Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La revisión de eventos en Visor de eventos resulta útil al evaluar las características de reducción de superficie expuesta a ataques. Por ejemplo, puede habilitar el modo de auditoría para las características o la configuración y, a continuación, revisar lo que sucedería si estuvieran totalmente habilitadas. También puedes ver los efectos de las características de reducción de superficie expuesta a ataques cuando están totalmente habilitadas.
En este artículo se describe cómo usar Windows Visor de eventos para ver eventos de las funcionalidades de reducción de la superficie expuesta a ataques (ASR), entre las que se incluyen:
- Reglas de la reducción de la superficie expuesta a ataques
- Acceso controlado a carpetas
- Protección contra vulnerabilidades de seguridad
- Protección de red
Para ver los eventos de reducción de superficie expuesta a ataques, tiene las siguientes opciones, como se explica en el resto de este artículo:
- Examinar los eventos de reducción de la superficie expuesta a ataques en Windows Visor de eventos: cómo navegar hasta los eventos de reducción de superficie expuesta a ataques en Visor de eventos y los identificadores de evento para cada funcionalidad de reducción de superficie expuesta a ataques.
- Use vistas personalizadas en Windows Visor de eventos para ver eventos de reducción de superficie expuesta a ataques: creación o importación de vistas personalizadas para filtrar Visor de eventos para funcionalidades de ASR específicas y plantillas de consulta XML listas para usar.
Sugerencia
Puedes usar el reenvío de eventos de Windows para centralizar la recopilación de eventos de reducción de superficie expuesta a ataques desde varios dispositivos.
El portal de Microsoft Defender también proporciona informes para las características de reducción de superficie expuesta a ataques que son más fáciles de usar que Windows Visor de eventos:
Examinar eventos de reducción de superficie expuesta a ataques en Windows Visor de eventos
Todos los eventos de reducción de superficie expuesta a ataques se encuentran en registros de aplicaciones y servicios. Para ver los eventos de reducción de superficie expuesta a ataques, siga estos pasos:
Seleccione Inicio, escriba Visor de eventos y presione Entrar para abrir Visor de eventos.
En Visor de eventos, expanda Registros de aplicaciones y servicios>de Microsoft>Windows.
Continúe expandiendo la ruta de acceso para los diferentes tipos de eventos de reducción de superficie expuesta a ataques, como se describe en las subsecciones siguientes.
Busque y filtre los eventos que desea ver como se describe en las subsecciones siguientes.
Eventos de regla de ASR
Los eventos de regla de ASR se encuentran en el registrooperativo de Windows Defender>:
| Id. de evento | Descripción |
|---|---|
| 1121 | Evento cuando se activa la regla en modo de bloque |
| 1122 | Evento cuando se activa la regla en modo de auditoría |
| 1129 | Evento cuando el usuario invalida el bloque en modo de advertencia |
| 5007 | Evento cuando se cambia la configuración |
Eventos de acceso controlado a carpetas
Los eventos de acceso controlado a carpetas se encuentran en Operativo de Windows Defender>.
| Id. de evento | Descripción |
|---|---|
| 5007 | Evento cuando se cambia la configuración |
| 1124 | Evento de acceso a carpetas controladas auditadas |
| 1123 | Evento de acceso a carpetas controladas bloqueadas |
| 1127 | Evento de bloque de escritura del sector de acceso a carpetas controlado bloqueado |
| 1128 | Evento de bloque de escritura del sector de acceso a carpetas controlado auditado |
Eventos de protección contra vulnerabilidades
Los siguientes eventos de protección contra vulnerabilidades de seguridad se encuentran en los registrosModo kernel de mitigaciones> de seguridad yModo de usuariomitigaciones> de seguridad:
| Id. de evento | Descripción |
|---|---|
| 1 | Auditoría de ACG |
| 2 | Aplicación de ACG |
| 3 | No permitir auditoría de procesos secundarios |
| 4 | No permitir bloqueo de procesos secundarios |
| 5 | Bloquear auditoría de imágenes de integridad baja |
| 6 | Bloquear bloqueo de imágenes de integridad baja |
| 7 | Bloquear auditoría de imágenes remota |
| 8 | Bloquear bloqueo de imágenes remoto |
| 9 | Deshabilitar auditoría de llamadas del sistema de Win32k |
| 10 | Deshabilitar bloqueo de llamadas del sistema de Win32k |
| 11 | Auditoría de protección de integridad de código |
| 12 | Bloque de protección de integridad de código |
| 13 | Auditoría de EAF |
| 14 | Aplicación de EAF |
| 15 | Auditoría de EAF+ |
| 16 | Aplicación de EAF+ |
| 17 | Auditoría de IAF |
| 18 | Aplicación de IAF |
| 19 | Auditoría ROP StackPivot |
| 20 | Aplicación de ROP StackPivot |
| 21 | Auditoría ROP CallerCheck |
| 22 | Aplicación de ROP CallerCheck |
| 23 | Auditoría de ROP SimExec |
| 24 | Aplicación de ROP SimExec |
El siguiente evento de protección contra vulnerabilidades de seguridad se encuentra en el registrooperativoWER-Diagnostics>:
| Id. de evento | Descripción |
|---|---|
| 5 | Bloque CFG |
El siguiente evento de protección contra vulnerabilidades de seguridad se encuentra en el registrooperativode Win32k>:
| Id. de evento | Descripción |
|---|---|
| 260 | Fuente que no es de confianza |
Eventos de protección de red
Los eventos de protección de red se encuentran en Operativo de Windows Defender>.
| Id. de evento | Descripción |
|---|---|
| 5007 | Evento cuando se cambia la configuración |
| 1125 | Evento cuando se activa la protección de red en modo de auditoría |
| 1126 | Evento cuando se activa la protección de red en modo de bloque |
Uso de vistas personalizadas en Windows Visor de eventos para ver eventos de reducción de superficie expuesta a ataques
Puede crear vistas personalizadas en Windows Visor de eventos para ver solo los eventos de las funcionalidades específicas de reducción de la superficie expuesta a ataques. La manera más fácil es importar una vista personalizada como un archivo XML. También puede copiar el XML directamente en Visor de eventos.
Para ver plantillas XML listas para usar, consulte la sección Plantillas XML personalizadas para eventos de reducción de superficie expuesta a ataques .
Importación de una vista personalizada XML existente
Cree un archivo .txt vacío y copie el XML de la vista personalizada que desea usar en el archivo .txt. Realice este paso para cada una de las vistas personalizadas que desea usar. Cambie el nombre de los archivos como se indica a continuación (asegúrese de cambiar el tipo de .txt a .xml):
- Vista personalizada de eventos de acceso controlado a carpetas: cfa-events.xml
- Vista personalizada de eventos de protección contra vulnerabilidades de seguridad: ep-events.xml
- Vista personalizada de eventos de reducción de superficie expuesta a ataques: asr-events.xml
- Vista personalizada de eventos de protección de red: np-events.xml
Seleccione Inicio, escriba Visor de eventos y presione Entrar para abrir Visor de eventos.
Seleccione Importar acción>vista personalizada...
Vaya al archivo XML de la vista personalizada que desee y selecciónelo.
Seleccione Abrir.
La vista personalizada filtra para mostrar solo los eventos relacionados con esa característica.
Copiar el XML directamente
Seleccione Inicio, escriba Visor de eventos y presione Entrar para abrir Visor de eventos.
En el panel Acciones , seleccione Crear vista personalizada...
Vaya a la pestaña XML y seleccione Editar consulta manualmente. Una advertencia indica que no se puede editar la consulta mediante la pestaña Filtro cuando se usa la opción XML. Haga clic en Sí.
Pegue el código XML de la característica desde la que desea filtrar los eventos en la sección XML.
Seleccione Aceptar. Especifique un nombre para el filtro. La vista personalizada filtra para mostrar solo los eventos relacionados con esa característica.
Plantillas XML personalizadas para eventos de reducción de superficie expuesta a ataques
XML para eventos de regla de reducción de superficie expuesta a ataques
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acceso controlado a carpetas
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de protección contra vulnerabilidades de seguridad
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de protección de red
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Contenido relacionado
- Introducción a las funcionalidades de reducción de superficie expuesta a ataques
- Introducción a las reglas de reducción de superficie expuesta a ataques (ASR)
- Proteger carpetas importantes con acceso controlado a carpetas
- Proteger los dispositivos contra vulnerabilidades de seguridad
- Protección de red