Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Kontrola událostí v Prohlížeč událostí je užitečná, když vyhodnocujete funkce omezení potenciální oblasti útoku. Můžete například povolit režim auditování pro funkce nebo nastavení a pak zkontrolovat, co by se stalo, kdyby byly plně povolené. Můžete si také prohlédnout účinky funkcí redukce prostoru útoku, pokud jsou plně povolené.
Tento článek popisuje, jak používat Windows Prohlížeč událostí k zobrazení událostí z možností omezení potenciální oblasti útoku (ASR), mezi které patří:
- Pravidla pro omezení potenciální oblasti útoku
- Řízený přístup ke složkám
- Ochrana před zneužitím
- Ochrana sítě
Pokud chcete zobrazit události omezení potenciální oblasti útoku, máte následující možnosti, jak je vysvětleno ve zbývající části tohoto článku:
- Procházet události omezení potenciální oblasti útoku ve Windows Prohlížeč událostí: Jak přejít na události omezení potenciální oblasti útoku v Prohlížeč událostí a ID událostí pro jednotlivé možnosti omezení potenciální oblasti útoku.
- Použití vlastních zobrazení ve Windows Prohlížeč událostí k zobrazení událostí omezení potenciální oblasti útoku: Jak vytvořit nebo importovat vlastní zobrazení pro filtrování Prohlížeč událostí pro konkrétní funkce ASR a šablony dotazů XML připravené k použití.
Tip
Pomocí předávání událostí windows můžete centralizovat shromažďování událostí omezení potenciální oblasti útoku z více zařízení.
Portál Microsoft Defender také poskytuje sestavy pro funkce omezení potenciální oblasti útoku, které se snadněji používají než Windows Prohlížeč událostí:
Procházení událostí omezení potenciální oblasti útoku ve Windows Prohlížeč událostí
Všechny události omezení potenciální oblasti útoku se nacházejí v protokolech aplikací a služeb. Pokud chcete zobrazit události omezení potenciální oblasti útoku, proveďte následující kroky:
Vyberte Start, zadejte Prohlížeč událostí a stisknutím klávesy Enter otevřete Prohlížeč událostí.
V Prohlížeč událostí rozbalte Protokoly> aplikací a služebMicrosoft>Windows.
Pokračujte rozbalením cesty pro různé typy událostí omezení potenciální oblasti útoku, jak je popsáno v následujících pododdílech.
Vyhledejte a vyfiltrujte události, které chcete zobrazit, jak je popsáno v následujících pododdílech.
Události pravidel ASR
Události pravidla ASR se nacházejí vprovozním protokolu v programu Windows Defender>:
| ID události | Popis |
|---|---|
| 1121 | Událost, kdy se pravidlo aktivuje v režimu blokování |
| 1122 | Událost, kdy se pravidlo aktivuje v režimu auditování |
| 1129 | Událost, kdy uživatel přepíše blok v režimu upozornění |
| 5007 | Událost při změně nastavení |
Události řízeného přístupu ke složkě
Události řízeného přístupu ke složkách se nacházejí vprovozním programu Windows Defender>.
| ID události | Popis |
|---|---|
| 5007 | Událost při změně nastavení |
| 1124 | Událost auditovaného řízeného přístupu ke složkě |
| 1123 | Událost zablokovaného řízeného přístupu ke složkě |
| 1127 | Událost bloku zápisu blokovaného přístupového sektoru řízeného přístupu ke složkě |
| 1128 | Auditovaná událost bloku zápisu do sektoru řízeného přístupu ke složkě |
Události ochrany před zneužitím
Následující události ochrany před zneužitím se nacházejí v protokolechrežim jádrasecurity-mitigations> a uživatelskýrežimzabezpečení>:
| ID události | Popis |
|---|---|
| 1 | ACG audit |
| 2 | Vynucení ACG |
| 3 | Nepovolit audit podřízených procesů |
| 4 | Nepovolit blokování podřízených procesů |
| 5 | Blokovat audit obrázků s nízkou integritou |
| 6 | Blokování obrázků s nízkou integritou |
| 7 | Blokovat audit vzdálených obrázků |
| 8 | Blokování vzdálených imagí |
| 9 | Zakázat audit systémových volání win32k |
| 10 | Zakázání blokování systémových volání win32k |
| 11 | Audit ochrany integrity kódu |
| 12 | Blok ochrany integrity kódu |
| 13 | Audit EAF |
| 14 | Vynucení EAF |
| 15 | Audit EAF+ |
| 16 | Vynucování EAF+ |
| 17 | Audit IAF |
| 18 | Vynucení IAF |
| 19 | Audit ROP StackPivot |
| 20 | Vynucování ROP StackPivot |
| 21 | Caller ROPKontrola auditu |
| 22 | ROP CallerCheck enforce |
| 23 | Audit ROP SimExec |
| 24 | Vynucení ROP SimExec |
Následující událost ochrany před zneužitím se nachází vprovozním protokolu WER-Diagnostics>:
| ID události | Popis |
|---|---|
| 5 | Blok CFG |
Následující událost ochrany před zneužitím se nachází vprovozním protokolu Win32k>:
| ID události | Popis |
|---|---|
| 260 | Nedůvěryhodné písmo |
Události ochrany sítě
Události ochrany sítě se nacházejí vprovozním programu Windows Defender>.
| ID události | Popis |
|---|---|
| 5007 | Událost při změně nastavení |
| 1125 | Událost, kdy se ochrana sítě aktivuje v režimu auditování |
| 1126 | Událost, kdy se ochrana sítě aktivuje v režimu blokování |
Použití vlastních zobrazení ve Windows Prohlížeč událostí k zobrazení událostí omezení potenciální oblasti útoku
Ve Windows Prohlížeč událostí můžete vytvořit vlastní zobrazení, abyste viděli jenom události pro konkrétní možnosti omezení potenciální oblasti útoku. Nejjednodušší způsob je importovat vlastní zobrazení jako soubor XML. Kód XML můžete také zkopírovat přímo do Prohlížeč událostí.
Šablony XML připravené k použití najdete v části Vlastní šablony XML pro události omezení potenciální oblasti útoku .
Import existujícího vlastního zobrazení XML
Vytvořte prázdný .txt soubor a zkopírujte xml pro vlastní zobrazení, které chcete použít, do souboru .txt. Tento krok proveďte pro všechna vlastní zobrazení, která chcete použít. Přejmenujte soubory následujícím způsobem (nezapomeňte změnit typ z .txt na .xml):
- Vlastní zobrazení událostí řízeného přístupu ke složkě: cfa-events.xml
- Vlastní zobrazení událostí ochrany před zneužitím: ep-events.xml
- Vlastní zobrazení událostí omezení potenciální oblasti útoku: asr-events.xml
- Vlastní zobrazení událostí ochrany sítě: np-events.xml
Vyberte Start, zadejte Prohlížeč událostí a stisknutím klávesy Enter otevřete Prohlížeč událostí.
Vyberte akce>Import vlastního zobrazení...
Přejděte do souboru XML pro požadované vlastní zobrazení a vyberte ho.
Vyberte Otevřít.
Vlastní zobrazení filtruje pouze události související s danou funkcí.
Zkopírujte kód XML přímo.
Vyberte Start, zadejte Prohlížeč událostí a stisknutím klávesy Enter otevřete Prohlížeč událostí.
V podokně Akce vyberte Vytvořit vlastní zobrazení...
Přejděte na kartu XML a vyberte Upravit dotaz ručně. Upozornění značí, že při použití možnosti XML nemůžete upravit dotaz pomocí karty Filtr . Vyberte Ano.
Vložte kód XML pro funkci, ze které chcete filtrovat události, do oddílu XML.
Vyberte OK. Zadejte název filtru. Vlastní zobrazení filtruje pouze události související s danou funkcí.
Vlastní šablony XML pro události omezení potenciální oblasti útoku
XML pro události pravidla omezení potenciální oblasti útoku
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pro události řízeného přístupu ke složkům
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pro události ochrany před zneužitím
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML pro události ochrany sítě
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>