Sestava pravidel omezení potenciální oblasti útoku (ASR) na portálu Microsoft Defender

Sestava pravidel omezení potenciální oblasti útoku (ASR) poskytuje podrobné přehledy o pravidlech vynucovaná na zařízeních ve vaší organizaci. Příklady:

• Zjištěné hrozby.
• Blokované hrozby.
• Zařízení, která nejsou nakonfigurovaná tak, aby k blokování hrozeb používala standardní pravidla ochrany .

Sestava poskytuje snadno použitelné rozhraní, které umožňuje provádět následující úlohy:

• Zobrazení detekcí hrozeb
• Podívejte se na konfiguraci pravidel ASR.
• Přidání a správa vyloučení
• Shromážděte podrobné informace.

Další informace o pravidlech ASR najdete v tématu Přehled pravidel omezení potenciální oblasti útoku (ASR).

Požadavky

Podporované operační systémy

• Windows

  Aby se zařízení Windows Server 2012 R2 a Windows Server 2016 zobrazila v sestavě, musí být nasazená pomocí moderního balíčku sjednoceného řešení. Další informace najdete v tématu Nové funkce moderního sjednoceného řešení pro Windows Server 2012 R2 a 2016.

Přístupová oprávnění k sestavě

Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

• Microsoft Defender XDR Sjednocené řízení přístupu na základě rolí (RBAC):Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení).

• Oprávnění Defenderu for Endpoint (dostupná v organizacích vytvořených před únorem 2025): Zobrazeníoperací zabezpečenídat>

• Microsoft Entra oprávnění: Členství v rolích globálního správce^*, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

  Důležité

  Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Stránka sestavy Pravidla omezení potenciální oblasti útoku

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na kartu Sestavy>Koncové body na kartě >Pravidla omezení potenciální oblasti útoku. Nebo pokud chcete přejít přímo na stránku sestavy pravidla omezení potenciální oblasti útoku, použijte .https://security.microsoft.com/asr

Na stránce sestavy Pravidla omezení potenciální oblasti útoku jsou k dispozici následující karty:

• Detekcí
• Konfigurace
• Přidání vyloučení

Karta Detekce

Výchozí kartou stránky je karta Detekce . Pokud chcete přejít přímo na kartu Detekce v sestavě Pravidel omezení potenciální oblasti útoku , použijte nebo https://security.microsoft.com/asrhttps://security.microsoft.com/asr?viewid=detections.

Informace o pravidle ASR na stránce ve výchozím nastavení používají následující filtry:

• Pravidla: Hodnota Standardní ochrana je ve výchozím nastavení vybraná tak, aby zobrazovala data jenom pro standardní pravidla ochrany , ale můžete ji změnit na Vše , aby se zobrazovala data pro všechna pravidla ASR.

• Datum: Ve výchozím nastavení je vybraný rozsah dat za posledních 30 dnů, ale můžete změnit hodnoty Čas zahájení a Čas ukončení na rozsah za posledních 30 dnů.

• Vybrat pravidla^*: Ve výchozím nastavení je vybraná hodnota Any , ale můžete ji změnit na základě hodnoty filtru Pravidla :

  • Standardní ochrana: V rozevíracím seznamu vyberte jedno nebo více standardních pravidel ochrany.
  • Vše: V rozevíracím seznamu vyberte jedno nebo více pravidel ASR (včetně standardních pravidel ochrany).

Následující filtry navíc, které nejsou ve výchozím nastavení nakonfigurované, můžete použít tak, že vyberete Přidat filtr a pak vyberete z dostupných možností. Jakmile se filtr zobrazí v horní části karty, můžete pro něj nakonfigurovat výběry:

• Skupina^* zařízení: Vyberte jednu nebo více dostupných skupin zařízení.
• Blokované nebo auditované?: Vyberte Auditované nebo Blokované.

^* Když pro tento filtr vyberete všechny dostupné nebo žádné hodnoty, zobrazí se stejné výsledky.

Pokud chcete filtr odebrat, vyberte Vymazat. Pokud chcete obnovit všechny filtry, vyberte Obnovit vše.

Pod filtry a nad grafem se zobrazují následující informace:

• Detekce auditu: Počet detekcí hrozeb pravidly ASR v režimu auditování pomocí zadaných filtrů.

• Blokované detekce: Počet detekcí hrozeb pravidly ASR v režimu blokování pomocí zadaných filtrů.

  Další informace o režimu auditování a režimu blokování najdete v tématu Režimy pravidel ASR.

Graf zobrazuje auditované a blokované detekce za den ve vybraném rozsahu dat. Najetí myší na data pro konkrétní den zobrazíte počty auditů nebo bloků na základě aktuálních filtrů.

Tabulka podrobností pod grafem obsahuje následující informace:

• Zjištěný soubor: Soubor obsahující možnou nebo známou hrozbu.
• Zjištěno: Datum, kdy byla hrozba zjištěna.
• Blokované nebo auditované?: Určuje, jestli bylo pravidlo zjišťování pro konkrétní událost v režimu blokování nebo auditování .
• Pravidlo: Pravidlo, které zjistilo hrozbu.
• Zdrojová aplikace: Aplikace, která provedla volání zjištěného souboru.
• Zařízení: Název zařízení, ve kterém došlo k události Audit nebo Blokování .
• Skupina zařízení: Skupina zařízení, do které zařízení patří.
• Uživatel: Účet zodpovědný za otevření zjištěného souboruve zdrojové aplikaci (například SYSTEM pro účet NT AUTHORITY\SYSTEM).
• Vydavatel: Společnost, která aplikaci publikovala.

Vyberte záhlaví sloupce, které chcete seřadit podle této hodnoty.

Pole Hledat je k dispozici pro vyhledávání položek v tabulce podrobností podle ID zařízení, názvu souboru nebo názvu procesu.

Funkce GroupBy umožňuje seskupit informace v tabulce podrobností s následujícími možnostmi:

• Žádné seskupení (výchozí)
• Zjištěný soubor
• Auditovat nebo blokovat
• Pravidlo
• Zdrojová aplikace
• Device
• Skupina zařízení
• Uživatel
• Vydavatel

Tip

Pokud v současné době chcete použít GroupBy, musíte se posunout na poslední položku detekce v seznamu, aby se načetla úplná datová sada. Pak můžete použít GroupBy. V opačném případě jsou výsledky nesprávné pro všechny výsledky, které mají více než jednu zobrazitelnou stránku uvedených detekcí.

V současné době je počet jednotlivých zjištěných položek uvedených v tabulce podrobností omezený na 200 pravidel. Pomocí exportu uložte úplný seznam detekcí do souboru CSV.

Pokud chcete zobrazit všechna pravidla ASR aktivovaná v Defenderu for Endpoint Plan 2, použijte tabulku DeviceEvents v rozšířeném proaktivním vyhledávání.

Podrobnosti o zjištěném souboru

Když vyberete událost detekce z tabulky podrobností na kartě Detekce na stránce sestavyPravidla omezení potenciální oblasti útoku kliknutím na libovolném jiném řádku než zaškrtávací políčko vedle hodnoty Zjištěný soubor , otevře se informační panel Podrobnosti o souboru s následujícími informacemi:

• Oddíl Detekce :

  Tato část ukazuje menší verzi grafu na hlavní stránce filtrovanou podle detekce pravidel ASR pro soubor.

  V této části jsou k dispozici následující akce:

  • Přejít na vyhledávání: V Defenderu for Endpoint Plan 2 tato akce otevře stránku dotazu rozšířeného proaktivního vyhledávání se zjištěným názvem souboru zadaným v dotazu. Například pro soubor conhost.exevypadá dotaz takto:

    DeviceEvents
        | where Timestamp >= ago(1d)
        | where FileName == 'conhost.exe'
        | where ActionType startswith 'Asr'
        | extend ParsedFields=parse_json(AdditionalFields)
        | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
        | take 1000
    

    Další informace o rozšířeném proaktivním vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání v Microsoft Defender XDR.

  • Otevření stránky souboru: Otevře soubor na stránce entity souboru pro zjištěný soubor v Defenderu for Endpoint.

• Oddíl Možné vyloučení a dopad : Zobrazuje podrobnosti o detekci souboru pravidly ASR za posledních 30 dnů (celkový počet detekcí a procento).

• Přidat vyloučení v dolní části informačního rámečku otevře Centrum pro správu Microsoft Intune. Další informace o konfiguraci vyloučení pro pravidla ASR najdete v tématu Konfigurace pravidel a vyloučení oblasti útoku (ASR).

Karta Konfigurace

Pokud chcete přejít přímo na kartu Konfigurace na stránce sestavy Pravidla omezení potenciální oblasti útoku , použijte příkaz https://security.microsoft.com/asr?viewid=configuration.

Karta Konfigurace poskytuje souhrn a podrobnosti o konfiguraci pravidel ASR pro jednotlivá zařízení.

Pravidla umožňují filtrovat výsledky v části Přehled konfigurace zařízení . Ve výchozím nastavení je standardní ochrana vybraná tak, aby zobrazovala data jenom pro standardní pravidla ochrany , ale můžete přepnout na Vše a zobrazit data pro všechna pravidla ASR.

V části Přehled konfigurace zařízení se zobrazují součty pro stavy pravidel ASR na základě filtru Standardní ochrana nebo Vše :

• Všechna vystavená zařízení: Počet zařízení s nenakonfigurovanými pravidly ASR.
• Počet zařízení s nenakonfigurovanými pravidly
• Počet zařízení s pravidly v režimu auditování
• Počet zařízení s pravidly v režimu blokování

Tabulka podrobností obsahuje následující informace o každém ovlivněném zařízení:

• Zařízení: Název zařízení.

• Celková konfigurace: Shrnuje podmínky všech pravidel ASR na zařízení. Příklady:

  • Pravidla v režimu blokování: Některá pravidla na zařízení jsou v režimu blokování .
  • Vypnutá pravidla: Některá pravidla v zařízení jsou vypnutá.

• Pravidla v režimu blokování

• Pravidla v režimu auditování

• Pravidla v režimu upozornění

  Další informace o různých režimech pravidel ASR najdete v tématu Režimy pravidel ASR.

• Vypnutá pravidla

• Nepoužitelná pravidla: Například pravidlo Blokovat vytvoření webového prostředí pro servery na klientských pracovních stanicích.

• Unknown (neznámý)

• ID zařízení: Jedinečný identifikátor hodnoty hash SHA-1 pro zařízení v Microsoft Defender for Endpoint. Další informace najdete v tématu Typ prostředku počítače.

Vyberte záhlaví sloupce, které chcete seřadit podle této hodnoty.

Pomocí vyhledávacího pole vyhledejte konkrétní zařízení v tabulce podrobností podle hodnoty Id zařízení nebo zařízení. Podporují se částečné shody.

Podrobnosti o zařízení

Když vyberete položku zařízení z tabulky podrobností na kartě Konfigurace na stránce sestavy Pravidla omezení potenciální oblasti útoku kliknutím na libovolné místo v řádku, otevře se informační panel podrobností o zařízení s následujícími informacemi:

• Seznam všech dostupných pravidel ASR a jejich stavů na zařízení:

• Vypnuto

• Auditování

• Blokování

• Varovat

• Neuplatňuje se

• Přidat do zásad v dolní části informačního rámečku otevře Centrum pro správu Microsoft Intune. Další informace o různých způsobech konfigurace pravidel ASR najdete v tématu Metody nasazení a konfigurace pro pravidla ASR.

Karta Přidat vyloučení

Důležité

Vyloučení souborů nebo složek může výrazně snížit ochranu poskytovanou pravidly ASR. Vyloučené soubory se můžou spouštět a nezaznamenávají se žádné sestavy ani události.

Pokud pravidla ASR detekují soubory, o které se domníváte, že by se neměly detekovat, měli byste pravidlo přepnout do režimu auditování pro účely šetření.

Pokud chcete přejít přímo na kartu Přidat vyloučení na stránce sestavyPravidla omezení potenciální oblasti útoku , použijte https://security.microsoft.com/asr?viewid=exclusions.

Karta Přidat vyloučení obsahuje seznam detekce souborů podle pravidel ASR na všech zařízeních.

Filtr > Pravidla nebo filtr umožňují filtrovat výsledky na stránce. Ve výchozím nastavení je standardní ochrana vybraná tak, aby zobrazovala data jenom pro standardní pravidla ochrany , ale můžete přepnout na Vše a zobrazit data pro všechna pravidla ASR.

Tabulka podrobností obsahuje následující informace:

• Název souboru: Název souboru, který aktivoval událost pravidla ASR.
• Detekce: Celkový počet zjištěných událostí pro soubor. Jednotlivá zařízení můžou aktivovat více událostí pravidel ASR.
• Zařízení: Počet zařízení, u kterých k detekci došlo.

Vyberte záhlaví sloupce, které chcete seřadit podle této hodnoty.

Pomocí vyhledávacího pole vyhledejte položky podle názvu souboru.

Podokno souhrnu & očekávaného dopadu

Když vyberete jednu nebo více položek souboru z tabulky podrobností na kartě Přidat vyloučení v sestavě Pravidla omezení potenciální oblasti útoku zaškrtnutím políček vedle sloupce Název souboru , podokno Souhrn & očekávaného dopadu se vyplní informacemi a akcemi pro vybrané soubory:

• Oddíl Souhrn : Počet souborů, které jste vybrali.

• <n> oddíl Detekce : Co se stane s detekcemi pravidel ASR pro vybrané soubory, pokud je vyloučíte z pravidel ASR:

  • Kolik detekcí pravidel bude vyloučeno (<méně detekcí> po vyloučeních)
  • Graf znázorňující počet skutečných detekcí a detekcí po vyloučeních

• <n> oddíl ovlivněných zařízení: Co se stane s detekcemi pravidel ASR na zařízeních, pokud vybrané soubory vyloučíte z pravidel ASR:

  • <n> ovlivněných zařízení: Kolik zařízení bude ovlivněno (<n> zařízení po vyloučeních méně)
  • Graf znázorňující počet zařízení, u kterých se nadále zobrazují detekce a zařízení, která už detekci nemají.

• V dolní části podokna Souhrn & očekávaného dopadu jsou dostupné následující akce:

  • Přidat vyloučení: Otevře Centrum pro správu Microsoft Intune. Další informace o různých způsobech vyloučení souborů a složek z pravidel ASR najdete v tématu Vyloučení souborů a složek pro pravidla ASR.

  • Získání vybraných cest vyloučení: Vygeneruje AsrExclusionPaths.csv soubor s úplnými cestami k ovlivněným souborům ke stažení.

Související obsah

• Průvodce nasazením pravidel omezení potenciální oblasti útoku (OPOÚ)
• Plánování nasazení pravidel omezení potenciální oblasti útoku (ASR)
• Testování nasazení pravidel omezení potenciální oblasti útoku (ASR)
• Povolit pravidla omezení potenciální oblasti útoku (OPOÚ)
• Správa a monitorování nasazení pravidel omezení potenciální oblasti útoku (ASR)
• Reference pravidel omezení potenciální oblasti útoku (OPOÚ)