Bericht zu Den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) im Microsoft Defender-Portal

Der Bericht zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) bietet detaillierte Einblicke in die Regeln, die auf Geräten in Ihrem organization erzwungen werden. Zum Beispiel:

• Erkannte Bedrohungen.
• Blockierte Bedrohungen.
• Geräte, die nicht für die Verwendung der Standardschutzregeln konfiguriert sind, um Bedrohungen zu blockieren.

Der Bericht bietet eine benutzerfreundliche Schnittstelle, mit der Sie die folgenden Aufgaben ausführen können:

• Anzeigen von Bedrohungserkennungen
• Zeigen Sie die Konfiguration von ASR-Regeln an.
• Hinzufügen und Verwalten von Ausschlüssen.
• Sammeln Sie ausführliche Informationen.

Weitere Informationen zu ASR-Regeln finden Sie unter Übersicht über Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR).

Voraussetzungen

Unterstützte Betriebssysteme

• Windows

  Um im Bericht angezeigt zu werden, müssen Windows Server 2012 R2- und Windows Server 2016-Geräte mithilfe des modernen einheitlichen Lösungspakets integriert werden. Weitere Informationen finden Sie unter Neue Funktionalität in der modernen einheitlichen Lösung für Windows Server 2012 R2 und 2016.

Berichtszugriffsberechtigungen

Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

• Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (RBAC):Sicherheitsvorgänge \ Sicherheitsdaten \ Sicherheitsdatengrundlagen (Lesen).

• Defender für Endpunkt-Berechtigungen (verfügbar in Organisationen, die vor Februar 2025 erstellt wurden): Anzeigen vonDatensicherheitsvorgängen>.

• Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator^*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

  Wichtig

  Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Berichtsseite "Regeln zur Verringerung der Angriffsfläche"

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte >Berichte>EndpunkteRegeln zur Verringerung der Angriffsfläche. Oder verwenden Sie , um direkt zur Berichtsseite angriffsflächenverringerte Regeln zur Verringerung der Angriffsfläche zu wechseln https://security.microsoft.com/asr.

Die folgenden Registerkarten sind auf der Berichtsseite Regeln zur Verringerung der Angriffsfläche verfügbar:

• Erkennungen
• Konfiguration
• Hinzufügen von Ausschlüssen

Registerkarte "Erkennungen"

Die Registerkarte Erkennungen ist die Standardregisterkarte der Seite. Verwenden Sie https://security.microsoft.com/asr oder https://security.microsoft.com/asr?viewid=detections, um direkt zur Registerkarte Erkennungen des Berichts angriffsflächenverringerte Regeln zur Verringerung der Angriffsfläche zu wechseln.

Standardmäßig werden für die INFORMATIONEN zur ASR-Regel auf der Seite die folgenden Filter verwendet:

• Regeln: Der Wert Standard Protection ist standardmäßig ausgewählt, um Daten nur für Standardschutzregeln anzuzeigen, aber Sie können den Wert in Alle ändern, um Daten für alle ASR-Regeln anzuzeigen.

• Datum: Der Datumsbereich der letzten 30 Tage ist standardmäßig ausgewählt, Aber Sie können die Werte Startzeit und Endzeit in einen Bereich innerhalb der letzten 30 Tage ändern.

• Regeln^* auswählen: Der Wert Beliebig ist standardmäßig ausgewählt, aber Sie können den Wert basierend auf dem Filterwert Regeln ändern:

  • Standard Schutz: Wählen Sie in der Dropdownliste mindestens eine Standardschutzregel aus.
  • Alle: Wählen Sie in der Dropdownliste eine oder mehrere ASR-Regeln (einschließlich Standardschutzregeln) aus.

Sie können die folgenden zusätzlichen Filter verwenden, die standardmäßig nicht konfiguriert sind, indem Sie Filter hinzufügen und dann aus den verfügbaren Optionen auswählen. Nachdem der Filter oben auf der Registerkarte angezeigt wird, können Sie die Auswahl dafür konfigurieren:

• Gerätegruppe^*: Wählen Sie eine oder mehrere verfügbare Gerätegruppen aus.
• Blockiert/Überwacht?: Wählen Sie Überwacht oder Blockiert aus.

^* Wenn Sie alle verfügbaren Werte oder keine Werte für diesen Filter auswählen, werden die gleichen Ergebnisse angezeigt.

Um einen Filter zu entfernen, wählen Sie Löschen aus. Um alle Filter zurückzusetzen, wählen Sie Alle zurücksetzen aus.

Unterhalb der Filter und oberhalb des Diagramms werden die folgenden Informationen angezeigt:

• Überwachungserkennungen: Die Anzahl der Bedrohungserkennungen durch ASR-Regeln im Überwachungsmodus unter Verwendung der angegebenen Filter.

• Blockierte Erkennungen: Die Anzahl der Bedrohungserkennungen durch ASR-Regeln im Blockierungsmodus unter Verwendung der angegebenen Filter.

  Weitere Informationen zum Überwachungsmodus und zum Blockierungsmodus finden Sie unter ASR-Regelmodi.

Das Diagramm zeigt überwachte und blockierte Erkennungen pro Tag über dem ausgewählten Datumsbereich. Zeigen Sie auf die Daten für einen bestimmten Tag, um die Überwachungs- oder Blockanzahl basierend auf den aktuellen Filtern anzuzeigen.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:

• Erkannte Datei: Die Datei, die eine mögliche oder bekannte Bedrohung enthält.
• Erkannt am: Das Datum, an dem die Bedrohung erkannt wurde.
• Blockiert/Überwacht?: Gibt an, ob sich die Erkennungsregel für das jeweilige Ereignis im Block- oder Überwachungsmodus befand.
• Regel: Die Regel, die die Bedrohung erkannt hat.
• Quell-App: Die Anwendung, die den Aufruf der erkannten Datei vorgenommen hat.
• Gerät: Der Name des Geräts, auf dem das Audit - oder Block-Ereignis aufgetreten ist.
• Gerätegruppe: Die Gerätegruppe, zu der das Gerät gehört.
• Benutzer: Das Konto, das dafür verantwortlich ist, SYSTEM dass die Quell-App die erkannte Datei öffnet (z. B. für das Konto NT AUTHORITY\SYSTEM).
• Herausgeber: Das Unternehmen, das die App veröffentlicht hat.

Wählen Sie eine Spaltenüberschrift aus, um nach diesem Wert zu sortieren.

Das Suchfeld ist verfügbar, um Einträge in der Detailtabelle nach Geräte-ID, Dateiname oder Prozessname zu durchsuchen.

GroupBy ist verfügbar, um die Informationen in der Detailtabelle mit den folgenden Optionen zu gruppieren:

• Keine Gruppierung (Standard)
• Erkannte Datei
• Überwachen oder Blockieren
• Rule
• Quell-App
• Gerät
• Gerätegruppe
• Benutzer
• Herausgeber

Tipp

Um GroupBy verwenden zu können, müssen Sie derzeit zum letzten Erkennungseintrag in der Liste scrollen, um das gesamte Dataset zu laden. Anschließend können Sie GroupBy verwenden. Andernfalls sind die Ergebnisse für jedes Ergebnis falsch, das mehr als eine einzehbare Seite mit aufgelisteten Erkennungen enthält.

Derzeit ist die Anzahl der in der Detailtabelle aufgeführten einzelnen erkannten Elemente auf 200 Regeln beschränkt. Verwenden Sie Exportieren , um die vollständige Liste der Erkennungen in einer CSV-Datei zu speichern.

Um alle ASR-Regeln anzuzeigen, die in Defender für Endpunkt Plan 2 ausgelöst werden, verwenden Sie die Tabelle DeviceEvents in der erweiterten Suche.

Details zu erkannten Dateien

Wenn Sie ein Erkennungsereignis aus der Detailtabelle auf der Registerkarte Erkennungen der Berichtsseite Angriffsflächenverringerungsregeln auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Wert erkannter Datei klicken, wird ein Flyout Dateiinfodetails mit den folgenden Informationen geöffnet:

• Abschnitt "Erkennungen":

  Dieser Abschnitt zeigt eine kleinere Version des Graphen auf der Hauptseite, gefiltert nach ASR-Regelerkennung für die Datei.

  In diesem Abschnitt sind die folgenden Aktionen verfügbar:

  • Gehe zur Suche: In Defender für Endpunkt Plan 2 öffnet diese Aktion die Abfrageseite für die erweiterte Suche mit dem erkannten Dateinamen, der in der Abfrage angegeben ist. Für die Datei conhost.exesieht die Abfrage beispielsweise wie folgt aus:

    DeviceEvents
        | where Timestamp >= ago(1d)
        | where FileName == 'conhost.exe'
        | where ActionType startswith 'Asr'
        | extend ParsedFields=parse_json(AdditionalFields)
        | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
        | take 1000
    

    Weitere Informationen zur erweiterten Suche finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR.

  • Dateiseite öffnen: Öffnet die Datei auf der Dateientitätsseite für die erkannte Datei in Defender für Endpunkt.

• Abschnitt "Mögliche Ausschlüsse und Auswirkungen": Zeigt Details zu Erkennungen der Datei durch ASR-Regeln in den letzten 30 Tagen (die Gesamtzahl der Erkennungen und den Prozentsatz).

• Ausschlüsse hinzufügen am unteren Rand des Flyouts öffnet das Microsoft Intune Admin Center. Weitere Informationen zum Konfigurieren von Ausschlüssen für ASR-Regeln finden Sie unter Konfigurieren von Regeln und Ausschlüssen zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR).

Registerkarte "Konfiguration"

Verwenden Sie https://security.microsoft.com/asr?viewid=configuration, um direkt zur Registerkarte Konfiguration der Berichtsseite Angriffsfläche-Reduzierungsregeln zu wechseln.

Die Registerkarte Konfiguration enthält eine Zusammenfassung und Details zur Konfiguration der ASR-Regel pro Gerät.

Mit Regeln können Sie die Ergebnisse im Abschnitt Übersicht über die Gerätekonfiguration filtern. Standardmäßig ist Standard Schutz ausgewählt, um Daten nur für Standardschutzregeln anzuzeigen. Sie können jedoch zu Alle wechseln, um Daten für alle ASR-Regeln anzuzeigen.

Im Abschnitt Gerätekonfigurationsübersicht werden Die Summen für ASR-Regelzustände basierend auf dem Standard-Schutz oder dem Filter Alle angezeigt:

• Alle verfügbar gemachten Geräte: Die Anzahl der Geräte mit nicht konfigurierten ASR-Regeln.
• Die Anzahl von Geräten mit nicht konfigurierten Regeln
• Die Anzahl von Geräten mit Regeln im Überwachungsmodus
• Die Anzahl von Geräten mit Regeln im Blockmodus

Die Detailtabelle enthält die folgenden Informationen für jedes betroffene Gerät:

• Gerät: Der Name des Geräts.

• Gesamtkonfiguration: Fasst die Bedingung aller ASR-Regeln auf dem Gerät zusammen. Zum Beispiel:

  • Regeln im Blockmodus: Einige Regeln auf dem Gerät befinden sich im Blockierungsmodus .
  • Regeln deaktiviert: Einige Regeln auf dem Gerät sind deaktiviert.

• Regeln im Blockmodus

• Regeln im Überwachungsmodus

• Regeln im Warnmodus

  Weitere Informationen zu den verschiedenen ASR-Regelmodi finden Sie unter ASR-Regelmodi.

• Regeln deaktiviert

• Regeln nicht zutreffend: Beispiel: Die Regel Webshellerstellung für Server blockieren auf Clientarbeitsstationen.

• Unknown

• Geräte-ID: Der eindeutige SHA-1-Hashwertbezeichner für das Gerät in Microsoft Defender for Endpoint. Weitere Informationen finden Sie unter Computerressourcentyp.

Wählen Sie eine Spaltenüberschrift aus, um nach diesem Wert zu sortieren.

Verwenden Sie das Suchfeld , um ein bestimmtes Gerät in der Detailtabelle nach Geräte- oder Geräte-ID-Wert zu suchen. Partielle Übereinstimmungen werden unterstützt.

Gerätedetails

Wenn Sie einen Geräteeintrag aus der Detailtabelle auf der Registerkarte Konfiguration der Berichtsseite Angriffsflächenverringerungsregeln auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, wird ein Flyout mit den Gerätedetails mit den folgenden Informationen geöffnet:

• Eine Liste aller verfügbaren ASR-Regeln und deren Zustände auf dem Gerät:

• Aus

• Überwachung

• Blockieren

• Warnen

• Nicht zutreffend

• Zur Richtlinie hinzufügen am unteren Rand des Flyouts öffnet das Microsoft Intune Admin Center. Weitere Informationen zu den verschiedenen Möglichkeiten zum Konfigurieren von ASR-Regeln finden Sie unter Bereitstellungs- und Konfigurationsmethoden für ASR-Regeln.

Registerkarte "Ausschlüsse hinzufügen"

Wichtig

Das Ausschließen von Dateien oder Ordnern kann den Schutz durch ASR-Regeln erheblich verringern. Ausgeschlossene Dateien dürfen ausgeführt werden, und es wird kein Bericht oder Ereignis aufgezeichnet.

Wenn ASR-Regeln Dateien erkennen, die Ihrer Meinung nach nicht erkannt werden sollten, sollten Sie die Regel zur Untersuchung in den Überwachungsmodus wechseln.

Verwenden https://security.microsoft.com/asr?viewid=exclusionsSie , um direkt zur Registerkarte Ausschlüsse hinzufügen der Berichtsseite Angriffsflächenreduzierungsregeln zu wechseln.

Auf der Registerkarte Ausschlüsse hinzufügen werden Dateierkennungen nach ASR-Regeln auf allen Geräten aufgelistet.

Filter > Mit Regeln oder Filter können Sie die Ergebnisse auf der Seite filtern. Standardmäßig ist Standard Schutz ausgewählt, um Daten nur für Standardschutzregeln anzuzeigen. Sie können jedoch zu Alle wechseln, um Daten für alle ASR-Regeln anzuzeigen.

Die Detailtabelle enthält die folgenden Informationen:

• Dateiname: Der Name der Datei, die das ASR-Regelereignis ausgelöst hat.
• Erkennungen: Die Gesamtzahl der erkannten Ereignisse für die Datei. Einzelne Geräte können mehrere ASR-Regelereignisse auslösen.
• Geräte: Die Anzahl der Geräte, auf denen die Erkennung aufgetreten ist.

Wählen Sie eine Spaltenüberschrift aus, um nach diesem Wert zu sortieren.

Verwenden Sie das Suchfeld , um Einträge nach Dateinamen zu suchen.

Zusammenfassung & Bereich für erwartete Auswirkungen

Wenn Sie einen oder mehrere Dateieinträge aus der Detailtabelle auf der Registerkarte Ausschlüsse hinzufügen des Berichts angriffsflächenverringerte Regeln auswählen, indem Sie die Kontrollkästchen neben der Spalte Dateiname aktivieren, wird der Bereich Zusammenfassung & erwarteten Auswirkungen mit Informationen und Aktionen für die ausgewählten Dateien gefüllt:

• Abschnitt "Zusammenfassung" : Die Anzahl der ausgewählten Dateien.

• <Abschnitt "n> erkennungen ": Was geschieht mit ASR-Regelerkennungen für die ausgewählten Dateien, wenn Sie sie von ASR-Regeln ausschließen:

  • Wie viele Regelerkennungen ausgeschlossen werden (<n> Erkennungen weniger nach Ausschlüssen)
  • Ein Diagramm, das die Anzahl der tatsächlichen Erkennungen und Erkennungen nach Ausschlüssen zeigt.

• <n> Abschnitt "Betroffene Geräte": Was geschieht mit ASR-Regelerkennungen auf Geräten, wenn Sie die ausgewählten Dateien aus ASR-Regeln ausschließen:

  • <n> Betroffene Geräte: Wie viele Geräte sind betroffen (<n> Geräte weniger nach Ausschlüssen)
  • Ein Diagramm, das die Anzahl der Geräte anzeigt, auf denen weiterhin Erkennungen und Keine Erkennungen mehr vorhanden sind.

• Die folgenden Aktionen sind unten im Bereich Zusammenfassung & erwarteten Auswirkungen verfügbar:

  • Ausschlüsse hinzufügen: Öffnet das Microsoft Intune Admin Center. Weitere Informationen zu den verschiedenen Möglichkeiten zum Ausschließen von Dateien und Ordnern aus ASR-Regeln finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

  • Ausgewählte Ausschlusspfade abrufen: Generiert eine AsrExclusionPaths.csv Datei mit den vollständigen Pfaden zu den betroffenen Dateien zum Download.

Verwandte Inhalte

• Regelbereitstellungshandbuch zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Planen der Bereitstellung von Asr-Regeln (Attack Surface Reduction, Verringerung der Angriffsfläche)
• Testen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) aktivieren
• Verwalten und Überwachen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Referenz zu den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)