Auf Englisch lesen

Freigeben über


Melden und Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche in Defender für Endpunkt

Gilt für:

Das Microsoft Defender-Portal ist die neue Schnittstelle zum Überwachen und Verwalten der Sicherheit für Ihre Microsoft-Identitäten, -Daten, -Geräte, -Apps und -Infrastruktur. Hier können Sie den Sicherheitsstatus Ihrer Organisation ganz einfach anzeigen, Geräte, Benutzer und Apps konfigurieren sowie Benachrichtigungen zu verdächtigen Aktivitäten erhalten. Das Microsoft Defender-Portal ist für Sicherheitsadministratoren und Sicherheitsbetriebsteams vorgesehen, um ihre organization besser zu verwalten und zu schützen. Besuchen Sie das Microsoft Defender-Portal unterhttps://security.microsoft.com.

Im Microsoft Defender-Portal bieten wir Ihnen einen vollständigen Einblick in die aktuelle Konfiguration der Regeln zur Verringerung der Angriffsfläche und die Aktuellen Ereignisse in Ihrem Bestand. Ihre Geräte müssen in den Microsoft Defender for Endpoint-Dienst integriert werden, damit diese Berichte aufgefüllt werden können. Hier ist ein Screenshot aus dem Microsoft Defender-Portal (unter Verringerung derAngriffsflächevon Berichten>Geräte>). Wählen Sie auf Geräteebene im Bereich Regeln zur Verringerung der Angriffsfläche die Option Konfiguration aus. Der folgende Bildschirm wird angezeigt, in dem Sie ein bestimmtes Gerät auswählen und die Konfiguration der einzelnen Regel zur Verringerung der Angriffsfläche überprüfen können.

Seite mit Den Regeln zur Verringerung der Angriffsfläche

Microsoft Defender for Endpoint – Erweiterte Suche

Eines der leistungsstärksten Features von Microsoft Defender for Endpoint ist die erweiterte Suche. Wenn Sie mit der erweiterten Suche nicht vertraut sind, lesen Sie proaktives Suchen nach Bedrohungen mit erweiterter Suche.

Die erweiterte Suche ist ein abfragebasiertes (Kusto-Abfragesprache) Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage der erfassten (Roh-)Daten untersuchen können, die Defender für Endpunkt von Ihren Geräten sammelt. Durch die erweiterte Suche können Sie Ereignisse proaktiv untersuchen, um interessante Indikatoren und Entitäten zu finden. Der flexible Zugriff auf Daten hilft bei der uneingeschränkten Suche nach bekannten und potenziellen Bedrohungen.

Durch die erweiterte Suche ist es möglich, Informationen zu Regeln zur Verringerung der Angriffsfläche zu extrahieren, Berichte zu erstellen und ausführliche Informationen zum Kontext einer bestimmten Regel zur Verringerung der Angriffsfläche zu erhalten.

Ereignisse zur Verringerung der Angriffsfläche können in der Tabelle DeviceEvents im Abschnitt "Erweiterte Suche" des Microsoft Defender XDR abgefragt werden. Beispielsweise kann eine einfache Abfrage wie die nachstehende alle Ereignisse melden, die Regeln zur Verringerung der Angriffsfläche als Datenquelle für die letzten 30 Tage aufweisen, und sie anhand der ActionType-Anzahl zusammenfassen, die in diesem Fall der tatsächliche Codename der Regel zur Verringerung der Angriffsfläche ist.

Kusto
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Seite

Mit der erweiterten Suche können Sie die Abfragen nach Ihren Wünschen gestalten, sodass Sie sehen können, was passiert, unabhängig davon, ob Sie etwas auf einem einzelnen Computer festlegen oder Erkenntnisse aus Ihrer gesamten Umgebung extrahieren möchten.

Microsoft Defender for Endpoint computer Zeitleiste

Eine Alternative zur erweiterten Suche, aber mit einem engeren Bereich, ist die Microsoft Defender for Endpoint Computer Zeitleiste. Sie können alle gesammelten Ereignisse eines Geräts in den letzten sechs Monaten im Microsoft Defender XDR anzeigen, indem Sie zur Liste Computer wechseln, einen bestimmten Computer auswählen und dann auf der Registerkarte Zeitachse auswählen.

Der folgende Screenshot zeigt die Zeitachsenansicht dieser Ereignisse an einem bestimmten Endpunkt. In dieser Ansicht können Sie die Ereignisliste basierend auf einer der Ereignisgruppen im rechten Bereich filtern. Sie können auch gekennzeichnete und ausführliche Ereignisse aktivieren oder deaktivieren, während Sie Warnungen anzeigen und durch die verlaufsbezogenen Zeitleiste scrollen.

Die Microsoft Defender XDR Zeitleiste

Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche

Die erste und unmittelbarste Möglichkeit besteht darin, mithilfe der PowerShell-Cmdlets lokal auf einem Windows-Gerät zu überprüfen, welche Regeln zur Verringerung der Angriffsfläche (und deren Konfiguration) aktiviert sind.

Im Folgenden finden Sie einige weitere Informationsquellen, die Windows bietet, um die Auswirkungen und den Betrieb von Regeln zur Verringerung der Angriffsfläche zu beheben.

Abfragen der aktiven Regeln

Eine der einfachsten Möglichkeiten, um zu ermitteln, ob Regeln zur Verringerung der Angriffsfläche bereits aktiviert sind, ist das PowerShell-Cmdlet Get-MpPreference.

Hier ist ein Beispiel:

Das Get mppreference-Skript

Es sind mehrere Regeln zur Verringerung der Angriffsfläche mit unterschiedlichen konfigurierten Aktionen aktiv.

Um die oben genannten Informationen zu Regeln zur Verringerung der Angriffsfläche zu erweitern, können Sie die Eigenschaften AttackSurfaceReductionRules_Ids und/oder AttackSurfaceReductionRules_Actions verwenden.

Beispiel:

PowerShell
Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids

Beispiel zum Abrufen von mpreference

Das obige Beispiel zeigt alle IDs für Regeln zur Verringerung der Angriffsfläche, deren Einstellung sich von 0 (nicht konfiguriert) unterscheidet.

Der nächste Schritt besteht darin, die tatsächlichen Aktionen (Blockieren oder Überwachen) aufzulisten, mit denen jede Regel konfiguriert ist.

PowerShell
Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions

Beispiel zum Abrufen von mppreference2

Abfragen von Blockierungs- und Überwachungsereignissen

Regelereignisse zur Verringerung der Angriffsfläche können im Windows Defender-Protokoll angezeigt werden.

Um darauf zuzugreifen, öffnen Sie Windows Ereignisanzeige, und navigieren Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>Windows Defender>Operational.

Seite

Microsoft Defender Protokolle zum Schutz vor Antischadsoftware

Sie können Regelereignisse auch über das dedizierte Befehlszeilentool Microsoft Defender Antivirus anzeigen, *mpcmdrun.exe*das zum Verwalten und Konfigurieren sowie zum Automatisieren von Aufgaben bei Bedarf verwendet werden kann.

Sie finden dieses Hilfsprogramm unter %ProgramFiles%\Windows Defender\MpCmdRun.exe. Sie müssen es an einer Eingabeaufforderung mit erhöhten Rechten ausführen (d. a. als Admin ausführen).

Geben Sie zum Generieren der Supportinformationen MpCmdRun.exe -getfiles ein. Nach einer Weile werden mehrere Protokolle in ein Archiv (MpSupportFiles.cab) gepackt und in C:\ProgramData\Microsoft\Windows Defender\Support zur Verfügung gestellt.

Die Protokolle zum Schutz vor Schadsoftware

Extrahieren Sie dieses Archiv, und Sie haben viele Dateien für die Problembehandlung zur Verfügung.

Die relevantesten Dateien sind wie folgt:

  • MPOperationalEvents.txt: Diese Datei enthält die gleiche Ebene von Informationen, die in Ereignisanzeige für das Betriebsprotokoll von Windows Defender gefunden wurden.
  • MPRegistry.txt: In dieser Datei können Sie alle aktuellen Windows Defender-Konfigurationen analysieren, ab dem Zeitpunkt, zu dem die Supportprotokolle erfasst wurden.
  • MPLog.txt: Dieses Protokoll enthält ausführlichere Informationen zu allen Aktionen/Vorgängen von Windows Defender.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.