共用方式為

受攻擊面縮小規則報告

  • 發行項

適用於:

平臺:

  • Windows

「受攻擊面縮小規則」報告提供組織內裝置強制執行之規則的詳細見解。 此外,此報告提供下列相關信息:

  • 偵測到的威脅
  • 封鎖的威脅
  • 未設定為使用標準保護規則來封鎖威脅的裝置

此外,報表提供易於使用的介面,可讓您:

  • 檢視威脅偵測
  • 檢視 ASR 規則的設定
  • 設定 (新增) 排除專案
  • 向下切入以收集詳細資訊

如需個別受攻擊面縮小規則的詳細資訊,請參閱 受攻擊面縮小規則參考

必要條件

重要事項

若要存取受攻擊面縮小規則報告,Microsoft Defender 入口網站需要讀取許可權。 若要 Windows Server 2012 R2 和 Windows Server 2016 出現在受攻擊面縮小規則報告中,這些裝置必須使用新式整合解決方案套件上線。 如需詳細資訊,請參閱適用於 Windows Server 2012 R2 和 2016 的新式整合解決方案中的新功能

報表訪問許可權

若要在 Microsoft Defender 入口網站中存取受攻擊面縮小規則報告,需要下列許可權:

許可權名稱 許可權類型
檢視數據 安全性作業

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

若要指派這些許可權:

  1. 登入 Microsoft Defender 入口網站

  2. 在瀏覽窗格中,選>取 [許可權) ] 底下的 [設定端點>角色 (]。

  3. 選取您想要編輯的角色,然後選取 [ 編輯]

  4. [編輯角色] 的 [ 一般 ] 索引標籤上,於 [ 角色名稱] 中輸入角色的名稱。

  5. 在 [ 描述] 中,輸入角色的簡短摘要。

  6. 在 [ 許可權] 中,選 取 [檢視數據],然後在 [ 檢視數據 ] 底下選取 [安全性作業]

流覽至受攻擊面縮小規則報告的摘要卡片

  1. 開啟 Microsoft Defender 入口網站

  2. 在瀏覽窗格中,選取 [ 報表]。 在主要區段的 [ 報告] 底下,選取 [ 安全性報告]

  3. 向下捲動至 [裝置 ] 以尋找 受攻擊面縮小規則 摘要卡片。 ASR 規則的摘要報表卡片如下圖所示:

顯示 ASR 規則報表摘要卡片

ASR 規則報告摘要卡片

ASR 規則報告摘要分成兩張卡片:

ASR 規則偵測摘要卡片

ASR 規則偵測摘要卡片會顯示 ASR 規則封鎖的偵測到威脅數目摘要。 此卡片包含兩個動作按鈕:

  • 檢視偵測:開啟 [偵測] 索引標籤
  • 新增排除項目:開啟 [排除] 索引標籤

顯示 ASR 規則報告摘要偵測卡片的螢幕快照。

選取卡片頂端 的 [ASR 規則偵測 ] 連結,也會開啟 [主要 攻擊面縮小規則偵測] 索引標籤

ASR 規則設定摘要卡片

上一節著重於三個建議的規則,以防範常見的攻擊技術。 此卡片會顯示組織中計算機的目前狀態資訊,這些計算機具有下列 三 (ASR) 未設定) 設定的 封鎖模式稽核模式或 (關閉 標準保護規則。 [ 保護裝置] 按鈕只會顯示三個規則的完整設定詳細數據;客戶可以快速採取動作來啟用這些規則。

底端區段會根據每個規則未受保護的裝置數目呈現六個規則。 [ 檢視設定] 按鈕會顯示所有 ASR 規則的所有設定詳細資料。 [ 新增排除 專案] 按鈕會顯示 [新增排除 ] 頁面,其中列出所有偵測到的檔案/進程名稱,以供資訊安全作業中心 (SOC) 進行評估。 [新增排除] 頁面會連結至 Microsoft Intune。

卡片也包含兩個動作按鈕:

  • 檢視組態:開啟 [偵測] 索引標籤
  • 新增排除項目:開啟 [排除] 索引標籤

顯示 ASR 規則報告摘要組態卡片。

選取卡片頂端的 [ASR 規則 設定] 連結,也會開啟 [主要 受攻擊面縮小規則設定] 索引標籤

簡化的標準保護選項

設定摘要卡片提供一個按鈕,以使用三個標準保護規則 來保護裝置 。 至少,Microsoft建議您啟用這三個受攻擊面縮小標準保護規則:

若要啟用三個標準保護規則:

  1. 取 [保護裝置]。 主要的 [ 組態] 索引 標籤隨即開啟。

  2. 在 [組態] 索引標籤上,[基本規則] 會自動從 [所有規則] 切換為 Standard 啟用保護規則

  3. 在 [ 裝置 ] 清單中,選取您要套用標準保護規則的裝置,然後選取 [ 儲存]

此卡片有兩個其他導覽按鈕:

  • 檢視組態:開啟 [ 組態] 索引 標籤。
  • 新增排除項目:開啟 [ 排除] 索引標籤

選取卡片頂端的 [ASR 規則 設定] 連結,也會開啟 [主要 受攻擊面縮小規則設定] 索引標籤

受攻擊面縮小規則主要索引標籤

雖然 ASR 規則報告摘要卡片有助於快速摘要 ASR 規則狀態,但主要索引標籤會提供更深入的信息與篩選和設定功能:

搜尋功能

搜尋功能會新增至 [偵測]、[ 組態] 和 [ 新增排除 ] 主索引卷標。 透過這項功能,您可以使用裝置標識碼、檔名或進程名稱進行搜尋。

顯示 ASR 規則報表搜尋功能。

篩選

篩選可讓您指定傳回的結果:

  • Date 可讓您指定資料結果的日期範圍。
  • 篩選

注意事項

依規則篩選時,報表下半部所列的個別 偵測 項目數目目前限制為 200 個規則。 您可以使用 [匯 出] 將完整的偵測清單儲存至 Excel。

提示

因為篩選器目前在此版本中運作,所以每次您想要「分組依據」時,都必須先向下捲動到清單中的最後一個偵測,以載入完整的數據集。 載入完整的資料集之後,您可以接著啟動「排序依據」篩選。 如果您未向下卷動到每次使用時所列的最後一個偵測,或變更篩選選項時 (例如,套用至目前篩選條件的 ASR 規則會執行) ,則具有一個以上可檢視的已列出偵測頁面的任何結果結果都不正確。

顯示 [組態] 索引標籤上 ASR 規則報表搜尋功能的螢幕快照。

顯示受攻擊面縮小規則偵測規則篩選的螢幕快照。

受攻擊面縮小規則主要偵測索引標籤

  • 稽核偵測:顯示稽 核模式中 設定的規則所擷取的威脅偵測數目。
  • 封鎖的偵測:顯示 封鎖模式中 設定的規則會封鎖多少威脅偵測。
  • 大型合併圖表:顯示已封鎖和稽核的偵測。

顯示 ASR 規則報告主要偵測索引標籤,其中已概述_Audit detections_和_Blocked detections_。

圖形會在顯示的日期範圍上提供偵測數據,並可將滑鼠停留在特定位置上以收集日期特定資訊。

報表底部區段會列出每個裝置上偵測到的威脅,並包含下列欄位:

欄位名稱 定義
已偵測的檔案 判斷為包含可能或已知威脅的檔案
偵測到於 偵測到威脅的日期
已封鎖/已稽核? 特定事件的偵測規則是否處於封鎖或稽核模式
規則 偵測到威脅的規則
來源應用程式 呼叫違規「偵測到的檔案」的應用程式
裝置 發生稽核或封鎖事件的裝置名稱
裝置群組 裝置所屬的 Active Directory 群組
使用者 負責呼叫的電腦帳戶
發行者 發行特定 .exe 或應用程式的公司

如需 ASR 規則稽核和封鎖模式的詳細資訊,請參閱 受攻擊面縮小規則模式

可採取動作的飛出視窗

[偵測] 主頁面包含過去 30 天內 (檔案/進程) 的所有偵測清單。 選取任何偵測,以使用向下切入功能開啟。

顯示 ASR 規則報告主要偵測索引標籤飛出視窗

[ 可能的排除和影響 ] 區段會提供所選檔案或進程的效果。 您可以:

  • 取 [搜捕 ] 以開啟 [進階搜捕查詢] 頁面
  • 開啟檔案頁面會開啟 適用於端點的 Microsoft Defender 偵測
  • [新增排除] 按鈕會與 [新增排除] 主頁面連結。

下圖說明進階搜捕查詢頁面如何從可採取動作的飛出視窗上的連結開啟:

顯示攻擊面縮小規則報告主要偵測索引標籤飛出視窗連結開啟進階搜捕

如需進階搜捕的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅

受攻擊面縮小規則主要設定索引標籤

ASR 規則主要的 [ 設定] 索引 標籤會提供摘要和每個裝置的 ASR 規則設定詳細數據。 [組態] 索引標籤有三個主要層面:

基本規則 提供在 基本規則所有規則之間切換結果的方法。 默認會選取 [基本規則 ]。

裝置設定概觀 提供下列其中一種狀態的裝置目前快照集:

  • 所有公開的裝置 (缺少必要條件、稽核模式中的規則、設定錯誤的規則或未設定規則的裝置)
  • 未設定規則的裝置
  • 具有稽核模式規則的裝置
  • 具有封鎖模式規則的裝置

[組態] 索引標籤的下方未命名區段會提供每個裝置 (裝置目前狀態的清單) :

  • 裝置 (名稱)
  • 整體設定 (是否有任何規則開啟或全部關閉)
  • 封鎖模式中的規則 (每個裝置設定的規則數目,以封鎖)
  • 稽核模式中的規則 (稽核模式中的規則數目)
  • 已關閉 (關閉或未啟用的規則)
  • 裝置 GUID) (裝置識別碼

下圖顯示這些元素。

顯示 ASR 規則報表主要組態索引標籤

若要啟用 ASR 規則:

  1. 在 [ 裝置] 下,選取您要套用 ASR 規則的裝置。

  2. 在飛出視窗中,確認您的選取專案,然後選取 [ 新增至原則]。 下圖顯示 [ 組態 ] 索引標籤和 [新增規則 ] 飛出視窗。

    顯示 ASR 規則飛出視窗,以將 ASR 規則新增至裝置

[注意!] 如果您有需要套用不同 ASR 規則的裝置,您應該個別設定這些裝置。

受攻擊面縮小規則 新增排除範圍索引標籤

[ 新增排除專案] 索引標籤 會依檔名顯示偵測的排名清單,並提供設定排除的方法。 根據預設, 新增排除 資訊會列出三個字段:

  • 檔名:觸發 ASR 規則事件的檔名。
  • 偵測:針對具名檔案偵測到的事件總數。 個別裝置可以觸發多個 ASR 規則事件。
  • 裝置:發生偵測的裝置數目。

顯示 [ASR 規則] 報表的 [新增排除範圍] 索引卷標。

重要事項

排除檔案或資料夾可能會大幅降低 ASR 規則所提供的保護。 允許執行排除的檔案,而且不會記錄任何報表或事件。 如果 ASR 規則偵測到您認為不應該偵測到的檔案,您應該 先使用稽核模式來測試規則

當您選取檔案時,[ 摘要] & 預期的影響 飛出視窗隨即開啟,並呈現下列類型的資訊:

  • 選取 的檔案 - 您已選取要排除的檔案數目
  • () 偵測數目 - 說明新增選取的排除項目之後,預期的偵測減少。 在排除之後 ,實際偵 測和 偵測會以圖形方式表示偵測的減少。
  • (受影響) 裝置數目 - 指出報告所選排除專案偵測的裝置預期會減少。

[新增排除範圍] 頁面有兩個按鈕,可用於選取) 之後 (任何偵測到的檔案上的動作。 您可以:

  • 新增 Microsoft Intune ASR 原則頁面開啟的排除專案。 For more information, see Intune in "Enable ASR rules alternate configuration methods."
  • 取得以 csv 格式下載檔路徑的排除路徑。

顯示 ASR 規則報告新增排除專案索引標籤飛出窗口影響摘要。

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。