تقرير قواعد تقليل الأجزاء المعرضة للهجوم

  • ينطبق على: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

يوفر تقرير قواعد تقليل الأجزاء المعرضة للهجوم رؤى مفصلة حول القواعد المفروضة على الأجهزة داخل مؤسستك. علاوة على ذلك، يقدم هذا التقرير معلومات حول:

  • التهديدات المكتشفة
  • التهديدات المحظورة
  • الأجهزة التي لم يتم تكوينها لاستخدام قواعد الحماية القياسية لحظر التهديدات

بالإضافة إلى ذلك، يوفر التقرير واجهة سهلة الاستخدام تمكنك من:

  • عرض عمليات الكشف عن التهديدات
  • عرض تكوين قواعد ASR
  • تكوين (إضافة) استثناءات
  • التنقل لأسفل لجمع معلومات مفصلة

لعرض التقارير، لديك الخيارات التالية:

لمزيد من المعلومات حول قواعد تقليل سطح الهجوم الفردية، راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم.

المتطلبات الأساسية

  • للوصول إلى تقرير قواعد تقليل الأجزاء المعرضة للهجوم، يلزم أذونات القراءة لمدخل Microsoft Defender.
  • لكي يظهر Windows Server 2012 R2 و Windows Server 2016 في تقرير قواعد تقليل الأجزاء المعرضة للهجوم، يجب إلحاق هذه الأجهزة باستخدام حزمة الحلول الموحدة الحديثة. لمزيد من المعلومات، راجع وظائف جديدة في الحل الموحد الحديث Windows Server 2012 R2 و2016.

أنظمة التشغيل المدعومة

  • بالنسبة لنظام التشغيل

الإبلاغ عن أذونات الوصول

للوصول إلى تقرير قواعد تقليل الأجزاء المعرضة للهجوم في مدخل Microsoft Defender، يلزم توفر الأذونات التالية:

اسم الإذن نوع الإذن
عرض البيانات عمليات الأمان

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

لتعيين هذه الأذونات:

  1. سجل الدخول إلى مدخل Microsoft Defender.

  2. في جزء التنقل، حدد Settings>Endpoints>Roles (ضمن Permissions).

  3. حدد الدور الذي تريد تحريره، ثم حدد تحرير.

  4. في تحرير الدور، في علامة التبويب عام ، في اسم الدور، اكتب اسما للدور.

  5. في الوصف، اكتب ملخصا موجزا للدور.

  6. في Permissions، حدد View Data، وضمن View Data حدد Security operations.

<name='navigate-to-the-attack-surface-reduction-rules-report>

بطاقات ملخص تقرير ASR في قسم الأجهزة في تقرير الأمان

  1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى قسم >التقارير>العامةتقرير الأمان. أو، للانتقال مباشرة إلى صفحة تقارير الأمان، استخدم https://security.microsoft.com/reports.

  2. في صفحة تقارير الأمان، ابحث عن قسم الأجهزة الذي يحتوي على بطاقات ملخص تقرير قاعدة ASR:

إظهار بطاقات ملخص تقرير قواعد ASR

ينقسم ملخص تقرير قواعد ASR إلى بطاقتين:

بطاقة ملخص الكشف عن قواعد ASR

تعرض بطاقة ملخص اكتشافات قواعد ASR ملخصا لعدد التهديدات المكتشفة المحظورة بواسطة قواعد ASR. تتضمن هذه البطاقة زري إجراء:

  • عرض عمليات الكشف: فتح علامة التبويب "Detections "
  • إضافة استثناءات: فتح علامة التبويب الاستثناءات

لقطة شاشة تعرض بطاقة اكتشافات ملخص تقرير قواعد ASR.

يؤدي تحديد ارتباط اكتشافات قواعد ASR في أعلى البطاقة أيضا إلى فتح علامة التبويب اكتشافات قواعد تقليل الأجزاء المعرضة للهجوم الرئيسية.

بطاقة ملخص تكوين قواعد ASR

يركز القسم العلوي على ثلاث قواعد موصى بها، والتي تحمي من تقنيات الهجوم الشائعة. تعرض هذه البطاقة معلومات الحالة الحالية حول أجهزة الكمبيوتر في مؤسستك التي تحتوي على قواعد الحماية القياسية الثلاثة (ASR) التالية التي تم تعيينها في وضع الحظر أو وضع التدقيق أو إيقاف التشغيل (غير مكون). يعرض الزر حماية الأجهزة تفاصيل التكوين الكاملة للقواعد الثلاث فقط؛ يمكن للعملاء اتخاذ إجراء بسرعة لتمكين هذه القواعد.

يستعرض القسم السفلي ست قواعد استنادا إلى عدد الأجهزة غير المحمية لكل قاعدة. يعرض زر عرض التكوين جميع تفاصيل التكوين لجميع قواعد ASR. يعرض الزر إضافة استثناءات صفحة إضافة استبعاد مع جميع أسماء الملفات/العمليات المكتشفة المدرجة لمركز عمليات الأمان (SOC) لتقييمها. ترتبط صفحة Add exclusion ب Microsoft Intune.

تتضمن البطاقة أيضا زري إجراء:

  • عرض التكوين: يفتح علامة التبويب Detections
  • إضافة استثناءات: فتح علامة التبويب الاستثناءات

يعرض بطاقة تكوين ملخص تقرير قواعد ASR.

يؤدي تحديد ارتباط تكوين قواعد ASR في أعلى البطاقة أيضا إلى فتح علامة التبويب تكوين قواعد تقليل الأجزاء المعرضة للهجوم الرئيسية.

خيار حماية قياسية مبسطة

توفر بطاقة ملخص التكوين زرا لحماية الأجهزة باستخدام قواعد الحماية القياسية الثلاث. كحد أدنى، توصي Microsoft بتمكين قواعد الحماية القياسية للحد من الأجزاء المعرضة للهجوم الثلاثة هذه:

لتمكين قواعد الحماية القياسية الثلاث:

  1. حدد حماية الأجهزة. تفتح علامة تبويب التكوين الرئيسية.

  2. في علامة التبويب Configuration، يتم تبديل القواعد الأساسية تلقائيا من All rules إلى Standard تمكين قواعد الحماية.

  3. في قائمة الأجهزة ، حدد الأجهزة التي تريد تطبيق قواعد الحماية القياسية عليها، ثم حدد حفظ.

تحتوي هذه البطاقة على زري تنقل آخرين:

  • عرض التكوين: يفتح علامة التبويب Configuration .
  • إضافة استثناءات: يفتح علامة التبويب الاستثناءات .

يؤدي تحديد ارتباط تكوين قواعد ASR في أعلى البطاقة أيضا إلى فتح علامة التبويب تكوين قواعد تقليل الأجزاء المعرضة للهجوم الرئيسية.

صفحة تقرير قواعد تقليل الأجزاء المعرضة للهجوم

في حين أن بطاقات ملخص تقرير قواعد ASR مفيدة للحصول على ملخص سريع لحالة قواعد ASR، توفر علامات التبويب الرئيسية معلومات أكثر تعمقا مع إمكانات التصفية والتكوين:

في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى قسم >Reports>EndpointsAttack surface reduction rules. أو، للانتقال مباشرة إلى تقرير قواعد تقليل الأجزاء المعرضة للهجوم ، استخدم https://security.microsoft.com/asr

تتوفر علامات التبويب التالية في صفحة تقرير قواعد تقليل الأجزاء المعرضة للهجوم :

علامة تبويب عمليات الكشف الرئيسية لقواعد تقليل الأجزاء المعرضة للهجوم

للوصول مباشرة إلى علامة التبويب Detections في تقرير قواعد تقليل الأجزاء المعرضة للهجوم ، استخدم https://security.microsoft.com/asr?viewid=detections.

تحتوي علامة التبويب Detections على المعلومات التالية:

  • عمليات الكشف عن التدقيق: توضح عدد عمليات الكشف عن التهديدات التي يتم التقاطها بواسطة القواعد التي تم تعيينها في وضع التدقيق .

  • عمليات الكشف المحظورة: توضح عدد عمليات الكشف عن التهديدات التي تم حظرها بواسطة القواعد المعينة في وضع الحظر .

  • رسم بياني كبير ومدمج: يعرض عمليات الكشف المحظورة والمدققة.

    يعرض علامة تبويب الكشف الرئيسية لتقرير قواعد ASR، مع _Audit detections_ _Blocked detections_ الموضحة.

توفر الرسوم البيانية بيانات الكشف عبر نطاق التاريخ المعروض، مع إمكانية المرور فوق موقع معين لجمع معلومات خاصة بالتاريخ.

يسرد جدول التفاصيل التهديدات المكتشفة - على أساس كل جهاز - مع الحقول التالية:

اسم الحقل التعريف
الملف المكتشف الملف الذي تم تحديده لاحتواء تهديد محتمل أو معروف
تم الكشف عنه في تاريخ اكتشاف التهديد
محظور/مدقق؟ ما إذا كانت قاعدة الكشف لحدث معين في وضع الحظر أو التدقيق
القاعده القاعدة التي اكتشفت التهديد
تطبيق المصدر التطبيق الذي أجرى الاستدعاء إلى "الملف المكتشف" المخالف
Device اسم الجهاز الذي حدث عليه حدث التدقيق أو الحظر
مجموعة الأجهزة مجموعة Active Directory التي ينتمي إليها الجهاز
User حساب الجهاز المسؤول عن المكالمة
Publisher الشركة التي أصدرت .exe أو التطبيق المحدد

لمزيد من المعلومات حول أوضاع تدقيق قاعدة ASR والحظر، راجع أوضاع قاعدة تقليل الأجزاء المعرضة للهجوم.

يتوفر مربع البحث للبحث في الإدخالات حسب معرف الجهاز أو اسم الملف أو اسم العملية.

يمكنك تصفية المعلومات على علامة التبويب عن طريق تحديد إضافة عامل تصفية، ثم التحديد من الخيارات المتوفرة. بعد عرض عامل التصفية في أعلى علامة التبويب، يمكنك تكوين التحديدات له:

  • القواعد: حدد Standard الحماية أو الكل.

  • التاريخ: حدد تاريخ بدء يصل إلى 30 يوما.

  • تحديد القواعد: حدد واحدة أو أكثر من القواعد التالية:

    • حظر الاستمرارية من خلال اشتراك حدث WMI
    • حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)
    • حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال

    تلميح

    لعرض جميع القواعد التي تم تشغيلها، استخدم جدول DeviceEvents في التتبع المتقدم.

    حاليا، يقتصر عدد العناصر المكتشفة الفردية المدرجة في جدول التفاصيل على 200 قاعدة. استخدم Export لحفظ القائمة الكاملة للكشف إلى ملف CSV.

  • مجموعة الأجهزة: حدد مجموعة أجهزة متوفرة.

  • محظور/مدقق؟: حدد Audited أو Blocked.

يتوفر GroupBy في جدول التفاصيل مع الخيارات التالية:

  • لا يوجد تجميع
  • الملف المكتشف
  • التدقيق أو الحظر
  • القاعده
  • تطبيق المصدر
  • Device
  • مجموعة الأجهزة
  • User
  • Publisher

تلميح

حاليا، لاستخدام GroupBy، تحتاج إلى التمرير إلى إدخال الكشف الأخير في القائمة لتحميل مجموعة البيانات الكاملة. ثم يمكنك استخدام GroupBy. وإلا، تكون النتائج غير صحيحة لأي نتيجة تحتوي على أكثر من صفحة واحدة قابلة للعرض من الاكتشافات المدرجة.

القائمة المنبثقة القابلة للتنفيذ

تحتوي الصفحة الرئيسية "الكشف" على قائمة بجميع عمليات الكشف (الملفات/العمليات) في آخر 30 يوما. حدد أيا من عمليات الكشف لفتحها باستخدام قدرات التنقل لأسفل.

إظهار القائمة المنبثقة لعلامة تبويب الكشف الرئيسية لتقرير قواعد ASR

يوفر قسم الاستثناء والتأثير المحتمل تأثير الملف أو العملية المحددة. يمكنك:

  • حدد Go hunt الذي يفتح صفحة استعلام التتبع المتقدم.
  • تفتح صفحة الملف المفتوح Microsoft Defender لنقطة النهاية الكشف.
  • يرتبط الزر Add exclusion بصفحة إضافة استبعاد رئيسية.

توضح الصورة التالية كيفية فتح صفحة استعلام التتبع المتقدم من الارتباط الموجود في القائمة المنبثقة القابلة للتنفيذ:

إظهار ارتباط القائمة المنبثقة لعلامة تبويب الكشف الرئيسية لقواعد تقليل الأجزاء المعرضة للهجوم الذي يفتح Advanced Hunting

لمزيد من المعلومات حول التتبع المتقدم، راجع البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم في Microsoft Defender XDR

علامة تبويب التكوين الرئيسية لقواعد تقليل الأجزاء المعرضة للهجوم

للوصول مباشرة إلى علامة التبويب Configuration في تقرير قواعد تقليل الأجزاء المعرضة للهجوم ، استخدم https://security.microsoft.com/asr?viewid=configuration.

توفر علامة التبويب Configuration تفاصيل تكوين قواعد ASR الملخصة لكل جهاز. هناك ثلاثة جوانب رئيسية لعلامة تبويب التكوين:

  • القواعد الأساسية يوفر أسلوبا لتبديل النتائج بين القواعد الأساسيةوجميع القواعد. بشكل افتراضي، يتم تحديد القواعد الأساسية .
  • نظرة عامة على تكوين الجهاز يوفر لقطة حالية للأجهزة في إحدى الحالات التالية:
    • جميع الأجهزة المكشوفة (الأجهزة ذات المتطلبات الأساسية المفقودة أو القواعد في وضع التدقيق أو القواعد التي تم تكوينها بشكل خاطئ أو القواعد التي لم يتم تكوينها)
    • الأجهزة ذات القواعد التي لم يتم تكوينها
    • الأجهزة ذات القواعد في وضع التدقيق
    • الأجهزة ذات القواعد في وضع الحظر
  • يوفر القسم السفلي غير المسمى من علامة التبويب Configuration قائمة بالحالة الحالية للأجهزة (على أساس كل جهاز):
    • الجهاز (الاسم)
    • التكوين العام (سواء كانت أي قواعد قيد التشغيل أو جميعها متوقفة عن التشغيل)
    • القواعد في وضع الحظر (عدد القواعد لكل جهاز معين للحظر)
    • القواعد في وضع التدقيق (عدد القواعد في وضع التدقيق)
    • تم إيقاف تشغيل القواعد (القواعد التي تم إيقاف تشغيلها أو لم يتم تمكينها)
    • معرف الجهاز (معرف الجهاز الفريد العمومي)

إظهار علامة تبويب التكوين الرئيسي لتقرير قواعد ASR

لتمكين قواعد ASR:

  1. ضمن الجهاز، حدد الجهاز أو الأجهزة التي تريد تطبيق قواعد ASR عليها.

  2. في نافذة القائمة المنبثقة، تحقق من التحديدات الخاصة بك ثم حدد إضافة إلى النهج. تظهر علامة التبويب Configuration وإضافة قائمة منبثقة للقاعدة في الصورة التالية.

    إظهار قواعد ASR المنبثقة لإضافة قواعد ASR إلى الأجهزة

[ملاحظة!] إذا كانت لديك أجهزة تتطلب تطبيق قواعد ASR مختلفة، فيجب عليك تكوين هذه الأجهزة بشكل فردي.

يتوفر مربع البحث للبحث في الإدخالات حسب معرف الجهاز أو اسم الملف أو اسم العملية.

في أعلى علامة التبويب، يمكنك تصفية القواعد حسب Standard الحماية أو الكل.

علامة تبويب إضافة استثناءات لقواعد تقليل الأجزاء المعرضة للهجوم

للوصول مباشرة إلى علامة التبويب Add exclusions في تقرير قواعد تقليل الأجزاء المعرضة للهجوم ، استخدم https://security.microsoft.com/asr?viewid=exclusions.

تقدم علامة التبويب Add exclusions قائمة مرتبة من الاكتشافات حسب اسم الملف وتوفر طريقة لتكوين الاستثناءات. بشكل افتراضي، يتم سرد معلومات إضافة استثناءات لثلاثة حقول:

  • اسم الملف: اسم الملف الذي قام بتشغيل حدث قواعد ASR.
  • عمليات الكشف: العدد الإجمالي للأحداث المكتشفة للملف المسمى. يمكن للأجهزة الفردية تشغيل أحداث قواعد ASR متعددة.
  • الأجهزة: عدد الأجهزة التي حدث الكشف عليها.

يعرض تقرير قواعد ASR علامة تبويب إضافة استثناءات.

هام

يمكن أن يؤدي استبعاد الملفات أو المجلدات إلى تقليل الحماية التي توفرها قواعد ASR بشكل كبير. يسمح بتشغيل الملفات المستبعدة، ولا يتم تسجيل أي تقرير أو حدث. إذا كانت قواعد ASR تكتشف الملفات التي تعتقد أنه لا ينبغي الكشف عنها، فيجب عليك استخدام وضع التدقيق أولا لاختبار القاعدة.

عند تحديد ملف، يفتح ملخص & التأثير المتوقع ، ويعرض أنواع المعلومات التالية:

  • Files المحددة - عدد الملفات التي حددتها للاستبعاد
  • (عدد) عمليات الكشف - تنص على الانخفاض المتوقع في عمليات الكشف بعد إضافة الاستثناءات المحددة. يتم تمثيل الانخفاض في عمليات الكشف بشكل بياني للكشف الفعليوالكشف بعد الاستثناءات.
  • (عدد) الأجهزة المتأثرة - تنص على الانخفاض المتوقع في الأجهزة التي تبلغ عن عمليات الكشف عن الاستثناءات المحددة.

تحتوي صفحة إضافة استثناء على زرين للإجراءات التي يمكن استخدامها على أي ملفات تم اكتشافها (بعد التحديد). يمكنك:

  • أضف الاستبعاد الذي يفتح Microsoft Intune صفحة نهج ASR. لمزيد من المعلومات، راجع Intune في "تمكين أساليب التكوين البديلة لقواعد ASR."

  • احصل على مسارات الاستبعاد التي تقوم بتنزيل مسارات الملفات بتنسيق csv.

    يعرض تقرير قواعد ASR إضافة ملخص تأثير القائمة المنبثقة لعلامة تبويب الاستثناءات.

يتوفر مربع البحث للبحث في الإدخالات حسب معرف الجهاز أو اسم الملف أو اسم العملية.

حدد تصفية لتصفية القواعد حسب الحماية Standard أو الكل.

راجع أيضًا

  • Last updated on