Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Det er nyttigt at gennemgå hændelser i Logbog, når du evaluerer funktioner til reduktion af angrebsoverfladen. Du kan f.eks. aktivere overvågningstilstand for funktioner eller indstillinger og derefter gennemse, hvad der ville ske, hvis de var fuldt aktiveret. Du kan også se effekten af funktionerne til reduktion af angrebsoverfladen, når de er fuldt aktiveret.
I denne artikel beskrives det, hvordan du bruger Windows Logbog til at få vist hændelser fra ASR-funktioner (Attack Surface Reduction), herunder:
Hvis du vil have vist hændelser for reduktion af angrebsoverfladen, har du følgende muligheder, som beskrevet i resten af denne artikel:
- Gennemse hændelser for reduktion af angrebsoverfladen i Windows Logbog: Sådan navigerer du til hændelser til reduktion af angrebsoverfladen i Logbog og hændelses-id'erne for hver funktionalitet til reduktion af angrebsoverfladen.
- Brug brugerdefinerede visninger i Windows Logbog til at få vist hændelser for reduktion af angrebsoverfladen: Sådan opretter eller importerer du brugerdefinerede visninger for at filtrere Logbog for specifikke ASR-funktioner og brugsklare XML-forespørgselsskabeloner.
Tip
Du kan bruge Windows Event Forwarding til at centralisere samlingen af hændelser til reduktion af angrebsoverfladen fra flere enheder.
Portalen Microsoft Defender indeholder også rapportering om funktioner til reduktion af angrebsoverfladen, der er nemmere at bruge end Windows Logbog:
Gennemse hændelser for reduktion af angrebsoverfladen i Windows Logbog
Alle hændelser for reduktion af angrebsoverfladen er placeret i loggene for programmer og tjenester. Benyt følgende fremgangsmåde for at få vist hændelser til reduktion af angrebsoverfladen:
Vælg Start, skriv Logbog, og tryk derefter på Enter for at åbne Logbog.
I Logbog skal du udvide Logfiler for> programmer og tjenesterMicrosoft>Windows.
Fortsæt med at udvide stien for de forskellige typer hændelser for reduktion af angrebsoverfladen, som beskrevet i følgende underafsnit.
Find og filtrer de hændelser, du vil se som beskrevet i følgende underafsnit.
ASR-regelhændelser
ASR-regelhændelser er placeret i WindowsDefender-handlingsloggen>:
| Hændelses-id | Beskrivelse |
|---|---|
| 1121 | Hændelse, når reglen udløses i bloktilstand |
| 1122 | Hændelse, når reglen udløses i overvågningstilstand |
| 1129 | Hændelse, når brugeren tilsidesætter blokering i advarselstilstand |
| 5007 | Hændelse, når indstillingerne ændres |
Hændelser for adgang til styrede mapper
Adgangshændelser for styrede mapper er placeret i Windows Defender>Operational.
| Hændelses-id | Beskrivelse |
|---|---|
| 5007 | Hændelse, når indstillingerne ændres |
| 1124 | Overvåget hændelse for mappeadgang, der kontrolleres |
| 1123 | Hændelse for adgang til blokeret kontrolleret mappe |
| 1127 | Hændelse for blokeret, kontrolleret mappeadgang til sektor med skriveblokering |
| 1128 | Hændelse for skrivningsblokering for overvåget mappeadgangssektor |
Udnyt beskyttelseshændelser
Følgende beskyttelseshændelser for udnyttelse er placeret i loggene for kernetilstand for sikkerhedsmitigeringer> ogbrugertilstand for >sikkerhedsmitigeringer:
| Hændelses-id | Beskrivelse |
|---|---|
| 1 | ACG-overvågning |
| 2 | ACG-gennemtving |
| 3 | Tillad ikke overvågning af underordnede processer |
| 4 | Tillad ikke blok for underordnede processer |
| 5 | Bloker for billeder med lav integritet |
| 6 | Bloker blok for billeder med lav integritet |
| 7 | Bloker overvågning fjernafbildninger |
| 8 | Bloker fjernbilleder |
| 9 | Deaktiver overvågning af Win32k-systemkald |
| 10 | Deaktiver blokering af win32k-systemkald |
| 11 | Overvåg beskyttelse af kodeintegritet |
| 12 | Blok for kodeintegritetsbeskyttelse |
| 13 | EAF-revision |
| 14 | Gennemtving EAF |
| 15 | EAF+ audit |
| 16 | Gennemtving EAF+ |
| 17 | IAF-revision |
| 18 | Gennemtving IAF |
| 19 | ROP StackPivot-overvågning |
| 20 | ROP StackPivot gennemtving |
| 21 | ROP CallerCheck audit |
| 22 | ROP CallerCheck gennemtving |
| 23 | ROP SimExec-overvågning |
| 24 | ROP SimExec gennemtvinge |
Følgende beskyttelseshændelse for udnyttelse er placeret i wer-diagnosticeringshandlingsloggen>:
| Hændelses-id | Beskrivelse |
|---|---|
| 5 | CFG-blok |
Følgende hændelse for beskyttelse af udnyttelse er placeret i Win32k-handlingsloggen>:
| Hændelses-id | Beskrivelse |
|---|---|
| 260 | Der er ikke tillid til skrifttype |
Netværksbeskyttelseshændelser
Netværksbeskyttelseshændelser er placeret i Windows Defender>Operational.
| Hændelses-id | Beskrivelse |
|---|---|
| 5007 | Hændelse, når indstillingerne ændres |
| 1125 | Hændelse, når netværksbeskyttelse udløses i overvågningstilstand |
| 1126 | Hændelse, når netværksbeskyttelse udløses i bloktilstand |
Brug brugerdefinerede visninger i Windows Logbog til at få vist hændelser for reduktion af angrebsoverfladen
Du kan oprette brugerdefinerede visninger i Windows Logbog for kun at se hændelserne for specifikke funktioner til reduktion af angrebsoverfladen. Den nemmeste måde er at importere en brugerdefineret visning som en XML-fil. Du kan også kopiere XML-koden direkte til Logbog.
Hvis du vil have mere at vide om brugsklarE XML-skabeloner, skal du se afsnittet Brugerdefinerede XML-skabeloner til reduktion af angrebsoverfladen .
Importér en eksisterende brugerdefineret XML-visning
Opret en tom .txt fil, og kopiér XML-filen for den brugerdefinerede visning, du vil bruge, til den .txt fil. Gør dette trin for hver af de brugerdefinerede visninger, du vil bruge. Omdøb filerne på følgende måde (sørg for at ændre typen fra .txt til .xml):
- Brugerdefineret visning af hændelser for adgang til styrede mapper: cfa-events.xml
- Brugerdefineret visning af hændelser for udnyttelse af beskyttelse: ep-events.xml
- Brugerdefineret visning af hændelser til reduktion af angrebsoverfladen: asr-events.xml
- Brugerdefineret visning af hændelser for netværksbeskyttelse: np-events.xml
Vælg Start, skriv Logbog, og tryk derefter på Enter for at åbne Logbog.
Vælgimportér brugerdefineret visning afhandling>...
Gå til XML-filen for den ønskede brugerdefinerede visning, og vælg den.
Vælg Åbn.
Den brugerdefinerede visning filtrerer, så der kun vises hændelser, der er relateret til den pågældende funktion.
Kopiér XML-koden direkte
Vælg Start, skriv Logbog, og tryk derefter på Enter for at åbne Logbog.
I ruden Handlinger skal du vælge Opret brugerdefineret visning...
Gå til fanen XML, og vælg Rediger forespørgsel manuelt. En advarsel angiver, at du ikke kan redigere forespørgslen ved hjælp af fanen Filter , når du bruger XML-indstillingen. Vælg Ja.
Indsæt XML-koden for den funktion, du vil filtrere hændelser fra, i AFSNITTET XML.
Vælg OK. Angiv et navn til filteret. Den brugerdefinerede visning filtrerer, så der kun vises hændelser, der er relateret til den pågældende funktion.
Brugerdefinerede XML-skabeloner til hændelser til reduktion af angrebsoverfladen
XML til regelhændelser for reduktion af angrebsoverflade
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML til hændelser for adgang til styrede mapper
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML til udnyttelse af beskyttelseshændelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML til netværksbeskyttelseshændelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>