Das Microsoft Defender-Portal ist die neue Schnittstelle zum Überwachen und Verwalten der Sicherheit für Ihre Microsoft-Identitäten, -Daten, -Geräte, -Apps und -Infrastruktur. Hier können Sie den Sicherheitsstatus Ihrer Organisation ganz einfach anzeigen, Geräte, Benutzer und Apps konfigurieren sowie Benachrichtigungen zu verdächtigen Aktivitäten erhalten. Das Microsoft Defender-Portal ist für Sicherheitsadministratoren und Sicherheitsbetriebsteams vorgesehen, um ihre organization besser zu verwalten und zu schützen. Besuchen Sie das Microsoft Defender-Portal unterhttps://security.microsoft.com.
Im Microsoft Defender-Portal bieten wir Ihnen einen vollständigen Einblick in die aktuelle Konfiguration der Regeln zur Verringerung der Angriffsfläche und die Aktuellen Ereignisse in Ihrem Bestand. Ihre Geräte müssen in den Microsoft Defender for Endpoint-Dienst integriert werden, damit diese Berichte aufgefüllt werden können.
Hier ist ein Screenshot aus dem Microsoft Defender-Portal (unter Verringerung derAngriffsflächevon Berichten>Geräte>). Wählen Sie auf Geräteebene im Bereich Regeln zur Verringerung der Angriffsfläche die Option Konfiguration aus. Der folgende Bildschirm wird angezeigt, in dem Sie ein bestimmtes Gerät auswählen und die Konfiguration der einzelnen Regel zur Verringerung der Angriffsfläche überprüfen können.
Microsoft Defender for Endpoint – Erweiterte Suche
Die erweiterte Suche ist ein abfragebasiertes (Kusto-Abfragesprache) Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage der erfassten (Roh-)Daten untersuchen können, die Defender für Endpunkt von Ihren Geräten sammelt. Durch die erweiterte Suche können Sie Ereignisse proaktiv untersuchen, um interessante Indikatoren und Entitäten zu finden. Der flexible Zugriff auf Daten hilft bei der uneingeschränkten Suche nach bekannten und potenziellen Bedrohungen.
Durch die erweiterte Suche ist es möglich, Informationen zu Regeln zur Verringerung der Angriffsfläche zu extrahieren, Berichte zu erstellen und ausführliche Informationen zum Kontext einer bestimmten Regel zur Verringerung der Angriffsfläche zu erhalten.
Ereignisse zur Verringerung der Angriffsfläche können in der Tabelle DeviceEvents im Abschnitt "Erweiterte Suche" des Microsoft Defender XDR abgefragt werden. Beispielsweise kann eine einfache Abfrage wie die nachstehende alle Ereignisse melden, die Regeln zur Verringerung der Angriffsfläche als Datenquelle für die letzten 30 Tage aufweisen, und sie anhand der ActionType-Anzahl zusammenfassen, die in diesem Fall der tatsächliche Codename der Regel zur Verringerung der Angriffsfläche ist.
Kusto
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith"Asr"
| summarize EventCount=count() by ActionType
Mit der erweiterten Suche können Sie die Abfragen nach Ihren Wünschen gestalten, sodass Sie sehen können, was passiert, unabhängig davon, ob Sie etwas auf einem einzelnen Computer festlegen oder Erkenntnisse aus Ihrer gesamten Umgebung extrahieren möchten.
Microsoft Defender for Endpoint computer Zeitleiste
Eine Alternative zur erweiterten Suche, aber mit einem engeren Bereich, ist die Microsoft Defender for Endpoint Computer Zeitleiste. Sie können alle gesammelten Ereignisse eines Geräts in den letzten sechs Monaten im Microsoft Defender XDR anzeigen, indem Sie zur Liste Computer wechseln, einen bestimmten Computer auswählen und dann auf der Registerkarte Zeitachse auswählen.
Der folgende Screenshot zeigt die Zeitachsenansicht dieser Ereignisse an einem bestimmten Endpunkt. In dieser Ansicht können Sie die Ereignisliste basierend auf einer der Ereignisgruppen im rechten Bereich filtern. Sie können auch gekennzeichnete und ausführliche Ereignisse aktivieren oder deaktivieren, während Sie Warnungen anzeigen und durch die verlaufsbezogenen Zeitleiste scrollen.
Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche
Die erste und unmittelbarste Möglichkeit besteht darin, mithilfe der PowerShell-Cmdlets lokal auf einem Windows-Gerät zu überprüfen, welche Regeln zur Verringerung der Angriffsfläche (und deren Konfiguration) aktiviert sind.
Im Folgenden finden Sie einige weitere Informationsquellen, die Windows bietet, um die Auswirkungen und den Betrieb von Regeln zur Verringerung der Angriffsfläche zu beheben.
Abfragen der aktiven Regeln
Eine der einfachsten Möglichkeiten, um zu ermitteln, ob Regeln zur Verringerung der Angriffsfläche bereits aktiviert sind, ist das PowerShell-Cmdlet Get-MpPreference.
Hier ist ein Beispiel:
Es sind mehrere Regeln zur Verringerung der Angriffsfläche mit unterschiedlichen konfigurierten Aktionen aktiv.
Um die oben genannten Informationen zu Regeln zur Verringerung der Angriffsfläche zu erweitern, können Sie die Eigenschaften AttackSurfaceReductionRules_Ids und/oder AttackSurfaceReductionRules_Actions verwenden.
Abfragen von Blockierungs- und Überwachungsereignissen
Regelereignisse zur Verringerung der Angriffsfläche können im Windows Defender-Protokoll angezeigt werden.
Um darauf zuzugreifen, öffnen Sie Windows Ereignisanzeige, und navigieren Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>Windows Defender>Operational.
Microsoft Defender Protokolle zum Schutz vor Antischadsoftware
Sie können Regelereignisse auch über das dedizierte Befehlszeilentool Microsoft Defender Antivirus anzeigen, *mpcmdrun.exe*das zum Verwalten und Konfigurieren sowie zum Automatisieren von Aufgaben bei Bedarf verwendet werden kann.
Sie finden dieses Hilfsprogramm unter %ProgramFiles%\Windows Defender\MpCmdRun.exe. Sie müssen es an einer Eingabeaufforderung mit erhöhten Rechten ausführen (d. a. als Admin ausführen).
Geben Sie zum Generieren der Supportinformationen MpCmdRun.exe -getfiles ein. Nach einer Weile werden mehrere Protokolle in ein Archiv (MpSupportFiles.cab) gepackt und in C:\ProgramData\Microsoft\Windows Defender\Support zur Verfügung gestellt.
Extrahieren Sie dieses Archiv, und Sie haben viele Dateien für die Problembehandlung zur Verfügung.
Die relevantesten Dateien sind wie folgt:
MPOperationalEvents.txt: Diese Datei enthält die gleiche Ebene von Informationen, die in Ereignisanzeige für das Betriebsprotokoll von Windows Defender gefunden wurden.
MPRegistry.txt: In dieser Datei können Sie alle aktuellen Windows Defender-Konfigurationen analysieren, ab dem Zeitpunkt, zu dem die Supportprotokolle erfasst wurden.
MPLog.txt: Dieses Protokoll enthält ausführlichere Informationen zu allen Aktionen/Vorgängen von Windows Defender.
Enthält Informationen zu Erkennung, Konfiguration, Blockbedrohungen und Methoden zur Verringerung der Angriffsfläche, um drei Standardregeln und -ausschlüsse zu ermöglichen.
Aktivieren Sie Regeln zur Verringerung der Angriffsfläche, um Ihre Geräte vor Angriffen zu schützen, die Makros, Skripts und gängige Einschleusungstechniken verwenden.
Enthält eine Übersicht und Anleitungen zur Bereitstellung von Microsoft Defender für Endpunkt-Regeln zur Verringerung der Angriffsfläche. Links zu Artikeln, die zeigen, wie Sie die Bereitstellung und asr planen, ASR-Regeln testen, ASR-Regeln konfigurieren und ASR-Regeln aktivieren.