إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تعد مراجعة الأحداث في عارض الأحداث مفيدة عند تقييم ميزات تقليل الأجزاء المعرضة للهجوم. على سبيل المثال، يمكنك تمكين وضع التدقيق للميزات أو الإعدادات، ثم مراجعة ما سيحدث إذا تم تمكينها بالكامل. يمكنك أيضا عرض تأثيرات ميزات تقليل الأجزاء المعرضة للهجوم عند تمكينها بالكامل.
توضح هذه المقالة كيفية استخدام Windows عارض الأحداث لعرض الأحداث من قدرات تقليل الأجزاء المعرضة للهجوم (ASR)، بما في ذلك:
- قواعد تقليل الأجزاء المعرضة للهجوم
- الوصول إلى المجلدات الخاضعة للتحكم
- الحماية من استغلال
- حماية الشبكة
لعرض أحداث تقليل الأجزاء المعرضة للهجوم، لديك الخيارات التالية كما هو موضح في بقية هذه المقالة:
- استعراض أحداث تقليل الأجزاء المعرضة للهجوم في Windows عارض الأحداث: كيفية الانتقال إلى أحداث تقليل الأجزاء المعرضة للهجوم في عارض الأحداث، ومعرفات الأحداث لكل إمكانية لتقليل سطح الهجوم.
- استخدم طرق العرض المخصصة في Windows عارض الأحداث لعرض أحداث تقليل الأجزاء المعرضة للهجوم: كيفية إنشاء طرق عرض مخصصة أو استيرادها لتصفية عارض الأحداث لإمكانيات ASR معينة وقوالب استعلام XML الجاهزة للاستخدام.
تلميح
يمكنك استخدام إعادة توجيه أحداث Windows لمركزية مجموعة أحداث تقليل الأجزاء المعرضة للهجوم من أجهزة متعددة.
يوفر مدخل Microsoft Defender أيضا تقارير عن ميزات تقليل الأجزاء المعرضة للهجوم التي يسهل استخدامها من Windows عارض الأحداث:
استعراض أحداث تقليل الأجزاء المعرضة للهجوم في Windows عارض الأحداث
توجد جميع أحداث تقليل الأجزاء المعرضة للهجوم في سجلات التطبيقات والخدمات. لعرض أحداث تقليل الأجزاء المعرضة للهجوم، قم بالخطوات التالية:
حدد بدء، واكتب عارض الأحداث، ثم اضغط على مفتاح الإدخال Enter لفتح عارض الأحداث.
في عارض الأحداث، قم بتوسيع سجلات التطبيقات والخدمات Microsoft>>Windows.
استمر في توسيع المسار لأنواع مختلفة من أحداث تقليل سطح الهجوم كما هو موضح في الأقسام الفرعية التالية.
ابحث عن الأحداث التي تريد رؤيتها وتصفيتها كما هو موضح في الأقسام الفرعية التالية.
أحداث قاعدة ASR
توجد أحداث قاعدة ASR في سجل التشغيل Windows Defender>:
| معرف الحدث | الوصف |
|---|---|
| 1121 | حدث عند تشغيل القاعدة في وضع الحظر |
| 1122 | حدث عندما يتم تشغيل القاعدة في وضع التدقيق |
| 1129 | حدث عندما يتجاوز المستخدم الكتلة في وضع التحذير |
| 5007 | حدث عند تغيير الإعدادات |
أحداث الوصول إلى المجلدات الخاضعة للرقابة
توجد أحداث الوصول إلى المجلدات الخاضعة للرقابة في Windows Defender>Operational.
| معرف الحدث | الوصف |
|---|---|
| 5007 | حدث عند تغيير الإعدادات |
| 1124 | حدث الوصول إلى المجلد المتحكم فيه المدقق |
| 1123 | حدث الوصول إلى المجلد المتحكم به المحظور |
| 1127 | حدث كتلة كتابة قطاع الوصول إلى المجلدات المحظورة |
| 1128 | حدث كتلة كتابة قطاع الوصول إلى المجلدات المتحكم فيه المدقق |
أحداث الحماية من الهجمات
توجد أحداث الحماية من الهجمات التالية فيوضع Kernelللتخفيف من> الأمان وسجلاتوضع المستخدمللتخفيف من> المخاطر الأمنية:
| معرف الحدث | الوصف |
|---|---|
| 1 | تدقيق ACG |
| 2 | فرض ACG |
| 3 | عدم السماح بمراجعة العمليات التابعة |
| 4 | عدم السماح بحظر العمليات التابعة |
| 5 | حظر تدقيق الصور منخفضة التكامل |
| 6 | حظر كتلة صور التكامل المنخفض |
| 7 | حظر تدقيق الصور البعيدة |
| 8 | حظر كتلة الصور البعيدة |
| 9 | تعطيل تدقيق مكالمات نظام Win32k |
| 10 | تعطيل كتلة مكالمات نظام win32k |
| 11 | حماية تكامل التعليمات البرمجية |
| 12 | كتلة حماية تكامل التعليمات البرمجية |
| 13 | تدقيق EAF |
| 14 | فرض EAF |
| 15 | تدقيق EAF+ |
| 16 | فرض EAF+ |
| 17 | تدقيق IAF |
| 18 | فرض IAF |
| 19 | تدقيق ROP StackPivot |
| 20 | فرض ROP StackPivot |
| 21 | تدقيق ROP CallerCheck |
| 22 | فرض ROP CallerCheck |
| 23 | تدقيق ROP SimExec |
| 24 | فرض ROP SimExec |
يقع حدث الحماية من الهجمات التالي في السجلالتشغيليWER-Diagnostics>:
| معرف الحدث | الوصف |
|---|---|
| 5 | كتلة CFG |
يقع حدث الحماية من الهجمات التالي في سجل التشغيل Win32k>:
| معرف الحدث | الوصف |
|---|---|
| 260 | خط غير موثوق به |
أحداث حماية الشبكة
تقع أحداث حماية الشبكة في Windows Defender>Operational.
| معرف الحدث | الوصف |
|---|---|
| 5007 | حدث عند تغيير الإعدادات |
| 1125 | حدث عند تشغيل حماية الشبكة في وضع التدقيق |
| 1126 | حدث عند تشغيل حماية الشبكة في وضع الحظر |
استخدام طرق العرض المخصصة في Windows عارض الأحداث لعرض أحداث تقليل الأجزاء المعرضة للهجوم
يمكنك إنشاء طرق عرض مخصصة في Windows عارض الأحداث لمشاهدة الأحداث فقط لإمكانيات تقليل سطح الهجوم المحددة. أسهل طريقة هي استيراد طريقة عرض مخصصة كملف XML. يمكنك أيضا نسخ XML مباشرة إلى عارض الأحداث.
للحصول على قوالب XML الجاهزة للاستخدام، راجع قسم قوالب XML المخصصة لأحداث تقليل الأجزاء المعرضة للهجوم .
استيراد طريقة عرض XML مخصصة موجودة
قم بإنشاء ملف .txt فارغ وانسخ XML للعرض المخصص الذي تريد استخدامه في ملف .txt. قم بهذه الخطوة لكل طريقة عرض مخصصة تريد استخدامها. أعد تسمية الملفات كما يلي (تأكد من تغيير النوع من .txt إلى .xml):
- طريقة عرض مخصصة لأحداث الوصول إلى المجلدات المتحكم بها: cfa-events.xml
- طريقة عرض مخصصة لأحداث الحماية من الهجمات: ep-events.xml
- عرض مخصص لأحداث تقليل الأجزاء المعرضة للهجوم: asr-events.xml
- طريقة عرض مخصصة لأحداث حماية الشبكة: np-events.xml
حدد بدء، واكتب عارض الأحداث، ثم اضغط على مفتاح الإدخال Enter لفتح عارض الأحداث.
حدد إجراء>استيراد طريقة عرض مخصصة...
انتقل إلى ملف XML للعرض المخصص الذي تريده وحدده.
حدد فتح.
عوامل تصفية طريقة العرض المخصصة لإظهار الأحداث المتعلقة بتلك الميزة فقط.
نسخ XML مباشرة
حدد بدء، واكتب عارض الأحداث، ثم اضغط على مفتاح الإدخال Enter لفتح عارض الأحداث.
في جزء Actions ، حدد Create Custom View...
انتقل إلى علامة التبويب XML وحدد تحرير الاستعلام يدويا. يشير التحذير إلى أنه لا يمكنك تحرير الاستعلام باستخدام علامة التبويب Filter عند استخدام خيار XML. حدد نعم.
الصق رمز XML للميزة التي تريد تصفية الأحداث منها في قسم XML.
حدد موافق. حدد اسما لعامل التصفية الخاص بك. عوامل تصفية طريقة العرض المخصصة لإظهار الأحداث المتعلقة بتلك الميزة فقط.
قوالب XML المخصصة لأحداث تقليل الأجزاء المعرضة للهجوم
XML لأحداث قاعدة تقليل الأجزاء المعرضة للهجوم
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML لأحداث الوصول إلى المجلدات الخاضعة للرقابة
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML لأحداث الحماية من الهجمات
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML لأحداث حماية الشبكة
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>