Test regler for reduktion af angrebsoverflade

  • Artikel

Gælder for:

Test Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen hjælper dig med at afgøre, om regler forhindrer line of business-handlinger, før du aktiverer en regel. Ved at starte med en lille kontrolleret gruppe kan du begrænse potentielle arbejdsafbrydelser, når du udvider din udrulning på tværs af organisationen.

I dette afsnit af udrulningsvejledningen til regler for reduktion af angrebsoverfladen lærer du, hvordan du:

  • konfigurer regler ved hjælp af Microsoft Intune
  • brug rapporter Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen
  • konfigurer undtagelser for regler for reduktion af angrebsoverflade
  • aktivér regler for reduktion af angrebsoverfladen ved hjælp af PowerShell
  • brug Logbog til hændelser med regler for reduktion af angrebsoverfladen

Bemærk!

Før du begynder at teste regler for reduktion af angrebsoverfladen, anbefales det, at du først deaktiverer alle de regler, du tidligere har angivet til enten overvågning eller aktivering (hvis det er relevant). Se Rapporter over regler for reduktion af angrebsoverfladen for at få oplysninger om, hvordan du bruger rapporten over regler for reduktion af angrebsoverfladen til at deaktivere regler for reduktion af angrebsoverfladen.

Begynd udrulningen af reglerne for reduktion af angrebsoverfladen med ring 1.

Testtrinnene Microsoft Defender for Endpoint reduktion af angrebsoverfladen (ASR-regler). Overvåg regler for reduktion af angrebsoverfladen, konfigurer undtagelser for ASR-regler. Konfigurer ASR-regler Intune. UNDTAGELSER FOR ASR-regler. ASR-regler i Logbog.

Trin 1: Test regler for reduktion af angrebsoverfladen ved hjælp af overvågning

Begynd testfasen ved at aktivere reglerne for reduktion af angrebsoverfladen med de regler, der er angivet til Overvågning, startende med dine mesterbrugere eller enheder i ring 1. Anbefalingen er typisk, at du aktiverer alle reglerne (i Overvågning), så du kan afgøre, hvilke regler der udløses i testfasen. Regler, der er angivet til Overvågning, påvirker generelt ikke funktionaliteten af den eller de enheder, som reglen anvendes på, men genererer logførte hændelser til evalueringen. der ikke er nogen effekt på slutbrugerne.

Konfigurer regler for reduktion af angrebsoverfladen ved hjælp af Intune

Du kan bruge Microsoft Intune Endpoint Security til at konfigurere brugerdefinerede regler for reduktion af angrebsoverfladen.

  1. Åbn Microsoft Intune Administration.

  2. Gå til slutpunktets overfladereduktionaf sikkerhedsangreb>.

  3. Vælg Create politik.

  4. Vælg Windows 10, Windows 11 og Windows Server i Platform, og vælg Regler for reduktion af angrebsoverflade under Profil.

    Siden til oprettelse af profil for ASR-regler

  5. Vælg Create.

  6. Under fanen Grundlæggende i ruden Create profil skal du i Navn tilføje et navn til din politik. I Beskrivelse skal du tilføje en beskrivelse af politikken for regler for reduktion af angrebsoverfladen.

  7. Under fanen Konfigurationsindstillinger under Regler for reduktion af angrebsoverflade skal du angive alle regler til Overvågningstilstand.

    Konfigurationen af regler for reduktion af angrebsoverfladen til overvågningstilstand

    Bemærk!

    Der er variationer i nogle lister over regler for reduktion af angrebsoverfladen. Blokeret og aktiveret giver den samme funktionalitet.

  8. [Valgfri] I ruden Områdekoder kan du føje mærkeoplysninger til bestemte enheder. Du kan også bruge rollebaseret adgangskontrol og områdekoder til at sikre, at de rette administratorer har den rette adgang og synlighed til de rette Intune objekter. Få mere at vide: Brug rollebaseret adgangskontrol (RBAC) og områdekoder til distribueret it i Intune.

  9. I ruden Tildelinger kan du installere eller "tildele" profilen til dine bruger- eller enhedsgrupper. Få mere at vide: Tildel enhedsprofiler i Microsoft Intune

    Bemærk!

    Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

  10. Gennemse dine indstillinger i ruden Gennemse + opret . Klik på Create for at anvende reglerne.

    Profilsiden Create

Din nye politik for reduktion af angrebsoverfladen for regler for reduktion af angrebsoverfladen er angivet i Slutpunktssikkerhed | Reduktion af angrebsoverflade.

Siden Til reduktion af angrebsoverfladen

Trin 2: Forstå rapporteringssiden for regler for reduktion af angrebsoverfladen på portalen Microsoft Defender

Rapporteringssiden for regler for reduktion af angrebsoverfladen findes i Microsoft Defender portalen>Rapporterer>regler for reduktion af angrebsoverfladen. Denne side har tre faner:

  • Opdagelser
  • Konfiguration
  • Tilføj udeladelser

Fanen Registreringer

Indeholder en 30-dages tidslinje over registrerede overvågnings- og blokerede hændelser.

Graf, der viser kortet over registreringer af registreringer af oversigt over angrebsoverfladereduktionsregler.

Ruden med regler for reduktion af angrebsoverfladen indeholder en oversigt over registrerede hændelser pr. regel.

Bemærk!

Der er nogle variationer i rapporter over regler for reduktion af angrebsoverfladen. Microsoft er i gang med at opdatere funktionsmåden for rapporter med regler for reduktion af angrebsoverfladen for at give en ensartet oplevelse.

Graf, der viser reglerne for reduktion af angrebsoverfladen, rapportoversigtens konfigurationskort.

Vælg Vis registreringer for at åbne fanen Registreringer .

Skærmbillede, der viser søgefunktionen til rapportsøgning i forbindelse med regler for reduktion af angrebsoverfladen.

Ruden GroupBy og Filter indeholder følgende indstillinger:

GroupBy returnerer resultater, der er angivet til følgende grupper:

  • Ingen gruppering
  • Registreret fil
  • Overvåg eller bloker
  • Regel
  • Kildeapp
  • Enhed
  • Bruger
  • Publisher

Bemærk!

Når du filtrerer efter regel, er antallet af individuelle registrerede elementer, der er angivet i den nederste halvdel af rapporten, i øjeblikket begrænset til 200 regler. Du kan bruge Eksportér til at gemme den komplette liste over registreringer i Excel.

Skærmbillede, der viser søgefunktionen til rapport over ASR-regler under fanen Konfiguration.

Filter åbner siden Filtrer efter regler , hvilket giver dig mulighed for kun at begrænse resultaterne til de valgte regler for reduktion af angrebsoverfladen:

Reglerne for reduktion af angrebsoverfladen filtrerer efter regler

Bemærk!

Hvis du har en Microsoft 365 Security E5- eller A5-, Windows E5- eller A5-licens, åbner følgende link fanen Microsoft Defender 365 Reports >Attack surface reductions> Detections.

Fanen Konfiguration

Lister – pr. computer – den samlede tilstand af regler for reduktion af angrebsoverfladen: Fra, Overvågning, Bloker.

Skærmbillede, der viser rapportens hovedkonfigurationsfane for regler for reduktion af angrebsoverfladen.

Under fanen Konfigurationer kan du på enhedsbasis kontrollere, hvilke regler for reduktion af angrebsoverfladen der er aktiveret, og i hvilken tilstand, ved at vælge den enhed, du vil gennemse regler for reduktion af angrebsoverfladen for.

Skærmbillede, der viser fly-out-reglerne for ASR for at føje ASR-regler til enheder.

Linket Introduktion åbner Microsoft Intune Administration, hvor du kan oprette eller ændre en beskyttelsespolitik for slutpunkter for reduktion af angrebsoverfladen:

*Menupunktet Sikkerhed for slutpunkt på siden Oversigt

I Slutpunktssikkerhed | Oversigt, vælg Reduktion af angrebsoverflade:

Reduktion af angrebsoverfladen i Intune

Slutpunktets sikkerhed | Ruden Reduktion af angrebsoverfladen åbnes:

Ruden Reduktion af overfladereduktion af slutpunktssikkerhedsangreb

Bemærk!

Hvis du har en Microsoft Defender 365 E5- (eller Windows E5?)-licens, åbner dette link fanen Microsoft Defender 365 Reports > Attack surface reductions >Configurations.

Tilføj udeladelser

Denne fane indeholder en metode til at vælge registrerede objekter (f.eks. falske positiver) til udeladelse. Når der tilføjes undtagelser, indeholder rapporten en oversigt over den forventede virkning.

Bemærk!

Microsoft Defender Antivirus AV udelukkelser er hædret af angreb overflade reduktion regler. Se Konfigurer og valider udeladelser baseret på filtypenavn, navn eller placering.

Ruden til udeladelse af den registrerede fil

Bemærk!

Hvis du har en Microsoft Defender 365 E5-licens (eller Windows E5?), åbner dette link fanen Microsoft Defender 365 Reports > Attack surface reductions >Exclusions.

Du kan få flere oplysninger om brug af rapporten over regler for reduktion af angrebsoverfladen i Rapporter over regler for reduktion af angrebsoverfladen.

Konfigurer udeladelser pr. regel for reduktion af angrebsoverflade

Regler for reduktion af angrebsoverfladen giver nu mulighed for at konfigurere regelspecifikke undtagelser, kendt som "Pr. regeludeladelse".

Bemærk!

Udeladelser pr. regel kan ikke konfigureres i øjeblikket ved hjælp af PowerShell eller Gruppepolitik.

Sådan konfigurerer du bestemte regeludeladelser:

  1. Åbn Microsoft Intune Administration, og naviger tilstartslutpunkt> sikkerhed >Angreb overfladereduktion.

  2. Hvis den ikke allerede er konfigureret, skal du angive den regel, du vil konfigurere udeladelser for, til Overvågning eller Bloker.

  3. I Kun asr-udeladelse pr. regel skal du klikke på til/fra-knappen for at skifte fra Ikke konfigureret til Konfigureret.

  4. Angiv navnene på de filer eller programmer, der skal udelades.

  5. Nederst i guiden Create profil skal du vælge Næste og følge vejledningen i guiden.

Skærmbillede, der viser konfigurationsindstillingerne for tilføjelse af ASR-udeladelser pr. regel.

Tip

Brug afkrydsningsfelterne ud for listen over udeladelseselementer til at vælge elementer, der skal slettes, sorteres, importeres eller eksporteres.

Brug PowerShell som en alternativ metode til at aktivere regler for reduktion af angrebsoverfladen

Du kan bruge PowerShell – som et alternativ til Intune – til at aktivere regler for reduktion af angrebsoverfladen i overvågningstilstand for at få vist en post over apps, der ville være blevet blokeret, hvis funktionen var fuldt aktiveret. Du kan også få en idé om, hvor ofte reglerne udløses under normal brug.

Hvis du vil aktivere en regel for reduktion af angrebsoverfladen i overvågningstilstand, skal du bruge følgende PowerShell-cmdlet:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Hvor <rule ID> er en GUID-værdi for reglen for reduktion af angrebsoverfladen.

Hvis du vil aktivere alle de tilføjede regler for reduktion af angrebsoverfladen i overvågningstilstand, skal du bruge følgende PowerShell-cmdlet:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Tip

Hvis du vil overvåge fuldt ud, hvordan regler for reduktion af angrebsoverfladen fungerer i din organisation, skal du bruge et administrationsværktøj til at installere denne indstilling på enheder på dine netværk.

Du kan også bruge Gruppepolitik, Intune eller MDM-udbydere (Mobile Device Management) til at konfigurere og installere indstillingen. Få mere at vide i artiklen om reduktion af angrebsoverfladen .

Brug Windows Logbog review som et alternativ til rapporteringssiden for regler for reduktion af angreb på Microsoft Defender-portalen

Hvis du vil gennemse apps, der ville være blevet blokeret, skal du åbne Logbog og filtrere efter Event ID 1121 i Microsoft-Windows-Windows Defender/Operational log. I følgende tabel vises alle netværksbeskyttelseshændelser.

Hændelses-id Beskrivelse
5007 Hændelse, når indstillingerne ændres
1121 Hændelse, når en regel for reduktion af angrebsoverfladen udløses i bloktilstand
1122 Hændelse, når en regel for reduktion af angrebsoverfladen udløses i overvågningstilstand

Oversigt over installation af regler for reduktion af angrebsoverflade

Planlæg installation af regler for reduktion af angrebsoverflade

Aktivér regler for reduktion af angrebsoverflade

Operationalize regler for reduktion af angrebsoverfladen

Reference til regler for reduktion af angrebsoverflade

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.