Operationaliser regler for reduktion af angrebsoverflade

  • Artikel

Gælder for:

Når du har udrullet regler for reduktion af angrebsoverflader (ASR), er det vigtigt, at du har processer på plads til at overvåge og reagere på ASR-relaterede aktiviteter. Aktiviteterne omfatter:

Administration af ASR-regler falske positiver

Falske positiver/negativer kan forekomme med enhver trusselsbeskyttelsesløsning. Falske positiver er tilfælde, hvor en enhed (f.eks. en fil eller proces) registreres og identificeres som skadelig, selvom enheden faktisk ikke er en trussel. I modsætning hertil er et falsk negativt objekt et objekt, der ikke blev registreret som en trussel, men som er skadeligt. Du kan finde flere oplysninger om falske positiver og falske negativer under: Løs falske positiver/negativer i Microsoft Defender for Endpoint

Hold dig opdateret med rapporter over ASR-regler

Konsekvent og regelmæssig gennemgang af rapporter er et vigtigt aspekt ved at opretholde udrulningen af dine ASR-regler og holde dig ajour med nye trusler. Din organisation skal have planlagte gennemgange af ASR-regelhændelser i en kadence, der vil holde sig opdateret med asr-regelrapporterede hændelser. Afhængigt af størrelsen på din organisation kan anmeldelser være dagligt, hver time eller løbende overvågning.

ASR regler Advanced Hunting

Et af de mest magtfulde træk ved Microsoft 365 Defender er avanceret jagt. Hvis du ikke er bekendt med avanceret jagt, kan du se: Proaktivt jagt efter trusler med avanceret jagt.

Siden Avanceret jagt på portalen Microsoft 365 Defender. Microsoft Defender for Endpoint(MDE) ASR-regler, ASR-regler avanceret jagt, asr-regler rapporter, asr regler falske positiver,

Avanceret jagt er et forespørgselsbaseret værktøj (Kusto Query Language), der gør det muligt at udforske op til 30 dage af de hentede (rå) data, som Microsoft Defender ATP Endpoint Detection and Response (EDR) indsamler fra alle dine maskiner. Gennem avanceret jagt kan du proaktivt inspicere hændelser for at finde interessante indikatorer og enheder. Den fleksible adgang til data gør det muligt at jagte både kendte og potentielle trusler uden begrænsninger.

Gennem avanceret jagt er det muligt at udtrække oplysninger om ASR-regler, oprette rapporter og få detaljerede oplysninger om konteksten af en given ASR-regelrevision eller -blokhændelse.

Du kan forespørge om ASR-regelhændelser fra tabellen DeviceEvents i afsnittet avanceret jagt på portalen Microsoft 365 Defender. En simpel forespørgsel som den nedenfor kan f.eks. rapportere alle de hændelser, der har ASR-regler som datakilde, i de sidste 30 dage og opsummere dem med antallet af ActionType, der i dette tilfælde vil være det faktiske kodenavn for ASR-reglen.

ASR-hændelser, der vises i den fremskredne jagtportal, begrænses til unikke processer, der ses hver time. Tidspunktet for ASR-hændelsen er første gang, hændelsen ses inden for den pågældende time.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Forespørgslen Avanceret jagt resulterer i Microsoft 365 Defender-portalen

Ovenstående viser, at 187 hændelser blev registreret for AsrLsassCredentialTheft:

  • 102 for Blokeret
  • 85 for overvåget
  • 2 hændelser for AsrOfficeChildProcess (1 for Audited og 1 for Block)
  • 8 hændelser for AsrPsexecWmiChildProcessAudited

Hvis du vil fokusere på reglen AsrOfficeChildProcess og få oplysninger om de faktiske filer og processer, skal du ændre filteret for ActionType og erstatte opsummerelinjen med en projektion af de ønskede felter (i dette tilfælde er de DeviceName, FileName, FolderPath osv.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractison("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

Den avancerede jagtforespørgsel fokuserer på resultater på Microsoft 365 Defender-portalen

Den sande fordel ved avanceret jagt er, at du kan forme forespørgslerne efter din smag. Ved at forme din forespørgsel kan du se den nøjagtige historie om, hvad der skete, uanset om du vil fastgøre noget på en individuel maskine, eller du vil udtrække indsigt fra hele dit miljø.

Du kan finde flere oplysninger om jagtmuligheder under: Afmystificerende regler for reduktion af angrebsoverfladen – del 3.

Emner i denne installationssamling

Udrulningsoversigt til reduktion af angrebsoverflade (ASR)

Planlæg udrulning af reduktion af angrebsoverflade (ASR)

Regler for testreduktion af angrebsoverflade

Aktiver regler for reduktion af angrebsoverflade

Henvisning til regler for reduktion af angrebsoverflade

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.