Zprovoznění pravidel omezení potenciální oblasti útoku

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Jakmile plně nasadíte pravidla omezení potenciální oblasti útoku, je důležité, abyste měli procesy pro monitorování aktivit souvisejících s ASR a reagování na ně. Mezi aktivity patří:

Správa pravidel ASR falešně pozitivních výsledků

K falešně pozitivním nebo negativním výsledkům může dojít u jakéhokoli řešení ochrany před hrozbami. Falešně pozitivní jsou případy, kdy je entita (například soubor nebo proces) zjištěna a identifikována jako škodlivá, i když entita ve skutečnosti není hrozbou. Naproti tomu falešně negativní je entita, která nebyla zjištěna jako hrozba, ale je škodlivá. Další informace o falešně pozitivních a falešně negativních výsledků najdete v tématu Řešení falešně pozitivních a negativních výsledků v Microsoft Defender for Endpoint

Udržování přehledu pravidel ASR

Konzistentní a pravidelné revize sestav je zásadním aspektem udržování nasazení pravidel omezení potenciální oblasti útoku a udržování přehledu o nově vznikajících hrozbách. Vaše organizace by měla mít naplánované kontroly událostí pravidel omezení potenciální oblasti útoku v četnosti, která bude aktuální s událostmi nahlášenými pravidly omezení potenciální oblasti útoku. V závislosti na velikosti vaší organizace můžou být kontroly denní, hodinové nebo průběžné monitorování.

Rozšířené proaktivní vyhledávání pravidel ASR

Jednou z nejvýkonnějších funkcí Microsoft Defender XDR je pokročilé vyhledávání. Pokud nemáte zkušenosti s pokročilým proaktivním vyhledáváním hrozeb.

Rozšířené proaktivní vyhledávání je nástroj pro vyhledávání hrozeb založený na dotazech (dotazovací jazyk Kusto), který umožňuje zkoumat zachycená data až za 30 dnů. Prostřednictvím rozšířeného proaktivního vyhledávání můžete proaktivně kontrolovat události, abyste našli zajímavé indikátory a entity. Flexibilní přístup k datům usnadňuje unconstrained proaktivní vyhledávání známých i potenciálních hrozeb.

Prostřednictvím rozšířeného proaktivního vyhledávání je možné extrahovat informace o pravidlech omezení potenciální oblasti útoku, vytvářet sestavy a získávat podrobné informace o kontextu daného auditování nebo události blokování pravidla omezení potenciální oblasti útoku.

Na události pravidla omezení potenciální oblasti útoku se můžete dotazovat z tabulky DeviceEvents v části rozšířeného proaktivního vyhledávání na portálu Microsoft Defender. Následující dotaz například ukazuje, jak hlásit všechny události, které mají jako zdroj dat pravidla omezení potenciální oblasti útoku za posledních 30 dnů. Dotaz pak sumarizuje podle hodnoty ActionType count s názvem pravidla omezení potenciální oblasti útoku.

Události omezení potenciální oblasti útoku zobrazené na portálu proaktivního proaktivního vyhledávání se omezují na jedinečné procesy, které se zobrazují každou hodinu. Čas události omezení potenciální oblasti útoku je první výskyt události v dané hodině.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Výše uvedené ukazuje, že pro AsrLsassCredentialTheft bylo zaregistrováno 187 událostí:

• 102 pro Blokované
• 85 pro auditované
• Dvě události pro AsrOfficeChildProcess (1 pro Audited a 1 pro Block)
• Osm událostí pro AsrPsexecWmiChildProcessAudited

Pokud se chcete zaměřit na pravidlo AsrOfficeChildProcess a získat podrobnosti o skutečných souborech a procesech, změňte filtr ActionType a nahraďte řádek souhrnu projekcí požadovaných polí (v tomto případě je to DeviceName, FileName, FolderPath atd.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

Skutečnou výhodou rozšířeného proaktivního vyhledávání je, že můžete dotazy tvarovat podle svých představ. Tvarováním dotazu můžete zobrazit přesný příběh toho, co se stalo, bez ohledu na to, jestli chcete něco přesně určit na jednotlivých počítačích, nebo chcete extrahovat přehledy z celého prostředí.

Další informace o možnostech proaktivního vyhledávání najdete v tématu : Demystifikace pravidel omezení potenciální oblasti útoku – část 3.

Články v této kolekci nasazení

Přehled nasazení pravidel omezení potenciální oblasti útoku

Plánování nasazení pravidel omezení potenciální oblasti útoku

Testování pravidel omezení potenciální oblasti útoku

Povolení pravidel omezení potenciální oblasti útoku

Referenční informace k pravidlu omezení potenciální oblasti útoku

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.