مشاركة عبر

اختبار قواعد تقليل الأجزاء المعرضة للهجوم

  • مقالة

ينطبق على:

يساعدك اختبار Microsoft Defender لنقطة النهاية قواعد تقليل الأجزاء المعرضة للهجوم على تحديد ما إذا كانت القواعد تعوق عمليات خط العمل قبل تمكين أي قاعدة. من خلال البدء بمجموعة صغيرة خاضعة للرقابة، يمكنك الحد من اضطرابات العمل المحتملة أثناء توسيع التوزيع عبر مؤسستك.

في هذا القسم من دليل توزيع قواعد تقليل الأجزاء المعرضة للهجوم، ستتعلم كيفية:

  • تكوين القواعد باستخدام Microsoft Intune
  • استخدام تقارير قواعد تقليل الأجزاء المعرضة للهجوم Microsoft Defender لنقطة النهاية
  • تكوين استثناءات قواعد تقليل الأجزاء المعرضة للهجوم
  • تمكين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام PowerShell
  • استخدام عارض الأحداث لأحداث قواعد تقليل الأجزاء المعرضة للهجوم

ملاحظة

قبل البدء في اختبار قواعد تقليل الأجزاء المعرضة للهجوم، يوصى أولا بتعطيل جميع القواعد التي قمت بتعيينها مسبقا إما للتدقيق أو التمكين (إن أمكن). راجع تقارير قواعد تقليل الأجزاء المعرضة للهجوم للحصول على معلومات حول استخدام تقرير قواعد تقليل الأجزاء المعرضة للهجوم لتعطيل قواعد تقليل الأجزاء المعرضة للهجوم.

ابدأ نشر قواعد تقليل الأجزاء المعرضة للهجوم باستخدام الحلقة 1.

خطوات اختبار تقليل الأجزاء المعرضة للهجوم (قواعد ASR) Microsoft Defender لنقطة النهاية. تدقيق قواعد تقليل الأجزاء المعرضة للهجوم، وتكوين استثناءات قواعد ASR. تكوين قواعد ASR Intune. استثناءات قواعد ASR. عارض أحداث قواعد ASR.

الخطوة 1: اختبار قواعد تقليل الأجزاء المعرضة للهجوم باستخدام التدقيق

ابدأ مرحلة الاختبار عن طريق تشغيل قواعد تقليل سطح الهجوم مع تعيين القواعد إلى Audit، بدءا من المستخدمين أو الأجهزة البطلة في الحلقة 1. عادة ما تكون التوصية هي تمكين جميع القواعد (في التدقيق) بحيث يمكنك تحديد القواعد التي يتم تشغيلها أثناء مرحلة الاختبار. لا تؤثر القواعد التي تم تعيينها على Audit بشكل عام على وظائف الكيان أو الكيانات التي يتم تطبيق القاعدة عليها ولكنها تنشئ أحداثا مسجلة للتقييم؛ لا يوجد أي تأثير على المستخدمين النهائيين.

تكوين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام Intune

يمكنك استخدام Microsoft Intune Endpoint Security لتكوين قواعد تقليل سطح الهجوم المخصصة.

  1. افتح مركز إدارة Microsoft Intune.

  2. انتقل إلىتقليل سطح هجومأمان> نقطة النهاية.

  3. حدد الإنشاء Policy.

  4. في النظام الأساسي، حدد Windows 10 Windows 11 وWindows Server، وفي ملف التعريف، حدد قواعد تقليل الأجزاء المعرضة للهجوم.

    صفحة إنشاء ملف التعريف لقواعد ASR

  5. حدد الإنشاء.

  6. في علامة التبويب Basics في جزء ملف تعريف الإنشاء، في Name أضف اسما للنهج الخاص بك. في الوصف ، أضف وصفا لنهج قواعد تقليل الأجزاء المعرضة للهجوم.

  7. في علامة التبويب إعدادات التكوين ، ضمن قواعد تقليل الأجزاء المعرضة للهجوم، قم بتعيين جميع القواعد إلى وضع التدقيق.

    تكوين قواعد تقليل الأجزاء المعرضة للهجوم إلى وضع التدقيق

    ملاحظة

    هناك تباينات في بعض قوائم وضع قواعد تقليل الأجزاء المعرضة للهجوم؛ يوفر كل من Blocked و Enabled نفس الوظيفة.

  8. [اختياري] في جزء علامات النطاق ، يمكنك إضافة معلومات العلامة إلى أجهزة معينة. يمكنك أيضا استخدام التحكم في الوصول استنادا إلى الدور وعلامات النطاق للتأكد من أن المسؤولين المناسبين لديهم حق الوصول والرؤية إلى عناصر Intune الصحيحة. تعرف على المزيد: استخدم التحكم في الوصول استنادا إلى الدور (RBAC) وعلامات النطاق ل تكنولوجيا المعلومات الموزعة في Intune.

  9. في جزء التعيينات ، يمكنك نشر ملف التعريف أو "تعيينه" إلى مجموعات المستخدمين أو الأجهزة. تعرف على المزيد: تعيين ملفات تعريف الأجهزة في Microsoft Intune

    ملاحظة

    يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.

  10. راجع الإعدادات في جزء Review + create . انقر فوق الإنشاء لتطبيق القواعد.

    صفحة ملف تعريف الإنشاء

يتم سرد نهج تقليل الأجزاء المعرضة للهجوم الجديد لقواعد تقليل الأجزاء المعرضة للهجوم في أمان نقطة النهاية | تقليل الأجزاء المعرضة للهجوم.

صفحة تقليل الأجزاء المعرضة للهجوم

الخطوة 2: فهم صفحة الإبلاغ عن قواعد تقليل الأجزاء المعرضة للهجوم في مدخل Microsoft Defender

تم العثور على صفحة الإبلاغ عن قواعد تقليل الأجزاء المعرضة للهجوم في مدخل> Microsoft Defender تقاريرقواعد تقليل الأجزاء المعرضة> للهجوم. تحتوي هذه الصفحة على ثلاث علامات تبويب:

  • المكتشفه
  • التكوين
  • إضافة استثناءات

علامة التبويب "الكشف"

يوفر مخططا زمنيا لمدة 30 يوما للتدقيق المكتشف والأحداث المحظورة.

رسم بياني يعرض بطاقة الكشف عن ملخصات تقارير قواعد تقليل الأجزاء المعرضة للهجوم.

يوفر جزء قواعد تقليل الأجزاء المعرضة للهجوم نظرة عامة على الأحداث المكتشفة على أساس كل قاعدة.

ملاحظة

هناك بعض الاختلافات في تقارير قواعد تقليل الأجزاء المعرضة للهجوم. تقوم Microsoft حاليا بتحديث سلوك تقارير قواعد تقليل الأجزاء المعرضة للهجوم لتوفير تجربة متسقة.

رسم بياني يعرض بطاقة تكوين ملخص تقرير قواعد تقليل الأجزاء المعرضة للهجوم.

حدد View detections لفتح علامة التبويب Detections .

لقطة شاشة تعرض ميزة البحث في تقرير قواعد تقليل الأجزاء المعرضة للهجوم.

يوفر جزءGroupBy و Filter الخيارات التالية:

يقوم GroupBy بإرجاع النتائج المعينة إلى المجموعات التالية:

  • لا يوجد تجميع
  • الملف المكتشف
  • التدقيق أو الحظر
  • القاعده
  • تطبيق المصدر
  • Device
  • User
  • Publisher

ملاحظة

عند التصفية حسب القاعدة، يقتصر عدد العناصر المكتشفة الفردية المدرجة في النصف السفلي من التقرير حاليا على 200 قاعدة. يمكنك استخدام تصدير لحفظ القائمة الكاملة من عمليات الكشف إلى Excel.

لقطة شاشة تعرض ميزة البحث في تقرير قواعد ASR في علامة تبويب التكوين.

يفتح عامل التصفية صفحة Filter on rules، والتي تمكنك من تحديد نطاق النتائج إلى قواعد تقليل سطح الهجوم المحددة فقط:

عامل تصفية اكتشافات قواعد تقليل الأجزاء المعرضة للهجوم على القواعد

ملاحظة

إذا كان لديك ترخيص Microsoft 365 Security E5 أو A5 أو Windows E5 أو A5، يفتح الارتباط التالي علامة التبويب اكتشافات تقليل الأجزاء المعرضة للهجوم Microsoft Defender 365 Reports >>.

علامة تبويب التكوين

القوائم - على أساس كل كمبيوتر - الحالة الإجمالية لقواعد تقليل الأجزاء المعرضة للهجوم: إيقاف التشغيل، والتدقيق، والكتلة.

لقطة شاشة تعرض علامة تبويب التكوين الرئيسية لتقرير قواعد تقليل الأجزاء المعرضة للهجوم.

في علامة التبويب Configurations، يمكنك التحقق، على أساس كل جهاز، من قواعد تقليل الأجزاء المعرضة للهجوم، وفي أي وضع، عن طريق تحديد الجهاز الذي تريد مراجعة قواعد تقليل سطح الهجوم له.

لقطة شاشة تعرض قواعد ASR المنبثقة لإضافة قواعد ASR إلى الأجهزة.

يفتح الارتباط بدء الاستخدام مركز إدارة Microsoft Intune، حيث يمكنك إنشاء نهج حماية نقطة النهاية أو تعديله لتقليل سطح الهجوم:

عنصر قائمة أمان نقطة النهاية *في صفحة نظرة عامة

في أمان نقطة النهاية | نظرة عامة، حدد تقليل الأجزاء المعرضة للهجوم:

تقليل سطح الهجوم في Intune

أمان نقطة النهاية | يفتح جزء تقليل الأجزاء المعرضة للهجوم:

جزء تقليل سطح هجوم أمان نقطة النهاية

ملاحظة

إذا كان لديك ترخيص Microsoft Defender 365 E5 (أو Windows E5؟)، فسيفتح هذا الارتباط علامة التبويب تكوينات Microsoft Defender 365 Reports > Attack surface reductions>.

إضافة استثناءات

توفر علامة التبويب هذه طريقة لتحديد الكيانات المكتشفة (على سبيل المثال، الإيجابيات الخاطئة) للاستبعاد. عند إضافة استثناءات، يقدم التقرير ملخصا للتأثير المتوقع.

ملاحظة

يتم احترام Microsoft Defender استثناءات مكافحة الفيروسات AV من خلال قواعد تقليل الأجزاء المعرضة للهجوم. راجع تكوين الاستثناءات والتحقق من صحتها استنادا إلى الملحق أو الاسم أو الموقع.

جزء استبعاد الملف المكتشف

ملاحظة

إذا كان لديك ترخيص Microsoft Defender 365 E5 (أو Windows E5؟)، فسيفتح هذا الارتباط علامة التبويب Microsoft Defender 365 Reports > Attack reductions >Exclusions.

لمزيد من المعلومات حول استخدام تقرير قواعد تقليل الأجزاء المعرضة للهجوم، راجع تقارير قواعد تقليل الأجزاء المعرضة للهجوم.

تكوين استثناءات تقليل الأجزاء المعرضة للهجوم لكل قاعدة

توفر قواعد تقليل الأجزاء المعرضة للهجوم الآن القدرة على تكوين الاستثناءات الخاصة بالقاعدة، والمعروفة باسم "الاستثناءات لكل قاعدة".

ملاحظة

لا يمكن تكوين الاستثناءات لكل قاعدة حاليا باستخدام PowerShell أو نهج المجموعة.

لتكوين استثناءات قاعدة معينة:

  1. افتح مركز إدارة Microsoft Intune، وانتقل إلى> HomeEndpoint security>Attack surface reduction.

  2. إذا لم يكن قد تم تكوينه بالفعل، فقم بتعيين القاعدة التي تريد تكوين الاستثناءات لها إلى Audit أو Block.

  3. في ASR فقط لكل استثناء قاعدة، انقر فوق التبديل للتغيير من غير مكون إلى مكون.

  4. أدخل أسماء الملفات أو التطبيق الذي تريد استبعاده.

  5. في أسفل معالج ملف تعريف الإنشاء، حدد التالي واتبع إرشادات المعالج.

لقطة شاشة تعرض إعدادات التكوين لإضافة استثناءات ASR لكل قاعدة.

تلميح

استخدم خانات الاختيار الموجودة بجانب قائمة إدخالات الاستبعاد لتحديد العناصر المراد حذفها أو فرزها أو استيرادها أو تصديرها.

استخدام PowerShell كطريقة بديلة لتمكين قواعد تقليل الأجزاء المعرضة للهجوم

يمكنك استخدام PowerShell - كبديل Intune - لتمكين قواعد تقليل الأجزاء المعرضة للهجوم في وضع التدقيق لعرض سجل للتطبيقات التي تم حظرها إذا تم تمكين الميزة بالكامل. يمكنك أيضا الحصول على فكرة عن عدد المرات التي يتم فيها إطلاق القواعد أثناء الاستخدام العادي.

لتمكين قاعدة تقليل سطح الهجوم في وضع التدقيق، استخدم PowerShell cmdlet التالي:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

أين <rule ID> هي قيمة GUID لقاعدة تقليل الأجزاء المعرضة للهجوم.

لتمكين جميع قواعد تقليل سطح الهجوم المضافة في وضع التدقيق، استخدم PowerShell cmdlet التالي:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

تلميح

إذا كنت ترغب في التدقيق الكامل لكيفية عمل قواعد تقليل الأجزاء المعرضة للهجوم في مؤسستك، فستحتاج إلى استخدام أداة إدارة لنشر هذا الإعداد على الأجهزة في شبكتك (شبكاتك).

يمكنك أيضا استخدام موفري خدمة تكوين نهج المجموعة أو Intune أو إدارة الأجهزة المحمولة (MDM) لتكوين الإعداد ونشره. تعرف على المزيد في مقالة قواعد تقليل الأجزاء المعرضة للهجوم الرئيسية.

استخدام Windows عارض الأحداث Review كبديل لصفحة إعداد تقارير قواعد تقليل الأجزاء المعرضة للهجوم في مدخل Microsoft Defender

لمراجعة التطبيقات التي كان سيتم حظرها، افتح عارض الأحداث وعامل التصفية لمعرف الحدث 1121 في سجل Microsoft-Windows-Windows Defender/Operational. يسرد الجدول التالي جميع أحداث حماية الشبكة.

معرف الحدث الوصف
5007 حدث عند تغيير الإعدادات
1121 حدث عندما يتم تشغيل قاعدة تقليل الأجزاء المعرضة للهجوم في وضع الحظر
1122 حدث عندما يتم إطلاق قاعدة تقليل الأجزاء المعرضة للهجوم في وضع التدقيق

نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم

تخطيط توزيع قواعد تقليل الأجزاء المعرضة للهجوم

تمكين قواعد تقليل الأجزاء المعرضة للهجوم

تفعيل قواعد تقليل الأجزاء المعرضة للهجوم

مرجع قواعد تقليل الأجزاء المعرضة للهجوم

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.