Rapport over regler for reduktion af angrebsoverflade
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Platforme:
- Windows
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Rapporten over regler for reduktion af angrebsoverfladen indeholder oplysninger om de regler for reduktion af angrebsoverfladen , der anvendes på enheder i din organisation. Denne rapport indeholder også oplysninger om:
- registrerede trusler
- blokerede trusler
- enheder, der ikke er konfigureret til at bruge standardbeskyttelsesreglerne til at blokere trusler
Desuden indeholder denne rapport en brugervenlig grænseflade, der giver dig mulighed for at:
- Vis trusselsregistreringer
- Få vist konfigurationen af ASR-reglerne
- Konfigurer (tilføj) udeladelser
- Aktivér nemt grundlæggende beskyttelse ved at aktivere de tre mest anbefalede ASR-regler med en enkelt til/fra-knap
- Analysér ned for at indsamle detaljerede oplysninger
Du kan få flere oplysninger om individuelle regler for reduktion af angrebsoverfladen under Reference til regler for reduktion af angrebsoverfladen.
Forudsætninger
Vigtigt!
Hvis du vil have adgang til rapporten over regler for reduktion af angrebsoverfladen, skal du have læsetilladelser til Microsoft Defender-portalen. Adgang til denne rapport, der er tildelt af Microsoft Entra roller, f.eks. global Administration sikkerhedsrolle eller sikkerhedsrolle, frarådes og fjernes i april 2023. Hvis Windows Server 2012 R2 og Windows Server 2016 skal vises i rapporten over regler for reduktion af angrebsoverfladen, skal disse enheder onboardes ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny funktionalitet i den moderne samlede løsning til Windows Server 2012 R2 og 2016.
Adgangstilladelser til rapporter
Følgende tilladelser kræves for at få adgang til rapporten med regler for reduktion af angrebsoverfladen i Microsoft 365 Security-dashboardet:
| Tilladelsestype | Tilladelse | Vist navn for tilladelse |
|---|---|---|
| Program | Machine.Read.All | 'Læs alle computerprofiler' |
| Uddelegeret (arbejds- eller skolekonto) | Machine.Read | 'Læs computeroplysninger' |
Sådan tildeler du disse tilladelser:
- Log på Microsoft Defender XDR ved hjælp af en konto hos sikkerhedsadministratoren eller Global administrator rolle, der er tildelt.
- I navigationsruden skal du vælge Indstillinger>Slutpunkter>Roller (under Tilladelser).
- Vælg den rolle, du vil redigere.
- Vælg Rediger.
- Skriv et navn til rollen i Rollenavn under fanen Generelt under Rediger rolle.
- I Beskrivelse skal du skrive en kort oversigt over rollen.
- Under Tilladelser skal du vælge Vis data og under Vis data skal du vælge Reduktion af angrebsoverflade.
Du kan få flere oplysninger om administration af brugerroller i Create og administrere roller for rollebaseret adgangskontrol.
Navigation
Sådan navigerer du til oversigtskortene for rapporten over regler for reduktion af angrebsoverfladen
- Åbn Microsoft Defender XDR portal.
- Klik påRapporter i venstre panel, og vælg Sikkerhedsrapport under Rapporter i hovedafsnittet.
- Rul ned til Enheder for at finde oversigtskortene over regler for reduktion af angrebsoverfladen .
Oversigtsrapportkortene for ASR-regler vises i følgende figur.
Oversigtskort over asr-regler for rapporter
Rapportoversigten over ASR-regler er opdelt i to kort:
Oversigtskort til registrering af ASR-regler
Viser en oversigt over antallet af registrerede trusler, der er blokeret af ASR-regler.
Indeholder to handlingsknapper:
- Vis registreringer – åbner hovedfanen Opdagelser under fanen > Registreringer for angrebsoverfladen
- Tilføj udeladelser – åbner hovedfanen Udeladelser under fanen Angrebsoverfladereduktionsregler>
Hvis du klikker på linket registreringer af ASR-regler øverst på kortet, åbnes også den primære fane Opdagelser af regler for reduktion af angrebsoverfladen.
Oversigtskort over konfiguration af ASR-regler
I det øverste afsnit fokuseres der på tre anbefalede regler, som beskytter mod almindelige angrebsteknikker. Dette kort viser oplysninger om aktuel tilstand for de computere i din organisation, hvor følgende standardbeskyttelsesregler for tre (ASR) er angivet i bloktilstand, overvågningstilstand eller deaktiveret (ikke konfigureret). Knappen Beskyt enheder viser alle konfigurationsoplysninger for kun de tre regler. kunder kan hurtigt gøre noget for at aktivere disse regler.
I nederste sektion vises seks regler baseret på antallet af ubeskyttede enheder pr. regel. Knappen "Vis konfiguration" viser alle konfigurationsoplysninger om alle ASR-regler. Knappen "Tilføj udeladelse" viser siden Tilføj udeladelse med alle registrerede fil-/procesnavne, der er angivet for SOC (Security Operation Center), der skal evalueres. Siden Tilføj udeladelse er sammenkædet med Microsoft Intune.
Indeholder to handlingsknapper:
- Vis konfiguration – åbner hovedfanen Registreringer under regler > for reduktion af angrebsoverfladen
- Tilføj udeladelser – åbner hovedfanen Udeladelser under fanen Angrebsoverfladereduktionsregler>
Hvis du klikker på konfigurationslinket for ASR-regler øverst på kortet, åbnes også hovedfanen Konfiguration af regler for reduktion af angrebsoverfladen.
Forenklet standardbeskyttelsesmulighed
Kortet med konfigurationsoversigten indeholder en knap til beskyttelse af enheder med de tre standardbeskyttelsesregler. Som minimum anbefaler Microsoft, at du aktiverer disse tre standardbeskyttelsesregler for reduktion af angrebsoverfladen:
- Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)
- Bloker misbrug af udnyttede sårbare bilister
- Bloker vedholdenhed via WMI-hændelsesabonnement (Windows Management Instrumentation)
Sådan aktiverer du de tre standardbeskyttelsesregler:
- Vælg Beskyt enheder. Hovedfanen Konfiguration åbnes.
- Under fanen Konfiguration skifter Grundlæggende regler automatisk fra Alle regler til Standardbeskyttelsesregler aktiveret.
- På listen Enheder skal du vælge de enheder, som standardbeskyttelsesreglerne skal gælde for, og derefter vælge Gem.
Dette kort har to andre navigationsknapper:
- Vis konfiguration – åbner hovedfanen Konfiguration af regler > for reduktion af angrebsoverfladen.
- Tilføj udeladelser – åbner hovedfanen Udelukkelser under reglerne > for reduktion af angrebsoverfladen.
Hvis du klikker på konfigurationslinket for ASR-regler øverst på kortet, åbnes også hovedfanen Konfiguration af regler for reduktion af angrebsoverfladen.
Primære faner til reduktion af angrebsoverflade
Selvom oversigtskort for ASR-regler for rapporter er nyttige til at få en hurtig oversigt over status for dine ASR-regler, indeholder de primære faner mere detaljerede oplysninger med filtrerings- og konfigurationsegenskaber:
Søg funktioner
Søg funktion føjes til hovedfanerne Registrering, Konfiguration og Tilføj udeladelse. Med denne funktion kan du søge ved hjælp af enheds-id, filnavn eller procesnavn.
Filtrering
Filtrering giver dig mulighed for at angive, hvilke resultater der returneres:
- Med Date kan du angive et datointerval for dataresultater.
- Filtre
Bemærk!
Når du filtrerer efter regel, er antallet af individuelle registrerede elementer, der er angivet i den nederste halvdel af rapporten, i øjeblikket begrænset til 200 regler. Du kan bruge Eksportér til at gemme den komplette liste over registreringer i Excel.
Tip
Da filteret i øjeblikket fungerer i denne version, skal du først rulle ned til sidste registrering på listen for at indlæse det komplette datasæt, hver gang du vil "gruppere efter". Når du har indlæst hele datasættet, kan du starte filtreringen "sortér efter". Hvis du ikke ruller ned til sidste registrering, der er angivet ved hver brug, eller når du ændrer filtreringsindstillinger (f.eks. de ASR-regler, der anvendes på den aktuelle kørsel af filteret), vil resultaterne være forkerte for alle resultater, der har mere end én visningsside med viste registreringer.
Fanen Primære opdagelser i forbindelse med reduktion af angrebsoverflade
- Overvågningsregistreringer Viser, hvor mange trusselsregistreringer der blev registreret af regler, der er angivet i overvågningstilstand .
- Blokerede registreringer Viser, hvor mange trusselsregistreringer der blev blokeret af regler, der er angivet i bloktilstand .
- Stor, konsolideret graf Viser blokerede og overvågede registreringer.
Graferne indeholder registreringsdata over det viste datointerval med muligheden for at holde markøren over en bestemt placering for at indsamle datospecifikke oplysninger.
Nederst i rapporten vises registrerede trusler – pr. enhed – med følgende felter:
| Feltnavn | Definition |
|---|---|
| Registreret fil | Filen, der er bestemt til at indeholde en mulig eller kendt trussel |
| Registreret den | Den dato, hvor truslen blev opdaget |
| Blokeret/overvåget? | Angiver, om registreringsreglen for den specifikke hændelse var i blok- eller overvågningstilstand |
| Regel | Hvilken regel registrerede truslen |
| Kildeapp | Det program, der foretog kaldet til den fejlende "registrerede fil" |
| Enhed | Navnet på den enhed, hvor overvågnings- eller blokhændelsen fandt sted |
| Enhedsgruppe | Den Active Directory-gruppe, som enheden tilhører |
| Bruger | Den computerkonto, der er ansvarlig for opkaldet |
| Publisher | Den virksomhed, der frigav den pågældende .exe eller applikation |
Du kan få flere oplysninger om overvågning og bloktilstande for ASR-regler under Regeltilstande for reduktion af angrebsoverflade.
Pop op-vindue, der kan handles på
Hovedsiden "Registrering" indeholder en liste over alle registreringer (filer/processer) inden for de sidste 30 dage. Vælg en af registreringerne for at åbne med funktioner til detailudledning.
Afsnittet Mulig udeladelse og indvirkning giver indflydelse på den valgte fil eller proces. Du kan:
- Vælg Gå på jagt , som åbner forespørgselssiden Avanceret jagt
- Siden Åbn fil åbnes Microsoft Defender for Endpoint registrering
- Knappen Tilføj udeladelse er sammenkædet med hovedsiden tilføj udeladelse.
På følgende billede illustreres det, hvordan forespørgselssiden Avanceret jagt åbnes fra linket i det handlingsklare pop op-vindue:
Du kan finde flere oplysninger om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR
Hovedfanen Konfiguration af regler for reduktion af angrebsoverflade
Hovedfanen Konfiguration af ASR-regler indeholder oplysninger om konfiguration af ASR-regler pr. enhed. Der er tre primære aspekter under fanen Konfiguration:
Grundlæggende regler Indeholder en metode til at skifte mellem grundlæggende regler og alle regler. Som standard er Grundlæggende regler valgt.
Oversigt over enhedskonfiguration Leverer et aktuelt snapshot af enheder i en af følgende tilstande:
- Alle eksponerede enheder (enheder med manglende forudsætninger, regler i overvågningstilstand, forkert konfigurerede regler eller regler, der ikke er konfigureret)
- Enheder med regler, der ikke er konfigureret
- Enheder med regler i overvågningstilstand
- Enheder med regler i bloktilstand
Den nederste sektion under fanen Konfiguration indeholder en liste over dine enheders aktuelle tilstand (pr. enhed):
- Enhed (navn)
- Overordnet konfiguration (uanset om nogen regler er slået til eller alle er slået fra)
- Regler i bloktilstand (antallet af regler pr. enhed angivet til blok)
- Regler i overvågningstilstand (antallet af regler i overvågningstilstand)
- Regler er slået fra (regler, der er slået fra eller ikke er aktiveret)
- Enheds-id (enheds-GUID)
Disse elementer vises i følgende figur.
Sådan aktiverer du ASR-regler:
- Under Enhed skal du vælge den eller de enheder, du vil anvende ASR-regler for.
- Kontrollér dine valg i pop op-vinduet, og vælg derefter Føj til politik.
Fanen Konfiguration og pop op-vinduet Tilføj regel vises på følgende billede.
[BEMÆRK!] Hvis du har enheder, der kræver, at der anvendes forskellige ASR-regler, skal du konfigurere disse enheder individuelt.
Regler for reduktion af angrebsoverfladen Fanen Tilføj udeladelser
Fanen Tilføj udeladelser viser en rangeret liste over registreringer efter filnavn og indeholder en metode til konfiguration af udeladelser. Tilføj udeladelsesoplysninger vises som standard for tre felter:
- Filnavn Navnet på den fil, der udløste ASR-regelhændelsen.
- Opdagelser Det samlede antal registrerede hændelser for den navngivne fil. Individuelle enheder kan udløse flere ASR-regelhændelser.
- Enheder Antallet af enheder, hvor registreringen fandt sted.
Vigtigt!
Hvis du udelader filer eller mapper, kan det reducere beskyttelsen af ASR-regler alvorligt. Udeladte filer må køre, og der registreres ingen rapport eller hændelse. Hvis ASR-regler registrerer filer, som du mener ikke skal registreres, skal du først bruge overvågningstilstanden til at teste reglen.
Når du vælger en fil, åbnes der en oversigt & forventede indvirkning , der viser følgende typer oplysninger:
- Markerede filer Det antal filer, du har valgt til udeladelse
- (antal) registreringer Angiver den forventede reduktion i registreringer efter tilføjelse af de valgte udeladelser. Reduktionen af registreringer repræsenteres grafisk for faktiske registreringer og registreringer efter udeladelser
- (antal) berørte enheder Angiver den forventede reduktion i enheder, der rapporterer registreringer for de valgte udeladelser.
Siden Tilføj udeladelse indeholder to knapper til handlinger, der kan bruges på registrerede filer (efter markering). Du kan:
- Tilføj udeladelse, som åbner Microsoft Intune ASR-politikside. Du kan få flere oplysninger under: Intune i "Aktivér ASR-regler alternative konfigurationsmetoder".
- Hent de udeladelsesstier , der downloader filstier i et csv-format
Se også
- Oversigt over installation af regler for reduktion af angrebsoverflade
- Planlæg installation af regler for reduktion af angrebsoverflade
- Test regler for reduktion af angrebsoverflade
- Aktivér regler for reduktion af angrebsoverflade
- Operationalize regler for reduktion af angrebsoverfladen
- Rapport over regler for reduktion af angrebsoverflade
- Reference til regler for reduktion af angrebsoverflade
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om