整的数据集后,可以启动“排序依据”筛选。 如果不向下滚动到每次使用时列出的最后一个检测,或者更改筛选选项 (例如,应用于当前筛选器的 ASR 规则运行) ,则对于具有列出检测的多个可查看页面的任何结果都不正确。

显示“配置”选项卡上的 ASR 规则报表搜索功能的屏幕截图。

“检测”选项卡main攻击面减少规则

  • 审核检测:显示在 审核 模式下设置的规则捕获的威胁检测数。
  • 阻止的检测:显示 阻止模式下设置 的规则阻止了多少次威胁检测。
  • 大型合并图:显示阻止和审核的检测。

显示“ASR 规则报告main检测”选项卡,其中概述了_Audit detections_和_Blocked detections_。

图形提供所显示日期范围的检测数据,以及将鼠标悬停在特定位置以收集特定于日期的信息的功能。

报告的底部部分列出了检测到的威胁(基于每个设备)和以下字段:

字段名 定义
检测到的文件 确定包含可能或已知威胁的文件
在 上检测到 检测到威胁的日期
已阻止/审核? 特定事件的检测规则是处于“阻止”还是“审核”模式
Rule 哪个规则检测到威胁
源应用 调用有问题的“检测到的文件”的应用程序
设备 发生审核或阻止事件的设备的名称
设备组 设备所属的 Active Directory 组
用户 负责呼叫的计算机帐户
Publisher 发布特定 .exe 或应用程序的公司

有关 ASR 规则审核和阻止模式的详细信息,请参阅 攻击面减少规则模式

可作浮出控件

“检测”main页列出了过去 30 天内 (文件/进程) 的所有检测。 选择任何检测以使用向下钻取功能打开。

显示 ASR 规则报表main“检测”选项卡浮出控件

可能的排除和影响 ”部分提供所选文件或进程的效果。 可以执行下列操作:

  • 选择“ 执行搜寻 ”,打开“高级搜寻”查询页
  • 打开文件页将打开Microsoft Defender for Endpoint检测
  • 添加排除”按钮与“添加排除main”页链接。

下图演示了“高级搜寻”查询页如何从可作浮出控件上的链接打开:

显示攻击面减少规则报告main检测选项卡浮出控件链接打开高级搜寻

有关高级搜寻的详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁

“配置”选项卡main攻击面减少规则

配置”选项卡main ASR 规则提供摘要和每个设备的 ASR 规则配置详细信息。 “配置”选项卡有三main方面:

基本规则 提供在 “基本规则” 和“ 所有规则”之间切换结果的方法。 默认情况下,选择 “基本规则 ”。

设备配置概述提供当前处于以下状态之一的设备快照:

  • 所有公开的设备 (缺少先决条件、审核模式下的规则、配置错误的规则或未配置)
  • 未配置规则的设备
  • 处于审核模式且规则为的设备
  • 规则处于块模式的设备

“配置”选项卡的下半部分未命名,其中列出了每个设备 (的当前状态,) :

  • 设备 (名称)
  • 总体配置 (任何规则是打开还是全部关闭)
  • 块模式下的规则 (设置为阻止) 的每个设备的规则数
  • 审核模式下的规则 (审核模式下的规则数)
  • 关闭的规则 (已关闭或未启用的规则)
  • 设备 ID (设备 GUID)

下图显示了这些元素。

显示“ASR 规则”报表main配置选项卡

若要启用 ASR 规则,请执行以下作:

  1. 在“ 设备”下,选择要为其应用 ASR 规则的一个或多个设备。

  2. 在浮出控件窗口中,验证你的选择,然后选择 “添加到策略”。 下图显示了 “配置 ”选项卡和 “添加规则 ”浮出控件。

    显示用于将 ASR 规则添加到设备的 ASR 规则浮出控件

[注意!] 如果设备需要应用不同的 ASR 规则,则应单独配置这些设备。

攻击面减少规则“添加排除项”选项卡

添加排除 项”选项卡按文件名显示检测的排名列表,并提供配置排除项的方法。 默认情况下,将列出三个字段的 “添加排除 项”信息:

  • 文件名:触发 ASR 规则事件的文件的名称。
  • 检测:命名文件检测到的事件总数。 单个设备可以触发多个 ASR 规则事件。
  • 设备:发生检测的设备数。

显示“ASR 规则报表添加排除项”选项卡。

重要

排除文件或文件夹会严重降低 ASR 规则提供的保护。 允许运行排除的文件,并且不会记录任何报告或事件。 如果 ASR 规则正在检测你认为不应检测到的文件,则应 首先使用审核模式来测试规则

选择文件时,将打开 “摘要 & 预期影响 ”浮出,其中显示以下类型的信息:

  • 所选文件 - 已选择排除的文件数
  • () 检测 - 指出添加所选排除项后预期的检测减少。 检测的减少以图形形式表示 实际检测排除后的检测
  • (受影响的) 设备 - 指出报告所选排除项检测的设备的预期减少。

“添加排除”页有两个按钮,用于在选择) 后,可用于任何检测到的文件 (的作。 可以执行下列操作:

  • 添加将打开Microsoft Intune ASR 策略页的排除项。 有关详细信息,请参阅“启用 ASR 规则备用配置方法”中的Intune
  • 获取 以 csv 格式下载文件路径的排除路径。

显示 ASR 规则报表“添加排除项”选项卡浮出控件影响摘要。

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区