اختبار قواعد تقليل الأجزاء المعرضة للهجوم
ينطبق على:
يساعدك اختبار Microsoft Defender لنقطة النهاية قواعد تقليل الأجزاء المعرضة للهجوم على تحديد ما إذا كانت القواعد تعوق عمليات خط العمل قبل تمكين أي قاعدة. من خلال البدء بمجموعة صغيرة خاضعة للرقابة، يمكنك الحد من اضطرابات العمل المحتملة أثناء توسيع التوزيع عبر مؤسستك.
في هذا القسم من دليل توزيع قواعد تقليل الأجزاء المعرضة للهجوم، ستتعلم كيفية:
- تكوين القواعد باستخدام Microsoft Intune
- استخدام تقارير قواعد تقليل الأجزاء المعرضة للهجوم Microsoft Defender لنقطة النهاية
- تكوين استثناءات قواعد تقليل الأجزاء المعرضة للهجوم
- تمكين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام PowerShell
- استخدام عارض الأحداث لأحداث قواعد تقليل الأجزاء المعرضة للهجوم
ملاحظة
قبل البدء في اختبار قواعد تقليل الأجزاء المعرضة للهجوم، يوصى أولا بتعطيل جميع القواعد التي قمت بتعيينها مسبقا إما للتدقيق أو التمكين (إن أمكن). راجع تقارير قواعد تقليل الأجزاء المعرضة للهجوم للحصول على معلومات حول استخدام تقرير قواعد تقليل الأجزاء المعرضة للهجوم لتعطيل قواعد تقليل الأجزاء المعرضة للهجوم.
ابدأ نشر قواعد تقليل الأجزاء المعرضة للهجوم باستخدام الحلقة 1.
الخطوة 1: اختبار قواعد تقليل الأجزاء المعرضة للهجوم باستخدام التدقيق
ابدأ مرحلة الاختبار عن طريق تشغيل قواعد تقليل سطح الهجوم مع تعيين القواعد إلى Audit، بدءا من المستخدمين أو الأجهزة البطلة في الحلقة 1. عادة ما تكون التوصية هي تمكين جميع القواعد (في التدقيق) بحيث يمكنك تحديد القواعد التي يتم تشغيلها أثناء مرحلة الاختبار. لا تؤثر القواعد التي تم تعيينها على Audit بشكل عام على وظائف الكيان أو الكيانات التي يتم تطبيق القاعدة عليها ولكنها تنشئ أحداثا مسجلة للتقييم؛ لا يوجد أي تأثير على المستخدمين النهائيين.
تكوين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام Intune
يمكنك استخدام Microsoft Intune Endpoint Security لتكوين قواعد تقليل سطح الهجوم المخصصة.
انتقل إلىتقليل سطح هجومأمان> نقطة النهاية.
حدد الإنشاء Policy.
في النظام الأساسي، حدد Windows 10 Windows 11 وWindows Server، وفي ملف التعريف، حدد قواعد تقليل الأجزاء المعرضة للهجوم.
حدد الإنشاء.
في علامة التبويب Basics في جزء ملف تعريف الإنشاء، في Name أضف اسما للنهج الخاص بك. في الوصف ، أضف وصفا لنهج قواعد تقليل الأجزاء المعرضة للهجوم.
في علامة التبويب إعدادات التكوين ، ضمن قواعد تقليل الأجزاء المعرضة للهجوم، قم بتعيين جميع القواعد إلى وضع التدقيق.
ملاحظة
هناك تباينات في بعض قوائم وضع قواعد تقليل الأجزاء المعرضة للهجوم؛ يوفر كل من Blocked و Enabled نفس الوظيفة.
[اختياري] في جزء علامات النطاق ، يمكنك إضافة معلومات العلامة إلى أجهزة معينة. يمكنك أيضا استخدام التحكم في الوصول استنادا إلى الدور وعلامات النطاق للتأكد من أن المسؤولين المناسبين لديهم حق الوصول والرؤية إلى عناصر Intune الصحيحة. تعرف على المزيد: استخدم التحكم في الوصول استنادا إلى الدور (RBAC) وعلامات النطاق ل تكنولوجيا المعلومات الموزعة في Intune.
في جزء التعيينات ، يمكنك نشر ملف التعريف أو "تعيينه" إلى مجموعات المستخدمين أو الأجهزة. تعرف على المزيد: تعيين ملفات تعريف الأجهزة في Microsoft Intune
ملاحظة
يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.
راجع الإعدادات في جزء Review + create . انقر فوق الإنشاء لتطبيق القواعد.
يتم سرد نهج تقليل الأجزاء المعرضة للهجوم الجديد لقواعد تقليل الأجزاء المعرضة للهجوم في أمان نقطة النهاية | تقليل الأجزاء المعرضة للهجوم.
الخطوة 2: فهم صفحة الإبلاغ عن قواعد تقليل الأجزاء المعرضة للهجوم في مدخل Microsoft Defender
تم العثور على صفحة الإبلاغ عن قواعد تقليل الأجزاء المعرضة للهجوم في مدخل> Microsoft Defender تقاريرقواعد تقليل الأجزاء المعرضة> للهجوم. تحتوي هذه الصفحة على ثلاث علامات تبويب:
- المكتشفه
- التكوين
- إضافة استثناءات
علامة التبويب "الكشف"
يوفر مخططا زمنيا لمدة 30 يوما للتدقيق المكتشف والأحداث المحظورة.
يوفر جزء قواعد تقليل الأجزاء المعرضة للهجوم نظرة عامة على الأحداث المكتشفة على أساس كل قاعدة.
ملاحظة
هناك بعض الاختلافات في تقارير قواعد تقليل الأجزاء المعرضة للهجوم. تقوم Microsoft حاليا بتحديث سلوك تقارير قواعد تقليل الأجزاء المعرضة للهجوم لتوفير تجربة متسقة.
حدد View detections لفتح علامة التبويب Detections .
يوفر جزءGroupBy و Filter الخيارات التالية:
يقوم GroupBy بإرجاع النتائج المعينة إلى المجموعات التالية:
- لا يوجد تجميع
- الملف المكتشف
- التدقيق أو الحظر
- القاعده
- تطبيق المصدر
- Device
- User
- Publisher
ملاحظة
عند التصفية حسب القاعدة، يقتصر عدد العناصر المكتشفة الفردية المدرجة في النصف السفلي من التقرير حاليا على 200 قاعدة. يمكنك استخدام تصدير لحفظ القائمة الكاملة من عمليات الكشف إلى Excel.
يفتح عامل التصفية صفحة Filter on rules، والتي تمكنك من تحديد نطاق النتائج إلى قواعد تقليل سطح الهجوم المحددة فقط:
ملاحظة
إذا كان لديك ترخيص Microsoft 365 Security E5 أو A5 أو Windows E5 أو A5، يفتح الارتباط التالي علامة التبويب اكتشافات تقليل الأجزاء المعرضة للهجوم Microsoft Defender 365 Reports >>.
علامة تبويب التكوين
القوائم - على أساس كل كمبيوتر - الحالة الإجمالية لقواعد تقليل الأجزاء المعرضة للهجوم: إيقاف التشغيل، والتدقيق، والكتلة.
في علامة التبويب Configurations، يمكنك التحقق، على أساس كل جهاز، من قواعد تقليل الأجزاء المعرضة للهجوم، وفي أي وضع، عن طريق تحديد الجهاز الذي تريد مراجعة قواعد تقليل سطح الهجوم له.
يفتح الارتباط بدء الاستخدام مركز إدارة Microsoft Intune، حيث يمكنك إنشاء نهج حماية نقطة النهاية أو تعديله لتقليل سطح الهجوم:
في أمان نقطة النهاية | نظرة عامة، حدد تقليل الأجزاء المعرضة للهجوم:
أمان نقطة النهاية | يفتح جزء تقليل الأجزاء المعرضة للهجوم:
ملاحظة
إذا كان لديك ترخيص Microsoft Defender 365 E5 (أو Windows E5؟)، فسيفتح هذا الارتباط علامة التبويب تكوينات Microsoft Defender 365 Reports > Attack surface reductions>.
إضافة استثناءات
توفر علامة التبويب هذه طريقة لتحديد الكيانات المكتشفة (على سبيل المثال، الإيجابيات الخاطئة) للاستبعاد. عند إضافة استثناءات، يقدم التقرير ملخصا للتأثير المتوقع.
ملاحظة
يتم احترام Microsoft Defender استثناءات مكافحة الفيروسات AV من خلال قواعد تقليل الأجزاء المعرضة للهجوم. راجع تكوين الاستثناءات والتحقق من صحتها استنادا إلى الملحق أو الاسم أو الموقع.
ملاحظة
إذا كان لديك ترخيص Microsoft Defender 365 E5 (أو Windows E5؟)، فسيفتح هذا الارتباط علامة التبويب Microsoft Defender 365 Reports > Attack reductions >Exclusions.
لمزيد من المعلومات حول استخدام تقرير قواعد تقليل الأجزاء المعرضة للهجوم، راجع تقارير قواعد تقليل الأجزاء المعرضة للهجوم.
تكوين استثناءات تقليل الأجزاء المعرضة للهجوم لكل قاعدة
توفر قواعد تقليل الأجزاء المعرضة للهجوم الآن القدرة على تكوين الاستثناءات الخاصة بالقاعدة، والمعروفة باسم "الاستثناءات لكل قاعدة".
ملاحظة
لا يمكن تكوين الاستثناءات لكل قاعدة حاليا باستخدام PowerShell أو نهج المجموعة.
لتكوين استثناءات قاعدة معينة:
افتح مركز إدارة Microsoft Intune، وانتقل إلى> HomeEndpoint security>Attack surface reduction.
إذا لم يكن قد تم تكوينه بالفعل، فقم بتعيين القاعدة التي تريد تكوين الاستثناءات لها إلى Audit أو Block.
في ASR فقط لكل استثناء قاعدة، انقر فوق التبديل للتغيير من غير مكون إلى مكون.
أدخل أسماء الملفات أو التطبيق الذي تريد استبعاده.
في أسفل معالج ملف تعريف الإنشاء، حدد التالي واتبع إرشادات المعالج.
تلميح
استخدم خانات الاختيار الموجودة بجانب قائمة إدخالات الاستبعاد لتحديد العناصر المراد حذفها أو فرزها أو استيرادها أو تصديرها.
استخدام PowerShell كطريقة بديلة لتمكين قواعد تقليل الأجزاء المعرضة للهجوم
يمكنك استخدام PowerShell - كبديل Intune - لتمكين قواعد تقليل الأجزاء المعرضة للهجوم في وضع التدقيق لعرض سجل للتطبيقات التي تم حظرها إذا تم تمكين الميزة بالكامل. يمكنك أيضا الحصول على فكرة عن عدد المرات التي يتم فيها إطلاق القواعد أثناء الاستخدام العادي.
لتمكين قاعدة تقليل سطح الهجوم في وضع التدقيق، استخدم PowerShell cmdlet التالي:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
أين <rule ID>
هي قيمة GUID لقاعدة تقليل الأجزاء المعرضة للهجوم.
لتمكين جميع قواعد تقليل سطح الهجوم المضافة في وضع التدقيق، استخدم PowerShell cmdlet التالي:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
تلميح
إذا كنت ترغب في التدقيق الكامل لكيفية عمل قواعد تقليل الأجزاء المعرضة للهجوم في مؤسستك، فستحتاج إلى استخدام أداة إدارة لنشر هذا الإعداد على الأجهزة في شبكتك (شبكاتك).
يمكنك أيضا استخدام موفري خدمة تكوين نهج المجموعة أو Intune أو إدارة الأجهزة المحمولة (MDM) لتكوين الإعداد ونشره. تعرف على المزيد في مقالة قواعد تقليل الأجزاء المعرضة للهجوم الرئيسية.
استخدام Windows عارض الأحداث Review كبديل لصفحة إعداد تقارير قواعد تقليل الأجزاء المعرضة للهجوم في مدخل Microsoft Defender
لمراجعة التطبيقات التي كان سيتم حظرها، افتح عارض الأحداث وعامل التصفية لمعرف الحدث 1121 في سجل Microsoft-Windows-Windows Defender/Operational. يسرد الجدول التالي جميع أحداث حماية الشبكة.
معرف الحدث | الوصف |
---|---|
5007 | حدث عند تغيير الإعدادات |
1121 | حدث عندما يتم تشغيل قاعدة تقليل الأجزاء المعرضة للهجوم في وضع الحظر |
1122 | حدث عندما يتم إطلاق قاعدة تقليل الأجزاء المعرضة للهجوم في وضع التدقيق |
مقالات أخرى في مجموعة التوزيع هذه
نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم
تخطيط توزيع قواعد تقليل الأجزاء المعرضة للهجوم
تمكين قواعد تقليل الأجزاء المعرضة للهجوم
تفعيل قواعد تقليل الأجزاء المعرضة للهجوم
مرجع قواعد تقليل الأجزاء المعرضة للهجوم
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.