Operationalisieren von Regeln zur Verringerung der Angriffsfläche
Gilt für:
Nachdem Sie die Regeln zur Verringerung der Angriffsfläche vollständig bereitgestellt haben, ist es wichtig, dass Sie über Prozesse verfügen, um ASR-bezogene Aktivitäten zu überwachen und darauf zu reagieren. Zu den Aktivitäten gehören:
Verwalten falsch positiver ASR-Regeln
Falsch positive/negative Ergebnisse können bei jeder Bedrohungsschutzlösung auftreten. Falsch positive Ergebnisse sind Fälle, in denen eine Entität (z. B. eine Datei oder ein Prozess) erkannt und als böswillig identifiziert wird, obwohl die Entität eigentlich keine Bedrohung darstellt. Im Gegensatz dazu ist ein falsch negatives Objekt eine Entität, die nicht als Bedrohung erkannt wurde, aber böswillig ist. Weitere Informationen zu falsch positiven und falsch negativen Ergebnissen finden Sie unter Behandeln falsch positiver/negativer Ergebnisse in Microsoft Defender for Endpoint
Mit ASR-Regelberichten Schritt halten
Eine konsistente, regelmäßige Überprüfung von Berichten ist ein wesentlicher Aspekt, um die Bereitstellung ihrer Regeln zur Verringerung der Angriffsfläche aufrechtzuerhalten und bei neu auftretenden Bedrohungen auf dem Stand zu bleiben. Ihr organization sollte über geplante Überprüfungen von Ereignissen zur Verringerung von Angriffsflächesregeln in einem Rhythmus verfügen, der mit den gemeldeten Ereignissen der Angriffsfläche zur Verringerung der Angriffsfläche auf dem neuesten Stand bleibt. Abhängig von der Größe Ihrer organization können Überprüfungen täglich, stündlich oder kontinuierlich überwacht werden.
ERWEITERTE Suche nach ASR-Regeln
Eines der leistungsstärksten Features von Microsoft Defender XDR ist die erweiterte Suche. Wenn Sie mit der erweiterten Suche nicht vertraut sind, lesen Sie: Proaktives Suchen nach Bedrohungen mit erweiterter Suche.
Die erweiterte Suche ist ein abfragebasiertes (Kusto-Abfragesprache) Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage der erfassten Daten untersuchen können. Durch die erweiterte Suche können Sie Ereignisse proaktiv untersuchen, um interessante Indikatoren und Entitäten zu finden. Der flexible Zugriff auf Daten ermöglicht eine uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.
Durch die erweiterte Suche ist es möglich, Informationen zu Regeln zur Verringerung der Angriffsfläche zu extrahieren, Berichte zu erstellen und ausführliche Informationen zum Kontext einer bestimmten Regel zur Verringerung der Angriffsfläche zu erhalten.
Sie können Regelereignisse zur Verringerung der Angriffsfläche aus der Tabelle DeviceEvents im Abschnitt erweiterte Suche des Microsoft Defender-Portals abfragen. Die folgende Abfrage zeigt beispielsweise, wie alle Ereignisse gemeldet werden, die Regeln zur Verringerung der Angriffsfläche als Datenquelle für die letzten 30 Tage aufweisen. Die Abfrage fasst dann nach der ActionType-Anzahl mit dem Namen der Regel zur Verringerung der Angriffsfläche zusammen.
Ereignisse zur Verringerung der Angriffsfläche, die im Voranschreiten des Huntingportals angezeigt werden, werden stündlich auf eindeutige Prozesse gedrosselt. Der Zeitpunkt des Angriffs zur Verringerung der Angriffsfläche ist das erste Mal, wenn das Ereignis innerhalb dieser Stunde angezeigt wird.
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType
Wie oben gezeigt, wurden 187 Ereignisse für AsrLsassCredentialTheft registriert:
- 102 für Blockiert
- 85 für Audited
- Zwei Ereignisse für AsrOfficeChildProcess (1 für Audited und 1 für Block)
- Acht Ereignisse für AsrPsexecWmiChildProcessAudited
Wenn Sie sich auf die Regel AsrOfficeChildProcess konzentrieren und Details zu den tatsächlich beteiligten Dateien und Prozessen abrufen möchten, ändern Sie den Filter für ActionType, und ersetzen Sie die Zusammenfassungszeile durch eine Projektion der gewünschten Felder (in diesem Fall sind dies DeviceName, FileName, FolderPath usw.).
DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine
Der wahre Vorteil der erweiterten Suche besteht darin, dass Sie die Abfragen nach Ihren Wünschen gestalten können. Indem Sie Ihre Abfrage strukturieren, können Sie genau sehen, was passiert ist, unabhängig davon, ob Sie etwas auf einem einzelnen Computer bestimmen oder Erkenntnisse aus Ihrer gesamten Umgebung extrahieren möchten.
Weitere Informationen zu Huntingoptionen finden Sie unter Demystifying attack surface reduction rules - Part 3( Demystifying attack surface reduction rules – Part 3).
Artikel in dieser Bereitstellungssammlung
Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche
Planen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche
Testen von Regeln zur Verringerung der Angriffsfläche
Aktivieren der Regeln zur Verringerung der Angriffsfläche
Referenz zu Regeln zur Verringerung der Angriffsfläche
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für