Jaa


Hyökkäyspinnan pienentämissääntöjen raportti

Koskee seuraavia:

Alustoilla:

  • Windows

Hyökkäyspinnan pienentämissääntöjen raportti sisältää tietoja hyökkäyspinnan pienentämissäännöistä , joita sovelletaan organisaatiosi laitteisiin. Tässä raportissa on myös tietoja:

  • havaitut uhat
  • estetyt uhat
  • laitteet, joita ei ole määritetty käyttämään uhkien estämiseen vakiosuojaussääntöjä

Lisäksi tämä raportti tarjoaa helppokäyttöisen käyttöliittymän, jonka avulla voit:

  • Näytä uhkien tunnistuksia
  • Näytä ASR-sääntöjen määritykset
  • Määritä (lisää) poissulkemisia
  • Poraudu alaspäin ja kerää yksityiskohtaisia tietoja

Lisätietoja yksittäisistä hyökkäyspinnan pienentämissäännöistä on kohdassa Hyökkäyksen pinnan pienentämissääntöjen viite.

Ennakkovaatimukset

Tärkeää

Jos haluat käyttää hyökkäysalueen vähentämissääntöjen raporttia, Microsoft Defender -portaalissa tarvitaan lukuoikeudet. Jotta Windows Server 2012 R2 ja Windows Server 2016 näkyvät hyökkäysalueen pienentämissääntöjen raportissa, nämä laitteet on otettava käyttöön käyttämällä modernia yhdistettyä ratkaisupakettia. Lisätietoja on ohjeaiheessa Windows Server 2012 R2:n ja 2016:n modernin yhdistetyn ratkaisun uudet toiminnot.

Raportin käyttöoikeudet

Hyökkäysalueen vähentämissääntöjen raportin käyttäminen Microsoft Defender -portaalissa edellyttää seuraavia käyttöoikeuksia:

Käyttöoikeustyyppi Lupa Käyttöoikeuden näyttönimi
Sovellus Machine.Read.All Read all machine profiles
Delegoitu (työpaikan tai oppilaitoksen tili) Machine.Read Read machine information

Voit määrittää käyttöoikeuksia käyttämällä Microsoft Entra -tunnusta tai Microsoft Defender -portaalia.

Siirry hyökkäyspinnan vähennyssääntöjen yhteenvetokorttien raporttiin

  1. Avaa Microsoft Defender XDR -portaali.
  2. Valitse vasemmassa paneelissaRaportit ja valitse sitten pääosan Raportit-kohdastaSuojausraportti.
  3. Vieritä alaspäin kohtaan Laitteet , niin löydät Hyökkäyspinnan vähentämissääntöjen yhteenvetokortit.

ASR-sääntöjen yhteenvetoraporttikortit näytetään seuraavassa kuvassa.

Näyttää ASR-sääntöjen raporttiyhteenvedon kortit

ASR-sääntöjen raporttiyhteenvedon kortit

ASR-sääntöjen raportin yhteenveto on jaettu kahteen korttiin:

ASR-sääntöjen tunnistuksen yhteenvetokortti

Näyttää yhteenvedon ASR-sääntöjen estämien havaittujen uhkien määrästä.

Sisältää kaksi toimintopainiketta:

  • Näytä tunnistuksia – avaa Hyökkäyspinnan vähentämisen säännöt>-päätunnistuksen välilehden
  • Lisää poissulkemisia - Avaa Hyökkäysalueen vähennyssäännöt>-pääpoikkeukset-välilehti

Näyttökuva, jossa näkyy ASR-sääntöjen raportin yhteenvedon tunnistuskortti.

Napsauttamalla ASR-sääntöjentunnistuslinkkiä kortin yläosassa avautuu myös Hyökkäyspinnan vähennyssääntöjen tunnistuksia -välilehti.

ASR-sääntöjen määritysyhteenvedon kortti

Yläosassa keskitytään kolmeen suositeltuun sääntöön, jotka suojaavat yleisiltä hyökkäystekniikoilta. Tässä kortissa näytetään organisaatiosi tietokoneiden nykyisen tilan tiedot, joiden kolme (ASR) vakiosuojaussääntöä on määritetty estämistilassa, valvontatilassa tai poissa käytöstä (ei määritetty). Suojaa laitteet -painike näyttää vain kolmen säännön täydet määritystiedot. asiakkaat voivat nopeasti ottaa nämä säännöt käyttöön.

Alaosassa on kuusi sääntöä, jotka perustuvat suojaamattomien laitteiden määrään sääntöä kohden. Näytä kokoonpano -painike näyttää kaikkien ASR-sääntöjen kaikki määritystiedot. Lisää poissulkeminen -painike näyttää lisää poissulkemissivun, jossa on kaikki tunnistetut tiedoston/prosessin nimet, jotka on lueteltu Tietoturvatoimintokeskuksen (SOC) laskemista varten. Lisää poissulkeminen -sivu on linkitetty Microsoft Intuneen.

Sisältää kaksi toimintopainiketta:

  • Näytä määritykset – avaa Hyökkäysalueen vähentämisen säännöt>-päätunnistuksen välilehden
  • Lisää poissulkemisia - Avaa Hyökkäysalueen vähennyssäännöt>-pääpoikkeukset-välilehti

Näyttää ASR-sääntöjen raportin yhteenvedon määrityskortin.

Napsauttamalla ASR-sääntöjen määrityslinkkiä kortin yläosassa avautuu myös Hyökkäysalueen päävähennyssääntöjen Määritys-välilehti.

Yksinkertaistettu vakiosuojausasetus

Määritysyhteenvedon kortissa on painike , jolla suojataan laitteita kolmella vakiosuojaussäännöllä. Microsoft suosittelee vähintään, että otat käyttöön nämä kolme hyökkäyspinnan pienentämisen vakiosuojaussääntöä:

Voit ottaa käyttöön kolme vakiosuojaussääntöä seuraavasti:

  1. Valitse Suojaa laitteet. Määritysten päävälilehti avautuu.
  2. Määritys-välilehdessäPerussäännöt vaihtaa automaattisesti Kaikki säännöt -asetuksista käyttöön otettuihin vakiosuojaussääntöihin.
  3. Valitse Laitteet-luettelosta laitteet, joissa haluat käyttää vakiosuojaussääntöjä, ja valitse sitten Tallenna.

Tässä kortissa on kaksi muuta siirtymispainiketta:

  • Näytä määritykset – Avaa Hyökkäysalueen pienentämissäännöt>-päämääritysvälilehden .
  • Lisää poissulkemisia – Avaa Hyökkäysalueen pienentämissäännöt>- välilehden.

Napsauttamalla ASR-sääntöjen määrityslinkkiä kortin yläosassa avautuu myös Hyökkäysalueen päävähennyssääntöjen Määritys-välilehti.

Hyökkäyspinnan pienentämissääntöjen päävälilehtiä

Vaikka ASR-sääntöjen raporttiyhteenvedon korteista on hyötyä, kun saat nopean yhteenvedon ASR-sääntöjen tilasta, päävälilehdissä on tarkempia tietoja sekä suodatus- ja määritysominaisuuksia:

Hakutoiminnot

Hakuominaisuus lisätään tunnistamis-, määritys- ja Lisää poissulkeminen -päävälilehtiin. Tämän ominaisuuden avulla voit hakea käyttämällä laitetunnusta, tiedostonimeä tai prosessin nimeä.

Näyttää ASR-sääntöjen raportin hakuominaisuuden.

Suodatus

Suodattamisen avulla voit määrittää, mitä tuloksia palautetaan:

  • Päivämäärän avulla voit määrittää tietotulosten päivämääräalueen.
  • Suodattimet

Huomautus

Kun suodatat säännön mukaan, raportin alemmalla puoliskolla lueteltujen yksittäisten havaittujen kohteiden määrä on tällä hetkellä rajoitettu 200 sääntöön. Vie-toiminnolla voit tallentaa täydellisen tunnistusluettelon Exceliin.

Vihje

Koska suodatin toimii tällä hetkellä tässä versiossa, aina kun haluat ryhmitellä, sinun on vieritettävä alaspäin luettelon viimeiseen tunnistamiseen, jotta voit ladata koko tietojoukon. Kun olet ladannut koko tietojoukon, voit käynnistää Lajitteluperuste-suodatuksen. Jos et vieritä alaspäin viimeiseen tunnistukseen, joka on lueteltu jokaisessa käytössä tai muutettaessa suodatusasetuksia (esimerkiksi asr-sääntöjä, joita käytetään nykyisessä suodattimen suorittamisessa), tulokset eivät kelpaa tulokselle, jolla on useampi kuin yksi näkyvien tunnistusten sivu.

Näyttökuva, jossa näkyy ASR-sääntöjen raportin hakutoiminto määritysvälilehdellä.

Hyökkäyspinnan pienentämissääntöjen päätunnistusvälilehti

  • Valvonnan tunnistuksia Näyttää, kuinka monta uhkien tunnistusta valvontatilassa määritetyt säännöt tallensivat.
  • Estetyt tunnistuksia Näyttää, kuinka monta uhkien tunnistusta estävät Esto-tilassa määritetyt säännöt estivät.
  • Suuri yhdistetty kaavio Näyttää estetyt ja valvotut tunnistuksia.

Näyttää ASR-sääntöjen raportin päätunnistusvälilehden, jossa on korostettu _Audit detections_ ja _Blocked detections_.

Kaaviot tarjoavat tunnistustietoja näytetyltä päivämääräväliltä, ja niiden avulla voidaan siirtää hiiren osoitin tietyn sijainnin päälle päivämääräkohtaisten tietojen keräämiseksi.

Raportin alaosassa on lueteltu uhat laitekohtaisesti seuraavilla kentillä:

Kentän nimi Määritelmä
Tunnistettu tiedosto Tiedosto on määritetty sisältämään mahdollinen tai tunnettu uhka
Havaittu Päivämäärä, jolloin uhka havaittiin
Estetty/valvottu? Oliko tietyn tapahtuman tunnistamissääntö block- vai audit-tilassa
Sääntö Mikä sääntö havaitsi uhan
Lähdesovellus Sovellus, joka teki kutsun loukkaavaan "havaittuun tiedostoon"
Laite Sen laitteen nimi, jossa Audit- tai Block-tapahtuma ilmeni
Laiteryhmä Active Directory -ryhmä, johon laite kuuluu
Käyttäjä Puhelusta vastaava tietokonetili
Publisher Yritys, joka julkaisi kyseisen .exe tai sovelluksen

Lisätietoja ASR-säännön valvonta- ja estotiloista on kohdassa Hyökkäyspinnan pienentämissääntöjen tilat.

Toiminnallinen pikaikkuna

Tunnistaminen-pääsivulla on luettelo kaikista tunnistuksista (tiedostot/prosessit) viimeisten 30 päivän ajalta. Valitse jokin tunnistuksista avattavaksi porautumisominaisuuksilla.

Näyttää ASR-sääntöjen raportin päätunnistuksen välilehden pikaikkunan

Mahdollinen poissulkeminen ja vaikutus -osio tarjoaa valitun tiedoston tai prosessin vaikutuksen. Voit:

  • Valitse Go hunt , joka avaa kehittyneen metsästyksen kyselysivun
  • Avaa tiedostosivu avaa Microsoft Defenderin päätepisteen tunnistamista varten
  • Lisää poissulkeminen -painike on linkitetty lisää poissulkeminen -pääsivuun.

Seuraava kuva havainnollistaa, miten Kehittynyt metsästys -kyselysivu avautuu toiminnallisen pikaikkunan linkistä:

Näyttää hyökkäyspinnan pienentämissäännöt raportti päätunnistimet välilehden pikaikkunan, joka avaa kehittyneen metsästyksen

Lisätietoja kehittyneestä metsästyksestä on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR:ssä

Hyökkäysalueen pienentämissääntöjen päämääritysvälilehti

ASR-sääntöjen Päämääritys-välilehti sisältää yhteenvedon ja laitekohtaiset ASR-sääntöjen määritystiedot. Määritys-välilehdessä on kolme keskeistä näkökohtaa:

Perussäännöt Tarjoaa tavan, jolla tulokset voidaan vaihtaa perussääntöjen ja kaikkien sääntöjen välillä. Oletusarvoisesti valitaan perussäännöt .

Laitteen kokoonpanon yleiskatsaus Tarjoaa nykyisen tilannevedoksen laitteista jossakin seuraavista til joistakin:

  • Kaikki näytetyt laitteet (laitteet, joissa on puuttuvia edellytyksiä, valvontatilan säännöt, väärin määritetyt säännöt tai säännöt, joita ei ole määritetty)
  • Laitteet, joissa on sääntöjä, joita ei ole määritetty
  • Laitteet, joissa on sääntöjä valvontatilassa
  • Laitteet, joissa on sääntöjä lohkotilassa

Määritys-välilehden alemmassa, nimeämättömässä osassa on luettelo laitteiden nykyisestä tilasta (laitekohtaisesti):

  • Laite (nimi)
  • Yleinen määritys (Ovatko säännöt käytössä vai kaikki poissa käytöstä)
  • Estotilassa olevat säännöt (estettyjen laitekohtaisten sääntöjen määrä)
  • Valvontatilassa olevat säännöt (sääntöjen määrä valvontatilassa)
  • Säännöt on poistettu käytöstä (säännöt, jotka on poistettu käytöstä tai joita ei ole otettu käyttöön)
  • Laitetunnus (laitteen GUID-tunnus)

Nämä elementit näkyvät seuraavassa kuvassa.

Näyttää ASR-sääntöjen raportin päämääritysvälilehden

ASR-sääntöjen käyttöönotto:

  1. Valitse Laite-kohdassa laite tai laitteet, joissa haluat käyttää ASR-sääntöjä.
  2. Tarkista valintasi pikaikkunassa ja valitse sitten Lisää käytäntöön.

Määritys-välilehti ja säännön lisääminen -pikaikkuna näkyvät seuraavassa kuvassa.

[HUOMAUTUS!] Jos sinulla on laitteita, jotka edellyttävät eri ASR-sääntöjen käyttöönottoa, sinun tulee määrittää kyseiset laitteet erikseen.

Näyttää ASR-sääntöjen pikaikkunan ASR-sääntöjen lisäämiseksi laitteisiin

Hyökkäysalueen pienentämissäännöt Lisää poikkeukset -välilehti

Lisää poissulkemisia -välilehti esittelee luokitellun tunnistusluettelon tiedostonimen mukaan ja tarjoaa menetelmän poissulkemisten määrittämiseen. Oletusarvon mukaan Lisää poissulkemiset - tiedot on lueteltu kolmessa kentässä:

  • Tiedostonimi ASR-sääntötapahtuman käynnistäneen tiedoston nimi.
  • Etsivä Nimetyn tiedoston havaittujen tapahtumien kokonaismäärä. Yksittäiset laitteet voivat käynnistää useita ASR-sääntötapahtumia.
  • Laitteet Niiden laitteiden määrä, joissa tunnistus tapahtui.

Näyttää ASR-sääntöjen raportin lisää poissulkemiset -välilehden

Tärkeää

Tiedostojen tai kansioiden pois jättäminen voi heikentää ASR-sääntöjen tarjoamaa suojausta. Pois jätettyjen tiedostojen suorittaminen on sallittua, eikä raporttia tai tapahtumaa tallenneta. Jos ASR-säännöt tunnistavat tiedostoja, joita ei mielestäsi pitäisi havaita, testaa sääntö valvontatilassa ensin.

Kun valitset tiedoston, näkyviin tulee Yhteenveto-& odotettu vaikutus -pikaikkuna, joka esittää seuraavantyyppiset tiedot:

  • Valitut tiedostot Poissulkemista varten valittujen tiedostojen määrä
  • (tunnistusten määrä) Toteaa, että tunnistusten odotettu vähennys valittujen poissulkemisten lisäämisen jälkeen. Tunnistusten vähentäminen esitetään graafisesti todellisille tunnistuksille ja tunnistuksille poissulkemisten jälkeen
  • (määrä) laitteita, joihin ongelma vaikuttaa Ilmoittaa valittujen poissulkemisten tunnistusten raportoimiseen käytettävien laitteiden odotetun vähenemisen.

Lisää poissulkeminen -sivulla on kaksi painiketta toiminnoille, joita voidaan käyttää missä tahansa havaituissa tiedostoissa (valinnan jälkeen). Voit:

  • Lisää poikkeus , joka avaa Microsoft Intunen ASR-käytäntösivun. Lisätietoja on kohdassa Intune kohdassa Asr-sääntöjen vaihtoehtoisten määritysmenetelmien käyttöönotto.
  • Hae poissulkemispolut , jotka lataavat tiedostopolut CSV-muodossa

Näyttää ASR-sääntöjen raportin lisäämällä poissulkemiset-välilehden pikaikkunan vaikutusyhteenvedon

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.