Share via

Sestava pravidel omezení potenciální oblasti útoku

  • Článek

Platí pro:

Platformy:

  • Windows

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Sestava pravidel omezení potenciální oblasti útoku poskytuje informace o pravidlech omezení potenciální oblasti útoku , která se použijí na zařízení ve vaší organizaci. Tato sestava obsahuje také informace o:

  • zjištěné hrozby
  • blokované hrozby
  • zařízení, která nejsou nakonfigurovaná tak, aby blokovala hrozby pomocí standardních pravidel ochrany

Kromě toho tato sestava poskytuje snadno použitelné rozhraní, které umožňuje:

  • Zobrazení detekcí hrozeb
  • Zobrazení konfigurace pravidel ASR
  • Konfigurace (přidání) vyloučení
  • Jednoduchá aktivace základní ochrany povolením tří nejvíce doporučených pravidel ASR pomocí jediného přepínače
  • Přejít k podrobnostem a shromáždit podrobné informace

Další informace o jednotlivých pravidlech omezení potenciální oblasti útoku najdete v tématu Referenční informace o pravidlech omezení potenciální oblasti útoku.

Požadavky

Důležité

Pro přístup k sestavě pravidel omezení potenciální oblasti útoku se pro portál Microsoft Defender vyžadují oprávnění ke čtení. Přístup k této sestavě udělený Microsoft Entra rolemi, jako jsou globální Správa zabezpečení nebo role zabezpečení, je zastaralý a v dubnu 2023 se odebere. Aby se Windows Server 2012 R2 a Windows Server 2016 zobrazily v sestavě pravidel omezení potenciální oblasti útoku, musí být tato zařízení nasazená pomocí moderního balíčku sjednoceného řešení. Další informace najdete v tématu Nové funkce moderního sjednoceného řešení pro Windows Server 2012 R2 a 2016.

Přístupová oprávnění k sestavě

Pro přístup k sestavě pravidel omezení potenciální oblasti útoku na řídicím panelu Zabezpečení Microsoftu 365 se vyžadují následující oprávnění:

Typ oprávnění Oprávnění Zobrazovaný název oprávnění
Application Machine.Read.All Read all machine profiles (Číst všechny profily počítačů)
Delegovaný (pracovní nebo školní účet) Machine.Read Čtení informací o počítači

Přiřazení těchto oprávnění:

  1. Přihlaste se k Microsoft Defender XDR pomocí účtu s přiřazenou rolí správce zabezpečení nebo Globální správce.
  2. V navigačním podokně vyberte Nastavení>Role koncových bodů>(v části Oprávnění).
  3. Vyberte roli, kterou chcete upravit.
  4. Vyberte Upravit.
  5. V části Upravit roli zadejte na kartě Obecné do pole Název role název role.
  6. Do pole Popis zadejte stručný souhrn role.
  7. V části Oprávnění vyberte Zobrazit data a v části Zobrazit data vyberte Omezení potenciální oblasti útoku.

Další informace o správě rolí uživatelů najdete v tématu Create a správa rolí pro řízení přístupu na základě rolí.

Přechod na souhrnné karty pro sestavu pravidel omezení potenciální oblasti útoku

  1. Otevřete portál Microsoft Defender XDR.
  2. Na levém panelu klikněte naSestavy a v hlavní části v části Sestavy vyberte Sestava zabezpečení.
  3. Posuňte se dolů k části Zařízení a vyhledejte karty se souhrnem pravidel omezení potenciální oblasti útoku .

Karty souhrnné sestavy pro pravidla ASR jsou znázorněny na následujícím obrázku.

Zobrazuje souhrnné karty sestavy pravidel ASR.

Souhrnné karty sestav pravidel ASR

Souhrn sestavy pravidel ASR je rozdělený na dvě karty:

Karta souhrnu detekce pravidel ASR

Zobrazuje souhrn počtu zjištěných hrozeb blokovaných pravidly ASR.

Poskytuje dvě tlačítka akce:

  • Zobrazení detekcí – otevře hlavní kartu Detekce pravidel> omezení potenciální oblasti útoku .
  • Přidání vyloučení – otevře hlavní kartu Pravidla >omezení potenciální oblasti útokuVyloučení.

Snímek obrazovky znázorňující kartu souhrnu detekce pravidel ASR

Kliknutím na odkaz Detekce pravidel ASR v horní části karty se také otevře hlavní karta Pravidla omezení útoku Detekce.

Karta souhrnu konfigurace pravidel ASR

Horní část se zaměřuje na tři doporučená pravidla, která chrání před běžnými technikami útoku. Tato karta zobrazuje informace o aktuálním stavu počítačů ve vaší organizaci, které mají následující standardní pravidla ochrany Tři (ASR) nastavená v režimu blokování, režimu auditování nebo vypnuto (není nakonfigurováno). Tlačítko Chránit zařízení zobrazí úplné podrobnosti o konfiguraci pouze pro tři pravidla. zákazníci můžou tato pravidla rychle povolit.

V dolní části se zobrazí šest pravidel na základě počtu nechráněných zařízení na pravidlo. Tlačítko Zobrazit konfiguraci zobrazí všechny podrobnosti o konfiguraci pro všechna pravidla ASR. Tlačítko Přidat vyloučení zobrazí stránku přidat vyloučení se seznamem všech zjištěných názvů souborů nebo procesů, které má security operation center (SOC) vyhodnotit. Stránka Přidat vyloučení je propojená s Microsoft Intune.

Poskytuje dvě tlačítka akce:

  • Zobrazení konfigurace – otevře hlavní kartu Detekce pravidel> omezení potenciální oblasti útoku .
  • Přidání vyloučení – otevře hlavní kartu Pravidla >omezení potenciální oblasti útokuVyloučení.

Zobrazuje souhrnnou konfigurační kartu sestavy pravidel ASR.

Kliknutím na odkaz na konfiguraci pravidel ASR v horní části karty se také otevře hlavní karta Omezení oblasti útoku – Konfigurace.

Zjednodušená možnost standardní ochrany

Souhrnná karta konfigurace poskytuje tlačítko Chránit zařízení pomocí tří standardních pravidel ochrany. Společnost Microsoft doporučuje povolit minimálně tato tři standardní pravidla ochrany proti potenciálnímu útoku:

Povolení tří standardních pravidel ochrany:

  1. Vyberte Chránit zařízení. Otevře se hlavní karta Konfigurace .
  2. Základní pravidla na kartě Konfigurace automaticky přepíná ze všech pravidel na Povolená standardní pravidla ochrany.
  3. V seznamu Zařízení vyberte zařízení, pro která chcete použít standardní pravidla ochrany, a pak vyberte Uložit.

Tato karta má dvě další navigační tlačítka:

  • Zobrazit konfiguraci – Otevře hlavní kartu Pravidla >omezení potenciální oblasti útoku Konfigurace.
  • Přidat vyloučení – Otevře hlavní kartu Pravidla> omezení potenciální oblasti útoku Vyloučení .

Kliknutím na odkaz na konfiguraci pravidel ASR v horní části karty se také otevře hlavní karta Omezení oblasti útoku – Konfigurace.

Hlavní karty pravidel omezení potenciální oblasti útoku

I když jsou souhrnné karty sestavy pravidel ASR užitečné pro rychlé shrnutí stavu pravidel ASR, hlavní karty poskytují podrobnější informace s možnostmi filtrování a konfigurace:

Možnosti vyhledávání

Funkce vyhledávání se přidá na hlavní karty Detekce, Konfigurace a Přidat vyloučení . Díky této funkci můžete vyhledávat pomocí ID zařízení, názvu souboru nebo názvu procesu.

Zobrazuje funkci hledání sestav pravidel ASR.

Filtrování

Filtrování poskytuje způsob, jak určit, jaké výsledky se mají vrátit:

  • Datum umožňuje určit rozsah dat pro výsledky dat.
  • Filtry

Poznámka

Při filtrování podle pravidla je počet jednotlivých zjištěných položek uvedených v dolní polovině sestavy aktuálně omezený na 200 pravidel. Úplný seznam detekcí můžete uložit do Excelu pomocí příkazu Exportovat .

Tip

Vzhledem k tomu, že filtr aktuálně funguje v této verzi, pokaždé, když chcete "seskupit podle", musíte nejprve přejít dolů na poslední detekci v seznamu, abyste načetli úplnou datovou sadu. Po načtení úplné sady dat pak můžete spustit filtrování "seřadit podle". Pokud se při každém použití nebo při změně možností filtrování (například pravidla ASR použitá pro aktuální spuštění filtru) nepřesouváte dolů, budou výsledky nesprávné pro každý výsledek, který obsahuje více než jednu zobrazitelnou stránku uvedených detekcí.

Snímek obrazovky znázorňující funkci vyhledávání sestav pravidel ASR na kartě konfigurace

Snímek obrazovky znázorňující filtry detekce pravidel omezení potenciální oblasti útoku na pravidla

Karta Hlavní detekce pravidel omezení potenciální oblasti útoku

  • Detekce auditu Ukazuje, kolik detekcí hrozeb bylo zachyceno pravidly nastavenými v režimu auditování .
  • Zablokované detekce Ukazuje, kolik detekcí hrozeb zablokovala pravidla nastavená v režimu blokování .
  • Velký, konsolidovaný graf Zobrazuje zablokované a auditované detekce.

Zobrazuje kartu hlavního zjišťování pravidel ASR s _Audit detections_ a _Blocked detections_.

Grafy poskytují data detekce v zobrazeném rozsahu kalendářních dat s možností najetí myší na konkrétní místo, aby se shromažďovaly informace o konkrétním datu.

Dolní část sestavy obsahuje seznam zjištěných hrozeb – na základě jednotlivých zařízení – s následujícími poli:

Název pole Vysvětlení
Zjištěný soubor Soubor obsahující možnou nebo známou hrozbu
Zjistilo se Datum zjištění hrozby
Blokované nebo auditované? Jestli bylo pravidlo zjišťování pro konkrétní událost v režimu blokování nebo auditování
Pravidlo Které pravidlo hrozbu zjistilo
Zdrojová aplikace Aplikace, která provedla volání do uráženého "zjištěného souboru"
Device Název zařízení, na kterém došlo k události auditování nebo blokování
Skupina zařízení Skupina služby Active Directory, do které zařízení patří
User Účet počítače zodpovědný za volání
Vydavatel Společnost, která vydala konkrétní .exe nebo aplikaci

Další informace o režimech auditování a blokování pravidel ASR najdete v tématu Režimy pravidel omezení potenciální oblasti útoku.

Akční informační panel

Hlavní stránka Detekce obsahuje seznam všech detekcí (souborů nebo procesů) za posledních 30 dnů. Vyberte některou z detekcí a otevřete ji s možnostmi přechodu k podrobnostem.

Zobrazuje informační panel hlavní karty pravidel ASR pro sestavy detekce.

Část Možné vyloučení a dopad poskytuje dopad vybraného souboru nebo procesu. Můžeš:

  • Vyberte Přejít proaktivně. Otevře se stránka dotazu rozšířeného proaktivního proaktivního vyhledávání.
  • Otevření stránky souboru se otevře Microsoft Defender for Endpoint zjišťování
  • Tlačítko Přidat vyloučení je propojené s hlavní stránkou přidat vyloučení.

Následující obrázek znázorňuje, jak se stránka dotazu rozšířeného proaktivního proaktivního vyhledávání otevře z odkazu na informačním rámečku s možností akce:

Zobrazuje informační odkaz na kartu Hlavní detekce pravidel omezení potenciální oblasti útoku, která otevírá rozšířené proaktivní vyhledávání.

Další informace o rozšířeném proaktivním vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání v Microsoft Defender XDR

Hlavní karta Konfigurace pravidel omezení potenciální oblasti útoku

Hlavní karta Konfigurace pravidel ASR poskytuje souhrnné podrobnosti o konfiguraci pravidel ASR pro jednotlivá zařízení. Karta Konfigurace má tři hlavní aspekty:

Základní pravidla Poskytuje metodu pro přepínání výsledků mezi základními pravidly a všechna pravidla. Ve výchozím nastavení je vybraná možnost Základní pravidla .

Přehled konfigurace zařízení Poskytuje aktuální snímek zařízení v jednom z následujících stavů:

  • Všechna vystavená zařízení (zařízení s chybějícími požadavky, pravidla v režimu auditování, chybně nakonfigurovaná pravidla nebo nenakonfigurovaná pravidla)
  • Zařízení s nenakonfigurovanými pravidly
  • Zařízení s pravidly v režimu auditování
  • Zařízení s pravidly v režimu blokování

Dolní, nepojmenovaná část karty Konfigurace obsahuje seznam aktuálního stavu vašich zařízení (na základě jednotlivých zařízení):

  • Zařízení (název)
  • Celková konfigurace (jestli jsou některá pravidla zapnutá nebo všechna vypnutá)
  • Pravidla v režimu blokování (počet pravidel na zařízení nastavených na blokování)
  • Pravidla v režimu auditování (počet pravidel v režimu auditování)
  • Pravidla jsou vypnutá (pravidla, která jsou vypnutá nebo nejsou povolená)
  • ID zařízení (IDENTIFIKÁTOR GUID zařízení)

Tyto prvky jsou znázorněny na následujícím obrázku.

Zobrazuje hlavní kartu konfigurace pravidel ASR.

Povolení pravidel ASR:

  1. V části Zařízení vyberte zařízení nebo zařízení, u kterých chcete použít pravidla ASR.
  2. V okně informačního rámečku ověřte vybrané možnosti a pak vyberte Přidat do zásady.

Karta Konfigurace a vysouvací panel přidat pravidlo jsou vidět na následujícím obrázku.

[POZNÁMKA!] Pokud máte zařízení, která vyžadují použití různých pravidel ASR, měli byste je nakonfigurovat jednotlivě.

Zobrazuje informační panel pravidel ASR pro přidání pravidel ASR do zařízení.

Karta Přidat vyloučení pro pravidla omezení potenciální oblasti útoku

Karta Přidat vyloučení zobrazuje seřazený seznam detekcí podle názvu souboru a poskytuje metodu konfigurace vyloučení. Ve výchozím nastavení jsou informace o vyloučeních přidání uvedené pro tři pole:

  • Název souboru Název souboru, který aktivoval událost pravidel ASR.
  • Detekcí Celkový počet zjištěných událostí pro pojmenovaný soubor Jednotlivá zařízení můžou aktivovat více událostí pravidel ASR.
  • Zařízení Počet zařízení, na kterých k detekci došlo.

Zobrazuje kartu pro přidání vyloučení v sestavě pravidel ASR.

Důležité

Vyloučení souborů nebo složek může výrazně snížit ochranu poskytovanou pravidly ASR. Vyloučené soubory se můžou spouštět a žádná sestava ani událost se nezaznamená. Pokud pravidla ASR detekují soubory, o které se domníváte, že by se neměly detekovat, měli byste k otestování pravidla nejprve použít režim auditování.

Když vyberete soubor, otevře se informační okno Souhrn & očekávaného dopadu s následujícími typy informací:

  • Vybrané soubory Počet souborů, které jste vybrali pro vyloučení
  • (počet) detekcí Uvádí očekávané snížení počtu detekcí po přidání vybraných vyloučení. Snížení počtu detekcí je graficky znázorněno pro skutečné detekce a detekce po vyloučeních.
  • (počet) ovlivněných zařízení Uvádí očekávané snížení počtu zařízení, která hlásí detekce vybraných vyloučení.

Stránka Přidat vyloučení obsahuje dvě tlačítka pro akce, které se dají použít u všech zjištěných souborů (po výběru). Můžeš:

  • Přidejte vyloučení, které otevře Microsoft Intune stránku zásad ASR. Další informace najdete v tématu: Intune v části Povolení alternativních metod konfigurace pravidel ASR.
  • Získání cest vyloučení , které stáhnou cesty k souborům ve formátu CSV

Zobrazuje sestavu pravidel ASR s přidáním vyloučení na kartě informačního rámečku s přehledem dopadu.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.