Share via


Operationalisieren von Regeln zur Verringerung der Angriffsfläche

Gilt für:

Nachdem Sie die Regeln zur Verringerung der Angriffsfläche vollständig bereitgestellt haben, ist es wichtig, dass Sie über Prozesse verfügen, um ASR-bezogene Aktivitäten zu überwachen und darauf zu reagieren. Zu den Aktivitäten gehören:

Verwalten falsch positiver ASR-Regeln

Falsch positive/negative Ergebnisse können bei jeder Bedrohungsschutzlösung auftreten. Falsch positive Ergebnisse sind Fälle, in denen eine Entität (z. B. eine Datei oder ein Prozess) erkannt und als böswillig identifiziert wird, obwohl die Entität eigentlich keine Bedrohung darstellt. Im Gegensatz dazu ist ein falsch negatives Objekt eine Entität, die nicht als Bedrohung erkannt wurde, aber böswillig ist. Weitere Informationen zu falsch positiven und falsch negativen Ergebnissen finden Sie unter Behandeln falsch positiver/negativer Ergebnisse in Microsoft Defender for Endpoint

Mit ASR-Regelberichten Schritt halten

Eine konsistente, regelmäßige Überprüfung von Berichten ist ein wesentlicher Aspekt, um die Bereitstellung ihrer Regeln zur Verringerung der Angriffsfläche aufrechtzuerhalten und bei neu auftretenden Bedrohungen auf dem Stand zu bleiben. Ihr organization sollte über geplante Überprüfungen von Ereignissen zur Verringerung von Angriffsflächesregeln in einem Rhythmus verfügen, der mit den gemeldeten Ereignissen der Angriffsfläche zur Verringerung der Angriffsfläche auf dem neuesten Stand bleibt. Abhängig von der Größe Ihrer organization können Überprüfungen täglich, stündlich oder kontinuierlich überwacht werden.

ERWEITERTE Suche nach ASR-Regeln

Eines der leistungsstärksten Features von Microsoft Defender XDR ist die erweiterte Suche. Wenn Sie mit der erweiterten Suche nicht vertraut sind, lesen Sie: Proaktives Suchen nach Bedrohungen mit erweiterter Suche.

Die Seite Erweiterte Suche im Microsoft Defender-Portal. Microsoft Defender for Endpoint Regeln zur Verringerung der Angriffsfläche, die bei der erweiterten Suche verwendet werden

Die erweiterte Suche ist ein abfragebasiertes (Kusto-Abfragesprache) Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage der erfassten Daten untersuchen können. Durch die erweiterte Suche können Sie Ereignisse proaktiv untersuchen, um interessante Indikatoren und Entitäten zu finden. Der flexible Zugriff auf Daten ermöglicht eine uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Durch die erweiterte Suche ist es möglich, Informationen zu Regeln zur Verringerung der Angriffsfläche zu extrahieren, Berichte zu erstellen und ausführliche Informationen zum Kontext einer bestimmten Regel zur Verringerung der Angriffsfläche zu erhalten.

Sie können Regelereignisse zur Verringerung der Angriffsfläche aus der Tabelle DeviceEvents im Abschnitt erweiterte Suche des Microsoft Defender-Portals abfragen. Die folgende Abfrage zeigt beispielsweise, wie alle Ereignisse gemeldet werden, die Regeln zur Verringerung der Angriffsfläche als Datenquelle für die letzten 30 Tage aufweisen. Die Abfrage fasst dann nach der ActionType-Anzahl mit dem Namen der Regel zur Verringerung der Angriffsfläche zusammen.

Ereignisse zur Verringerung der Angriffsfläche, die im Voranschreiten des Huntingportals angezeigt werden, werden stündlich auf eindeutige Prozesse gedrosselt. Der Zeitpunkt des Angriffs zur Verringerung der Angriffsfläche ist das erste Mal, wenn das Ereignis innerhalb dieser Stunde angezeigt wird.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Die Abfrage

Wie oben gezeigt, wurden 187 Ereignisse für AsrLsassCredentialTheft registriert:

  • 102 für Blockiert
  • 85 für Audited
  • Zwei Ereignisse für AsrOfficeChildProcess (1 für Audited und 1 für Block)
  • Acht Ereignisse für AsrPsexecWmiChildProcessAudited

Wenn Sie sich auf die Regel AsrOfficeChildProcess konzentrieren und Details zu den tatsächlich beteiligten Dateien und Prozessen abrufen möchten, ändern Sie den Filter für ActionType, und ersetzen Sie die Zusammenfassungszeile durch eine Projektion der gewünschten Felder (in diesem Fall sind dies DeviceName, FileName, FolderPath usw.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

Die Ergebnisse der abfrageorientierten erweiterten Suche im Microsoft Defender-Portal

Der wahre Vorteil der erweiterten Suche besteht darin, dass Sie die Abfragen nach Ihren Wünschen gestalten können. Indem Sie Ihre Abfrage strukturieren, können Sie genau sehen, was passiert ist, unabhängig davon, ob Sie etwas auf einem einzelnen Computer bestimmen oder Erkenntnisse aus Ihrer gesamten Umgebung extrahieren möchten.

Weitere Informationen zu Huntingoptionen finden Sie unter Demystifying attack surface reduction rules - Part 3( Demystifying attack surface reduction rules – Part 3).

Artikel in dieser Bereitstellungssammlung

Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche

Planen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche

Testen von Regeln zur Verringerung der Angriffsfläche

Aktivieren der Regeln zur Verringerung der Angriffsfläche

Referenz zu Regeln zur Verringerung der Angriffsfläche

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.