تفعيل قواعد تقليل الأجزاء المعرضة للهجوم

مقالة
04/26/2024

ينطبق على:

بعد نشر قواعد تقليل الأجزاء المعرضة للهجوم بالكامل، من الضروري أن يكون لديك عمليات لمراقبة الأنشطة المتعلقة ب ASR والاستجابة لها. وتشمل الأنشطة ما يلي:

إدارة قواعد ASR إيجابيات خاطئة

يمكن أن تحدث الإيجابيات/السلبيات الخاطئة مع أي حل للحماية من التهديدات. الإيجابيات الخاطئة هي الحالات التي يتم فيها الكشف عن كيان (مثل ملف أو عملية) وتحديده على أنه ضار، على الرغم من أن الكيان ليس في الواقع تهديدا. في المقابل، السلبية الخاطئة هي كيان لم يتم اكتشافه كتهديد ولكنه ضار. لمزيد من المعلومات حول الإيجابيات الخاطئة والسلبيات الكاذبة، راجع: معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية

مواكبة تقارير قواعد ASR

تعد المراجعة المتسقة والمنتظمة للتقارير جانبا أساسيا من الحفاظ على نشر قواعد تقليل الأجزاء المعرضة للهجوم ومواكبة التهديدات الناشئة حديثا. يجب أن يكون لدى مؤسستك مراجعات مجدولة لأحداث قواعد تقليل الأجزاء المعرضة للهجوم على إيقاع يواكب الأحداث التي تم الإبلاغ عنها عن قواعد تقليل الأجزاء المعرضة للهجوم. اعتمادا على حجم مؤسستك، قد تكون المراجعات يوميا أو كل ساعة أو مراقبة مستمرة.

قواعد ASR التتبع المتقدم

واحدة من أقوى ميزات Microsoft Defender XDR هو التتبع المتقدم. إذا لم تكن على دراية بالتتبع المتقدم، فشاهد: البحث بشكل استباقي عن التهديدات باستخدام التتبع المتقدم.

التتبع المتقدم هو أداة تتبع التهديدات المستندة إلى الاستعلام (Kusto Query Language) التي تتيح لك استكشاف ما يصل إلى 30 يوما من البيانات التي تم التقاطها. من خلال التتبع المتقدم، يمكنك فحص الأحداث بشكل استباقي من أجل تحديد المؤشرات والكيانات المثيرة للاهتمام. يسهل الوصول المرن إلى البيانات التتبع غير المقيد لكل من التهديدات المعروفة والمحتملة.

من خلال التتبع المتقدم، من الممكن استخراج معلومات قواعد تقليل الأجزاء المعرضة للهجوم، وإنشاء تقارير، والحصول على معلومات متعمقة حول سياق تدقيق قاعدة تقليل سطح الهجوم أو حدث الحظر.

يمكنك الاستعلام عن أحداث قاعدة تقليل الأجزاء المعرضة للهجوم من جدول DeviceEvents في قسم التتبع المتقدم في مدخل Microsoft Defender. على سبيل المثال، يوضح الاستعلام التالي كيفية الإبلاغ عن جميع الأحداث التي تحتوي على قواعد تقليل الأجزاء المعرضة للهجوم كمصدر بيانات، لآخر 30 يوما. ثم يلخص الاستعلام حسب عدد ActionType باسم قاعدة تقليل سطح الهجوم.

يتم تقييد أحداث تقليل الأجزاء المعرضة للهجوم في مدخل التتبع المتقدم للعمليات الفريدة التي تتم مشاهدتها كل ساعة. وقت حدث تقليل الأجزاء المعرضة للهجوم هو المرة الأولى التي ينظر فيها إلى الحدث في غضون تلك الساعة.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

يوضح ما سبق أنه تم تسجيل 187 حدثا ل AsrLsassCredentialTheft:

102 للحظر
85 للمدقق
حدثان ل AsrOfficeChildProcess (1 ل Audited و1 للكتلة)
ثمانية أحداث ل AsrPsexecWmiChildProcessAudited

إذا كنت تريد التركيز على قاعدة AsrOfficeChildProcess والحصول على تفاصيل حول الملفات والعمليات الفعلية المعنية، فقم بتغيير عامل التصفية ل ActionType واستبدل سطر التلخيص بإسقاط الحقول المطلوبة (في هذه الحالة هي DeviceName وFileName و FolderPath وما إلى ذلك).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

الفائدة الحقيقية من التتبع المتقدم هو أنه يمكنك تشكيل الاستعلامات على نحو يروق لك. من خلال تشكيل استعلامك، يمكنك مشاهدة القصة الدقيقة لما كان يحدث، بغض النظر عما إذا كنت تريد تحديد شيء ما على جهاز فردي، أو تريد استخراج رؤى من بيئتك بأكملها.

لمزيد من المعلومات حول خيارات التتبع، راجع: إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 3.