Solución de problemas de reglas de reducción de superficie expuesta a ataques

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Al usar reglas de reducción de superficie expuesta a ataques , es posible que se parecen a problemas, como los siguientes:

• Una regla bloquea un archivo, procesa o realiza alguna otra acción que no debería (falso positivo)
• Una regla no funciona como se describe o no bloquea un archivo o proceso que debe (falso negativo)

Hay cuatro pasos para solucionar estos problemas:

1. Confirmación de los requisitos previos
2. Uso del modo de auditoría para probar la regla
3. Agregar exclusiones para la regla especificada (para falsos positivos)
4. Envío de registros de soporte técnico

Confirmación de los requisitos previos

Las reglas de reducción de superficie expuesta a ataques solo funcionan en dispositivos con las condiciones siguientes:

• Los puntos de conexión se ejecutan Windows 10 Enterprise o posterior.

• Los puntos de conexión usan Microsoft Defender Antivirus como única aplicación de protección antivirus. El uso de cualquier otra aplicación antivirus hace que Microsoft Defender Antivirus se deshabilite.

• La protección en tiempo real está habilitada.

• El modo de auditoría no está habilitado. Use directiva de grupo para establecer la regla en Deshabilitada (valor: 0), como se describe en Habilitar reglas de reducción de superficie expuesta a ataques.

Si se cumplen estos requisitos previos, continúe con el paso siguiente para probar la regla en modo de auditoría.

Uso del modo de auditoría para probar la regla

Siga estas instrucciones en Uso de la herramienta de demostración para ver cómo funcionan las reglas de reducción de superficie expuesta a ataques para probar la regla específica con la que tiene problemas.

1. Habilite el modo de auditoría para la regla específica que desea probar. Use directiva de grupo para establecer la regla en Modo de auditoría (valor: 2) como se describe en Habilitar reglas de reducción de superficie expuesta a ataques. El modo auditoría permite que la regla informe del archivo o proceso, pero permite que se ejecute.

2. Realice la actividad que está causando un problema (por ejemplo, abra o ejecute el archivo o proceso que se debe bloquear pero que se permite).

3. Revise los registros de eventos de la regla de reducción de superficie expuesta a ataques para ver si la regla bloquearía el archivo o el proceso si la regla se estableció en Habilitado.

Si una regla no bloquea un archivo o proceso que espera que se bloquee, compruebe primero si el modo de auditoría está habilitado.

El modo de auditoría puede estar habilitado para probar otra característica o mediante un script de PowerShell automatizado y es posible que no se deshabilite una vez completadas las pruebas.

Si ha probado la regla con la herramienta de demostración y con el modo de auditoría, y las reglas de reducción de la superficie expuesta a ataques funcionan en escenarios preconfigurados, pero la regla no funciona según lo esperado, vaya a cualquiera de las secciones siguientes en función de su situación:

1. Si la regla de reducción de superficie expuesta a ataques bloquea algo que no debe bloquear (también conocido como falso positivo), primero puede agregar una exclusión de la regla de reducción de superficie expuesta a ataques.

2. Si la regla de reducción de superficie expuesta a ataques no bloquea algo que debe bloquear (también conocido como falso negativo), puede continuar inmediatamente al último paso, recopilando datos de diagnóstico y enviándonos el problema.

Adición de exclusiones para un falso positivo

Si la regla de reducción de superficie expuesta a ataques bloquea algo que no debe bloquear (también conocido como falso positivo), puede agregar exclusiones para evitar que las reglas de reducción de la superficie expuesta a ataques evalúen los archivos o carpetas excluidos.

Para agregar una exclusión, consulta Personalizar la reducción de la superficie expuesta a ataques.

Importante

Puede especificar archivos y carpetas individuales que se van a excluir, pero no puede especificar reglas individuales. Esto significa que los archivos o carpetas que se excluyen se excluirán de todas las reglas de ASR.

Notificar un falso positivo o un falso negativo

Use el Inteligencia de seguridad de Microsoft formulario de envío basado en web para notificar un falso negativo o falso positivo para la protección de red. Con una suscripción a Windows E5, también puede proporcionar un vínculo a cualquier alerta asociada.

Recopilación de datos de diagnóstico para envíos de archivos

Al informar de un problema con las reglas de reducción de superficie expuesta a ataques, se le pide que recopile y envíe datos de diagnóstico que puedan usar los equipos de ingeniería y soporte técnico de Microsoft para ayudar a solucionar problemas.

1. Abra un símbolo del sistema con privilegios elevados y cambie al directorio Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Ejecute este comando para generar los registros de diagnóstico:

   mpcmdrun -getfiles
   

3. De forma predeterminada, se guardan en C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Adjunte el archivo al formulario de envío.

Artículos relacionados

• Reglas de la reducción de la superficie expuesta a ataques
• Habilitar las reglas de la reducción de superficie expuesta a ataques
• Evaluar las reglas de la reducción de la superficie expuesta a ataques

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.