Jaa

Hyökkäyspinnan pienentämissääntöjen testaaminen

  • Artikkeli

Koskee seuraavia:

Hyökkäysalueen vähentämissääntöjen Microsoft Defender for Endpoint testaamisen avulla voit selvittää, haittaavatko säännöt toimialakohtaisia toimintoja ennen minkään säännön käyttöönottoa. Aloittamalla pienestä, valvotusta ryhmästä voit rajoittaa mahdollisia työhäiriöitä, kun laajennat käyttöönottoa koko organisaatiossasi.

Tässä hyökkäysalueen vähentämissääntöjen käyttöönotto-oppaan osiossa opit seuraavaa:

  • määritä säännöt Microsoft Intune avulla
  • käytä Microsoft Defender for Endpoint hyökkäyspinnan vähentämissääntöjen raportteja
  • määritä hyökkäyspinnan vähentämissääntöjen poikkeukset
  • ota hyökkäyspinnan vähentämissäännöt käyttöön PowerShellin avulla
  • käytä Tapahtumienvalvonta hyökkäyspinnan vähentämissääntöjen tapahtumille

Huomautus

Ennen kuin aloitat hyökkäyspinnan pienentämissääntöjen testaamisen, on suositeltavaa poistaa ensin käytöstä kaikki säännöt, jotka olet aiemmin määrittänyt joko valvomaan tai ottamaan käyttöön (jos käytettävissä). Lisätietoja hyökkäyksen pinnan pienentämissääntöjen käytöstä poistamisesta on kohdassa Hyökkäyspinnan pienentämissääntöjen raportit .

Aloita hyökkäyspinnan pienentämissääntöjen käyttöönotto renkaalla 1.

Microsoft Defender for Endpoint hyökkäyspinnan pienentämisen (ASR-säännöt) testivaiheet. Audit attack surface reduction rules, configure ASR rules exclusions. Määritä ASR-sääntöjen Intune. ASR-sääntöjen poikkeukset. ASR-sääntöjen tapahtumienvalvonta.

Vaihe 1: Hyökkäyksen pinnan vähentämissääntöjen testaaminen valvonnan avulla

Aloita testausvaihe ottamalla käyttöön hyökkäysalueen vähentämissäännöt, joiden sääntöjen asetuksena on Valvonta, alkaen kehän 1 mestarikäyttäjistä tai laitteista. Yleensä suositus on, että otat kaikki säännöt käyttöön (auditoinnissa), jotta voit määrittää, mitkä säännöt käynnistetään testausvaiheessa. Säännöt, joiden asetuksena on Valvonta, eivät yleensä vaikuta sen entiteetin tai entiteettien toiminnallisuuteen, johon sääntöä sovelletaan, mutta luovat kirjatut tapahtumat arviointia varten. tällä ei ole vaikutusta loppukäyttäjiin.

Hyökkäyspinnan pienentämissääntöjen määrittäminen Intune avulla

Voit käyttää Microsoft Intune Päätepisteen suojaus -toimintoa mukautettujen hyökkäyspinnan pienentämissääntöjen määrittämiseen.

  1. Avaa Microsoft Intune hallintakeskus.

  2. Siirry kohtaan Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen.

  3. Valitse Create Käytäntö.

  4. Valitse käyttöympäristössäWindows 10, Windows 11 ja Windows Server ja valitse profiilissaHyökkäyspinnan pienentämissäännöt.

    ASR-sääntöjen profiilinluontisivu

  5. Valitse Luo.

  6. Lisää käytäntösi nimi Create profiiliruudun Perustiedot-välilehden Nimi-kohtaan. Lisää Kuvaus-kohtaan kuvaus hyökkäysalueen vähentämissääntöjen käytännölle.

  7. Määritä Kokoonpanoasetukset-välilehdenAttack Surface Reduction Rules -kohdassa kaikki säännöt valvontatilaan.

    Hyökkäyspinnan vähentämissääntöjen määrittäminen valvontatilaan

    Huomautus

    Joissakin hyökkäyspinnan pienentämistilan luetteloissa on muunnelmia. Estetyt ja käytössä ovat samat toiminnot.

  8. [Valinnainen] Käyttöalueen tunnisteet -ruudussa voit lisätä tunnistetietoja tiettyihin laitteisiin. Voit myös käyttää roolipohjaisia käyttöoikeuksien hallinta- ja vaikutusaluetunnisteita varmistaaksesi, että oikeilla järjestelmänvalvojilla on oikeat käyttöoikeudet ja näkyvyys oikeisiin Intune objekteihin. Lisätietoja: Käytä roolipohjaista käytönvalvontaa (RBAC) ja käyttöaluetunnisteita hajautetuille IT-toiminnoille Intune.

  9. Määritykset-ruudussa voit ottaa käyttöön tai "määrittää" profiilin käyttäjä- tai laiteryhmille. Lisätietoja: Laiteprofiilien määrittäminen Microsoft Intune

    Huomautus

    Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

  10. Tarkista asetuksesi Tarkista + luo -ruudussa. Ota säännöt käyttöön valitsemalla Create.

    Create profiilisivu

Uusi hyökkäysalueen vähentämiskäytäntö hyökkäysalueen vähentämissäännöille on lueteltu päätepisteen suojauksessa | Hyökkäyspinnan pienentäminen.

Hyökkäyspinnan pienentämissivu

Vaihe 2: Hyökkäyspinnan vähentämisen sääntöjen raportointisivun ymmärtäminen Microsoft Defender portaalissa

Hyökkäysalueen vähennyssääntöjen raportointisivu löytyy Microsoft Defender portaalin>Raporttien>hyökkäyspinnan pienentämissäännöistä. Tällä sivulla on kolme välilehteä:

  • Etsivä
  • Määritykset
  • Lisää poissulkemisia

Tunnistuksia-välilehti

Tarjoaa 30 päivän aikajanan havaituista auditointi- ja estettyjen tapahtumien tapahtumista.

Kaavio, joka näyttää hyökkäyspinnan vähentämissäännöt raportin yhteenvedontunnistuskortti.

Hyökkäysalueen pienentämissääntöjen ruutu tarjoaa yleiskatsauksen havaituista tapahtumista sääntökohtaisesti.

Huomautus

Hyökkäyspinnan pienentämissääntöjen raporteissa on joitakin muunnelmia. Microsoft päivittää parhaillaan hyökkäyspinnan vähentämissääntöjen raporttien toimintaa yhdenmukaisen käyttökokemuksen tarjoamiseksi.

Kaavio, joka näyttää hyökkäysalueen pienentämissääntöjen raportin yhteenvedon määrityskortin.

Avaa Tunnistuksia-välilehti valitsemalla Näytä tunnistuksia.

Näyttökuva, jossa näkyy hyökkäysalueen pienentämissääntöjen raporttihakuominaisuus.

Ryhmittelyperuste- ja Suodatin-ruudussa on seuraavat asetukset:

GroupBy palauttaa seuraaville ryhmille asetetut tulokset:

  • Ei ryhmittelyä
  • Tunnistettu tiedosto
  • Valvonta tai lohko
  • Sääntö
  • Lähdesovellus
  • Laite
  • Käyttäjä
  • Publisher

Huomautus

Kun suodatat säännön mukaan, raportin alemmalla puoliskolla lueteltujen yksittäisten havaittujen kohteiden määrä on tällä hetkellä rajoitettu 200 sääntöön. Vie-toiminnolla voit tallentaa täydellisen tunnistusluettelon Exceliin.

Näyttökuva, jossa näkyy ASR-sääntöjen raportin hakutoiminto määritysvälilehdellä.

Suodatin avaa Suodata sääntöihin -sivun, jonka avulla voit rajata tulokset vain valittuihin hyökkäysalueen vähentämissääntöihin:

Hyökkäyspinnan vähentämisen sääntöjen tunnistuksia suodatetaan säännöissä

Huomautus

Jos sinulla on Microsoft 365 Security E5- tai A5-, Windows E5- tai A5-käyttöoikeus, seuraava linkki avaa Microsoft Defender 365 -raporttien >hyökkäyspinnan vähennysten tunnistuksia> -välilehden.

Määritys-välilehti

Lists – tietokonekohtaisesti – hyökkäyspinnan vähentämissääntöjen koostetila: ei käytössä, valvonta, esto.

Näyttökuva, joka näyttää hyökkäysalueen pienentämissäännöt -raportin päämääritysvälilehden.

Määritykset-välilehdessä voit tarkistaa laitekohtaisesti, mitkä hyökkäyspinnan pienentämissäännöt ovat käytössä ja missä tilassa, valitsemalla laitteen, jonka hyökkäyspinnan pienentämissääntöjä haluat tarkastella.

Näyttökuva, jossa näkyy ASR-sääntöjen pikaikkuna ASR-sääntöjen lisäämiseksi laitteisiin.

Aloittaminen-linkki avaa Microsoft Intune hallintakeskuksen, jossa voit luoda tai muokata päätepisteen suojauskäytäntöä hyökkäyspinnan pienentämistä varten:

*Päätepisteen suojausvalikon vaihtoehto Yleiskatsaus-sivulla

Päätepisteen suojauksessa | Yleiskatsaus, valitse Hyökkäyspinnan pienentäminen:

Hyökkäyspinnan pieneneminen Intune

Päätepisteen suojaus | Hyökkäysalueen pienentämisruutu avautuu:

Päätepisteen suojauksen Hyökkäysalueen pienentäminen -ruutu

Huomautus

Jos sinulla on Microsoft Defender 365 E5 (tai Windows E5?) -käyttöoikeus, tämä linkki avaa Microsoft Defender 365 -raportit > Hyökkäyspinnan vähennysasetukset> -välilehden.

Lisää poissulkemisia

Tässä välilehdessä on menetelmä, jolla tunnistetut entiteetit (esimerkiksi false-positiiviset) valitaan poissulkemisen vuoksi. Kun poissulkemisia lisätään, raportissa on yhteenveto odotetusta vaikutuksesta.

Huomautus

Microsoft Defender virustentorjuntaohjelman AV-poikkeukset ovat otettu käyttöön hyökkäyspinnan pienentämissäännöillä. Katso Poikkeuksen määrittäminen ja vahvistaminen tunnisteen, nimen tai sijainnin perusteella.

Ruutu, joka sisältää tunnistetun tiedoston poissulkemisen

Huomautus

Jos sinulla on Microsoft Defender 365 E5 (tai Windows E5?) -käyttöoikeus, tämä linkki avaa Microsoft Defender 365 -raportit > Hyökkäysalueen vähennysten Poikkeukset-välilehden>.

Lisätietoja hyökkäyspinnan pienentämissääntöjen käyttämisestä on kohdassa Hyökkäyspinnan pienentämissääntöjen raportit.

Hyökkäyspinnan säännönkohtaisen vähentämisen poissulkemisten määrittäminen

Hyökkäyspinnan vähentämissäännöt tarjoavat nyt mahdollisuuden määrittää sääntökohtaisia poissulkemisia, joita kutsutaan säännön poissulkemisiksi.

Huomautus

Sääntökohtaisia poissulkemisia ei voi tällä hetkellä määrittää PowerShellin tai ryhmäkäytäntö avulla.

Määritä tietyt poissulkemiset säännöstä:

  1. Avaa Microsoft Intune hallintakeskus ja siirry kohtaanAloituspäätepisteen> suojaus >Hyökkäyspinnan pienentäminen.

  2. Jos sitä ei ole vielä määritetty, määritä säännöksi, jolle haluat määrittää poissulkemiset , kohtaan Valvonta tai Estä.

  3. Valitse VAIN SÄÄNTÖkohtainen ASR-asetus poissulkeva -kohdassa vaihtopainike, jos haluat muuttaa Ei määritetty-asetukseksi Määritetty.

  4. Kirjoita niiden tiedostojen tai sovellusten nimet, jotka haluat jättää pois.

  5. Valitse ohjatun Create profiilitoiminnon alareunassa Seuraava ja noudata ohjatun toiminnon ohjeita.

Näyttökuva, jossa näkyvät sääntökohtaisten ASR-poikkeusten lisäämisen määritysasetukset.

Vihje

Valitse poissulkemismerkintäluettelon vieressä olevien valintaruutujen avulla kohteita, jotka poistetaan, lajitellaan, tuodaan tai viedään.

Käytä PowerShelliä vaihtoehtoisena menetelmänä hyökkäyspinnan pienentämissääntöjen käyttöön ottamiseksi

Voit käyttää PowerShelliä vaihtoehtona Intune, jos haluat ottaa hyökkäyspinnan pienentämissäännöt käyttöön valvontatilassa. Näin voit tarkastella tietuetta sovelluksista, jotka olisi estetty, jos ominaisuus olisi täysin käytössä. Voit myös saada käsityksen siitä, kuinka usein säännöt käynnistyvät normaalin käytön aikana.

Voit ottaa hyökkäyspinnan pienentämissäännön käyttöön valvontatilassa käyttämällä seuraavaa PowerShellin cmdlet-komentoa:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Missä <rule ID> on hyökkäyspinnan pienentämissäännön GUID-arvo.

Jos haluat ottaa käyttöön kaikki lisätyt hyökkäyspinnan vähentämissäännöt valvontatilassa, käytä seuraavaa PowerShellin cmdlet-komentoa:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Vihje

Jos haluat valvoa täysin, miten hyökkäyspinnan vähentämissäännöt toimivat organisaatiossasi, sinun on otettava tämä asetus käyttöön verkon laitteissa hallintatyökalun avulla.

Voit käyttää myös ryhmäkäytäntö-, Intune- tai mobiililaitteiden hallinnan (MDM) määrityspalveluntarjoajia asetuksen määrittämiseen ja käyttöönottoon. Lue lisää artikkelista Hyökkäysalueen päävähennyssäännöt .

Windows Tapahtumienvalvonta Reviewin käyttäminen vaihtoehtona hyökkäyspinnan vähentämisen sääntöjen raportointisivulle Microsoft Defender-portaalissa

Jos haluat tarkistaa sovellukset, jotka olisi estetty, avaa Tapahtumienvalvonta ja suodata tapahtumatunnus 1121 Microsoft-Windows-Windows Defender/toimintalokissa. Seuraavassa taulukossa on lueteltu kaikki verkon suojaustapahtumat.

Tapahtuman tunnus Kuvaus
5007 Tapahtuma, kun asetuksia muutetaan
1121 Tapahtuma, kun hyökkäyspinnan pienennyssääntö käynnistyy lohkotilassa
1122 Tapahtuma, kun hyökkäyspinnan pienentämissääntö käynnistyy valvontatilassa

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen

Hyökkäyspinnan pienentämissääntöjen käyttöönotto

Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen

Hyökkäyksen pinnan pienentämissääntöjen viittaus

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.