Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Überprüfen von Ereignissen in Ereignisanzeige ist nützlich, wenn Sie Features zur Verringerung der Angriffsfläche bewerten. Beispielsweise können Sie den Überwachungsmodus für Features oder Einstellungen aktivieren und dann überprüfen, was passieren würde, wenn sie vollständig aktiviert wären. Sie können auch die Auswirkungen von Features zur Verringerung der Angriffsfläche anzeigen, wenn sie vollständig aktiviert sind.
In diesem Artikel wird beschrieben, wie Sie Windows Ereignisanzeige verwenden, um Ereignisse von AsR-Funktionen (Attack Surface Reduction, Verringerung der Angriffsfläche) anzuzeigen, einschließlich:
- Regeln zur Verringerung der Angriffsfläche
- Kontrollierter Ordnerzugriff
- Exploit-Schutz
- Netzwerkschutz
Um Ereignisse zur Verringerung der Angriffsfläche anzuzeigen, haben Sie die folgenden Optionen, wie im weiteren Verlauf dieses Artikels erläutert:
- Durchsuchen von Ereignissen zur Verringerung der Angriffsfläche in Windows Ereignisanzeige: Navigieren zu Den Ereignissen zur Verringerung der Angriffsfläche in Ereignisanzeige und den Ereignis-IDs für jede Funktion zur Verringerung der Angriffsfläche.
- Verwenden von benutzerdefinierten Ansichten in Windows Ereignisanzeige zum Anzeigen von Ereignissen zur Verringerung der Angriffsfläche: Erstellen oder Importieren von benutzerdefinierten Ansichten zum Filtern Ereignisanzeige nach bestimmten ASR-Funktionen und einsatzbereiten XML-Abfragevorlagen.
Tipp
Sie können die Windows-Ereignisweiterleitung verwenden, um die Ereignissammlung zur Verringerung der Angriffsfläche von mehreren Geräten zu zentralisieren.
Das Microsoft Defender-Portal bietet auch Berichte zu Funktionen zur Verringerung der Angriffsfläche, die einfacher zu verwenden sind als Windows Ereignisanzeige:
Durchsuchen von Ereignissen zur Verringerung der Angriffsfläche in Windows Ereignisanzeige
Alle Ereignisse zur Verringerung der Angriffsfläche befinden sich unter Anwendungs- und Dienstprotokolle. Führen Sie die folgenden Schritte aus, um Ereignisse zur Verringerung der Angriffsfläche anzuzeigen:
Wählen Sie Start aus, geben Sie Ereignisanzeige ein, und drücken Sie dann die EINGABETASTE, um Ereignisanzeige zu öffnen.
Erweitern Sie Ereignisanzeige Anwendungs- und Dienstprotokolle>Microsoft>Windows.
Erweitern Sie den Pfad für die verschiedenen Arten von Ereignissen zur Verringerung der Angriffsfläche, wie in den folgenden Unterabschnitten beschrieben.
Suchen und filtern Sie die Ereignisse, die Sie anzeigen möchten, wie in den folgenden Unterabschnitten beschrieben.
ASR-Regelereignisse
ASR-Regelereignisse befinden sich im WindowsDefender-Betriebsprotokoll>:
| Ereignis-ID | Beschreibung |
|---|---|
| 1121 | Ereignis, wenn die Regel im Blockmodus ausgelöst wird |
| 1122 | Ereignis, wenn die Regel im Überwachungsmodus ausgelöst wird |
| 1129 | Ereignis, wenn der Benutzer den Block im Warnmodus überschreibt |
| 5007 | Ereignis, wenn Einstellungen geändert werden |
Kontrollierte Ordnerzugriffsereignisse
Kontrollierte Ordnerzugriffsereignisse befinden sich in Windows Defender>Operational.
| Ereignis-ID | Beschreibung |
|---|---|
| 5007 | Ereignis, wenn Einstellungen geändert werden |
| 1124 | Überwachtes Ereignis für den kontrollierten Ordnerzugriff |
| 1123 | Blockiertes Ereignis für den kontrollierten Ordnerzugriff |
| 1127 | Blockiertes Ereignis für den kontrollierten Ordnerzugriff auf den Sektor "Schreibblock" |
| 1128 | Überwachtes Ereignis für den kontrollierten Ordnerzugriff auf den Sektor "Schreibblock" |
Exploit-Schutzereignisse
Die folgenden Exploit-Schutzereignisse befinden sich in den Protokollen Security-MitigationsKernel Mode und Security-Mitigations User Mode:The following exploit protection events are located in the Security-Mitigations >Kernel Mode and Security-Mitigations>User Mode Logs:
| Ereignis-ID | Beschreibung |
|---|---|
| 1 | ACG-Überwachung |
| 2 | ACG-Erzwingung |
| 3 | Überwachung von untergeordneten Prozessen nicht zulassen |
| 4 | Blockieren von untergeordneten Prozessen nicht zulassen |
| 5 | Blockieren von Abbildern mit niedriger Integrität (Überwachung) |
| 6 | Blockieren von Abbildern mit niedriger Integrität (Blockierung) |
| 7 | Blockieren von Remote-Abbildern (Überwachung) |
| 8 | Blockieren von Remote-Abbildern (Blockierung) |
| 9 | Win32k Systemaufrufe deaktivieren (Überwachung) |
| 10 | Win32k Systemaufrufe deaktivieren (Blockierung) |
| 11 | Codeintegrität (Überwachung) |
| 12 | Codeintegrität (Blockierung) |
| 13 | EAF-Überwachung |
| 14 | EAF-Erzwingung |
| 15 | EAF+ (Überwachung) |
| 16 | EAF + Erzwingung |
| 17 | IAF-Überwachung |
| 18 | IAF-Erzwingung |
| 19 | ROP StackPivot (Überwachung) |
| 20 | ROP StackPivot (Erzwingen) |
| 21 | ROP CallerCheck (Überwachung) |
| 22 | ROP CallerCheck (Erzwingen) |
| 23 | ROP SimExec (Überwachung) |
| 24 | ROP SimExec (Erzwingen) |
Das folgende Exploit-Schutzereignis befindet sich im WER-Diagnostics-Betriebsprotokoll>:
| Ereignis-ID | Beschreibung |
|---|---|
| 5 | CFG (Blockieren) |
Das folgende Exploit-Schutzereignis befindet sich im Win32k-Betriebsprotokoll>:
| Ereignis-ID | Beschreibung |
|---|---|
| 260 | Nicht vertrauenswürdige Schriftart |
Netzwerkschutzereignisse
Netzwerkschutzereignisse befinden sich unter Windows Defender>Operational.
| Ereignis-ID | Beschreibung |
|---|---|
| 5007 | Ereignis, wenn Einstellungen geändert werden |
| 1125 | Ereignis, wenn der Netzwerkschutz im Überwachungsmodus ausgelöst wird |
| 1126 | Ereignis, wenn der Netzwerkschutz im Blockmodus ausgelöst wird |
Verwenden von benutzerdefinierten Ansichten in Windows Ereignisanzeige zum Anzeigen von Ereignissen zur Verringerung der Angriffsfläche
Sie können benutzerdefinierte Ansichten in Windows Ereignisanzeige erstellen, um nur die Ereignisse für bestimmte Funktionen zur Verringerung der Angriffsfläche anzuzeigen. Die einfachste Möglichkeit besteht darin, eine benutzerdefinierte Ansicht als XML-Datei zu importieren. Sie können den XML-Code auch direkt in Ereignisanzeige kopieren.
Gebrauchsfertige XML-Vorlagen finden Sie im Abschnitt Benutzerdefinierte XML-Vorlagen für Ereignisse zur Verringerung der Angriffsfläche .
Importieren einer vorhandenen benutzerdefinierten XML-Ansicht
Erstellen Sie eine leere .txt Datei, und kopieren Sie den XML-Code für die benutzerdefinierte Ansicht, die Sie verwenden möchten, in die .txt-Datei. Führen Sie diesen Schritt für jede der benutzerdefinierten Ansichten aus, die Sie verwenden möchten. Benennen Sie die Dateien wie folgt um (stellen Sie sicher, dass Sie den Typ von .txt in .xml ändern):
- Benutzerdefinierte Ansicht kontrollierter Ordnerzugriffsereignisse: cfa-events.xml
- Benutzerdefinierte Ansicht von Exploitschutzereignissen: ep-events.xml
- Benutzerdefinierte Ansicht von Ereignissen zur Verringerung der Angriffsfläche: asr-events.xml
- Benutzerdefinierte Ansicht von Netzwerkschutzereignissen: np-events.xml
Wählen Sie Start aus, geben Sie Ereignisanzeige ein, und drücken Sie dann die EINGABETASTE, um Ereignisanzeige zu öffnen.
Wählen Sie Aktion>Benutzerdefinierte Ansicht importieren... aus.
Navigieren Sie zur XML-Datei für die gewünschte benutzerdefinierte Ansicht, und wählen Sie sie aus.
Klicken Sie auf Öffnen.
Die benutzerdefinierte Ansicht filtert, um nur die Ereignisse anzuzeigen, die sich auf dieses Feature beziehen.
Direktes Kopieren des XML-Codes
Wählen Sie Start aus, geben Sie Ereignisanzeige ein, und drücken Sie dann die EINGABETASTE, um Ereignisanzeige zu öffnen.
Wählen Sie im Bereich Aktionen die Option Benutzerdefinierte Ansicht erstellen... aus.
Wechseln Sie zur Registerkarte XML, und wählen Sie Abfrage manuell bearbeiten aus. Eine Warnung gibt an, dass Sie die Abfrage nicht über die Registerkarte Filter bearbeiten können, wenn Sie die XML-Option verwenden. Wählen Sie Ja.
Fügen Sie den XML-Code für das Feature, aus dem Sie Ereignisse filtern möchten, in den XML-Abschnitt ein.
Wählen Sie OK aus. Geben Sie einen Namen für den Filter an. Die benutzerdefinierte Ansicht filtert, um nur die Ereignisse anzuzeigen, die sich auf dieses Feature beziehen.
Benutzerdefinierte XML-Vorlagen für Ereignisse zur Verringerung der Angriffsfläche
XML für Regelereignisse zur Verringerung der Angriffsfläche
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML für Kontrollierte Ordnerzugriffsereignisse
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML für Exploit-Schutzereignisse
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML für Netzwerkschutzereignisse
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>