Hyökkäyspinnan pienentämisominaisuuksien ymmärtäminen ja käyttäminen

Koskee seuraavia:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Vihje

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Hyökkäyspinnat ovat kaikki paikkoja, joissa organisaatiosi on altis kyberuhille ja hyökkäyksille. Defender for Endpoint sisältää useita ominaisuuksia, joiden avulla voit pienentää hyökkäyspintoja. Seuraavasta videosta saat lisätietoja hyökkäyspinnan vähentämisestä.

Hyökkäyspinnan pienentämisominaisuuksien määrittäminen

Voit määrittää hyökkäyspinnan pienentämisen ympäristössäsi seuraavasti:

1. Ota laitteistopohjainen eristys käyttöön Microsoft Edgessä.

2. Ota hyökkäyspinnan vähentämissäännöt käyttöön.

3. Ota käyttöön sovelluksen ohjausobjekti.

   1. Tarkista peruskäytännöt Windowsissa. Katso Esimerkkejä peruskäytännöistä.

   2. Katso Windows Defender Sovellusten hallinnan suunnitteluopas.

   3. Katso kohta Windows Defender Sovellusohjausobjektin (WDAC) käytäntöjen käyttöönotto.

4. Ota käyttöön hallittujen kansioiden käyttö.

5. Ota käyttöön siirrettävän tallennusvälineen suojaus.

6. Ota verkon suojaus käyttöön.

7. Ota WWW-suojaus käyttöön.

8. Ota käyttöön hyödynnön suojaus.

9. Määritä verkon palomuuri.

   1. Yleiskatsaus Windowsin palomuurista, jossa on kehittynyt suojaus.

   2. Windowsin palomuurin suunnitteluoppaan avulla voit päättää, miten haluat suunnitella palomuurikäytännöt.

   3. Windowsin palomuurin käyttöönotto-oppaan avulla voit määrittää organisaatiosi palomuurin kehittyneellä suojauksella.

Vihje

Useimmissa tapauksissa, kun määrität hyökkäyspinnan vähentämisominaisuuksia, voit valita useista menetelmistä:

• Microsoft Intune
• Microsoft Configuration Manager
• Ryhmäkäytäntö
• PowerShellin cmdlet-komennot

Hyökkäyspinnan pienentämisen testaaminen Microsoft Defender for Endpoint

Osana organisaatiosi suojausryhmää voit määrittää hyökkäyspinnan vähentämisominaisuudet suoritettavaksi valvontatilassa, jotta näet, miten ne toimivat. Voit ottaa käyttöön seuraavat hyökkäysalueen vähentämissuojausominaisuudet valvontatilassa:

• Hyökkäyspinta-alan rajoittamissäännöt
• Hyökkäysten esto
• Verkon suojaus
• Hallittu kansion käyttö
• Laitteen ohjausobjekti

Valvontatilan avulla näet tietueen siitä, mitä olisi tapahtunut, jos ominaisuus olisi otettu käyttöön.

Voit ottaa valvontatilan käyttöön, kun testaat ominaisuuksien toimintaa. Valvontatilan ottaminen käyttöön vain testausta varten auttaa estämään valvontatilaa vaikuttamasta toimialasovelluksiin. Voit myös saada käsityksen siitä, kuinka monta epäilyttävää tiedoston muokkausyritystä tapahtuu tietyn ajanjakson aikana.

Ominaisuudet eivät estä tai estä sovellusten, komentosarjojen tai tiedostojen muokkaamista. Windowsin tapahtumalokiin tallennetaan kuitenkin tapahtumat ikään kuin ominaisuudet olisivat täysin käytössä. Valvontatilassa voit tarkistaa tapahtumalokista, miten ominaisuus olisi vaikuttanut, jos se olisi käytössä.

Etsi valvotut merkinnät valitsemalla Sovellukset ja palvelut>Microsoft>Windows>Windows Defender>Operational.

Saat lisätietoja jokaisesta tapahtumasta Defender for Endpointin avulla. Nämä tiedot ovat erityisen hyödyllisiä hyökkäyksen pinnan vähentämissääntöjen tutkimisessa. Defender for Endpoint -konsolin avulla voit tutkia ongelmia osana ilmoituksen aikajanaa ja tutkimuksia.

Voit ottaa valvontatilan käyttöön käyttämällä ryhmäkäytäntö, PowerShelliä ja määrityspalveluntarjoajia.

Valvonta-asetukset	Valvontatilan ottaminen käyttöön	Tapahtumien tarkasteleminen
Valvonta koskee kaikkia tapahtumia	Ota hallittu kansion käyttö käyttöön	Valvotut kansion käyttötapahtumat
Valvonta koskee yksittäisiä sääntöjä	Vaihe 1: Hyökkäyspinnan vähentämissääntöjen testaaminen valvontatilan avulla	Vaihe 2: Hyökkäyspinnan vähentämisen sääntöjen raportointisivun ymmärtäminen
Valvonta koskee kaikkia tapahtumia	Ota verkon suojaus käyttöön	Verkon suojaustapahtumat
Valvonta koskee yksittäisiä lievennyksiä	Ota hyökkäysten esto käyttöön	Hyödynnä suojaustapahtumia

Voit esimerkiksi testata hyökkäyspinnan vähentämissääntöjä valvontatilassa, ennen kuin otat ne käyttöön lohkotilassa. Hyökkäyspinnan vähentämissäännöt on ennalta määritetty kovettumaan yleisiä, tunnettuja hyökkäyspintoja. Hyökkäyspinnan vähentämissääntöjä voi käyttää useilla tavoilla. Suositeltu menetelmä on dokumentoitu seuraavissa hyökkäysalueen vähentämissääntöjen käyttöönottoartikkeleissa:

• Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
• Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen
• Hyökkäyspinnan pienentämissääntöjen testaaminen
• Hyökkäyspinnan pienentämissääntöjen käyttöönotto
• Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen

Näytä hyökkäysalueen vähentämistapahtumat

Tarkastele hyökkäyspinnan vähentämistapahtumia Tapahtumienvalvonta valvoaksesi, mitkä säännöt tai asetukset toimivat. Voit myös määrittää, ovatko kaikki asetukset liian meluisia tai vaikuttavatko ne päivittäiseen työnkulkuun.

Tapahtumien tarkasteleminen on kätevää, kun arvioit ominaisuuksia. Voit ottaa ominaisuuksien tai asetusten valvontatilan käyttöön ja tarkastella sitten, mitä olisi tapahtunut, jos ne olisivat täysin käytössä.

Tässä osiossa luetellaan kaikki tapahtumat, niihin liittyvä ominaisuus tai asetus sekä kuvataan, miten voit luoda mukautettuja näkymiä tiettyjen tapahtumien suodattamiseksi.

Saat yksityiskohtaisen raportoinnin tapahtumista, lohkoista ja varoituksista osana Windowsin suojaus jos sinulla on E5-tilaus ja käytät Microsoft Defender for Endpoint.

Tarkastele hyökkäysalueen vähentämisominaisuuksia mukautettujen näkymien avulla

Create Windows Tapahtumienvalvonta mukautettuja näkymiä, jotta näet vain tiettyjen ominaisuuksien ja asetusten tapahtumat. Helpoin tapa on tuoda mukautettu näkymä XML-tiedostona. Voit kopioida XML:n suoraan tältä sivulta.

Voit myös siirtyä manuaalisesti toimintoa vastaavalle tapahtuma-alueelle.

Tuo aiemmin luotu mukautettu XML-näkymä

1. Create tyhjän .txt ja kopioida käytettävän mukautetun näkymän XML-koodin .txt-tiedostoon. Tee tämä jokaiselle mukautetulle näkymälle, jota haluat käyttää. Nimeä tiedostot uudelleen seuraavasti (varmista, että muutat tyypin .txt .xml):

   • Hallittujen kansioiden käyttötapahtumien mukautettu näkymä: cfa-events.xml
   • Hyödynnä suojaustapahtumien mukautettua näkymää: ep-events.xml
   • Hyökkäyksen pinnanvähennystapahtumien mukautettu näkymä: asr-events.xml
   • Verkko- ja suojaustapahtumien mukautettu näkymä: np-events.xml

2. Kirjoita Tapahtumienvalvonta Käynnistä-valikkoon ja avaa Tapahtumienvalvonta.

3. Valitse Toiminnon>tuo mukautettu näkymä...

   

4. Siirry kohtaan, johon poimit haluamasi mukautetun näkymän XML-tiedoston, ja valitse se.

5. Valitse Avaa.

6. Se luo mukautetun näkymän, joka suodattaa näyttämään vain kyseiseen ominaisuuteen liittyvät tapahtumat.

Kopioi XML suoraan

1. Kirjoita Tapahtumienvalvonta Käynnistä-valikkoon ja avaa Windows-Tapahtumienvalvonta.

2. Valitse vasemmassa paneelissa Toiminnot-kohdastaCreate Mukautettu näkymä...

   

3. Siirry XML-välilehteen ja valitse Muokkaa kyselyä manuaalisesti. Näkyviin tulee varoitus siitä, että et voi muokata kyselyä Suodatin-välilehdessä , jos käytät XML-asetusta. Valitse Kyllä.

4. Liitä sen ominaisuuden XML-koodi, jonka tapahtumat haluat suodattaa XML-osaan.

5. Valitse OK. Määritä suodattimen nimi. Tämä toiminto luo mukautetun näkymän, joka suodattaa näyttämään vain kyseiseen ominaisuuteen liittyvät tapahtumat.

HYÖKKÄYKSEN pinnan pienentämissäännön tapahtumien XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

Valvotun kansion käyttötapahtumien XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML-koodi suojauksen hyödyntämista varten

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

Verkon suojaustapahtumien XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Luettelo hyökkäysalueen pienentämistapahtumista

Kaikki hyökkäyspinnan vähentämistapahtumat sijaitsevat kohdassa Sovellukset ja palvelut Lokit > Microsoft > Windows ja sitten kansio tai palvelu seuraavassa taulukossa esitetyllä tavalla.

Voit käyttää näitä tapahtumia Windowsin tapahtumienvalvontaohjelmassa:

1. Avaa Käynnistä-valikko ja kirjoita tapahtumienvalvonta ja valitse sitten Tapahtumienvalvonta tulos.

2. Laajenna Sovellukset ja palvelut -lokit > Microsoft > Windows ja siirry sitten alla olevan taulukon Provider/source-kohdassa lueteltuun kansioon.

3. Näet tapahtumat kaksoisnapsauttamalla alikohdetta. Selaa tapahtumia ja etsi haluamasi.

   

Ominaisuus	Palvelu/lähde	Tapahtuman tunnus	Kuvaus
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	1	ACG-valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	2	ACG enforce
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	3	Älä salli aliprosessien valvontaa
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	4	Älä salli aliprosessien estoa
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	5	Estä matalan eheyden kuvien valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	6	Estä heikkojen eheyskuvien esto
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	7	Estä etäkuvien valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	8	Estä etäkuvalohko
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	9	Poista win32k-järjestelmäkutsujen valvonta käytöstä
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	10	Poista win32k-järjestelmäkutsujen esto käytöstä
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	11	Koodin eheyssuojan valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	12	Koodin eheyssuojalohko
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	13	EAF-tarkastus
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	14	EAF-pakota
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	15	EAF+-tarkastus
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	16	EAF+ pakota
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	17	IAF-tarkastus
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	18	IAF-täytäntöönpano
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	19	ROP StackPivot -valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	20	ROP StackPivot enforce
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	21	ROP CallerCheck -valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	22	ROP CallerCheck pakota
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	23	ROP SimExec -valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	24	ROP SimExec enforce
Hyökkäysten esto	WER-Diagnostics	5	CFG-lohko
Hyökkäysten esto	Win32K (operatiivinen)	260	Fontti, joka ei ole luotettu
Verkon suojaus	Windows Defender (operatiivinen)	5007	Tapahtuma, kun asetuksia muutetaan
Verkon suojaus	Windows Defender (operatiivinen)	1125	Tapahtuma, kun verkon suojaus käynnistyy valvontatilassa
Verkon suojaus	Windows Defender (operatiivinen)	1126	Tapahtuma, kun verkon suojaus käynnistyy lohkotilassa
Hallittu kansion käyttö	Windows Defender (operatiivinen)	5007	Tapahtuma, kun asetuksia muutetaan
Hallittu kansion käyttö	Windows Defender (operatiivinen)	1124	Valvotun kansion käyttötapahtuma
Hallittu kansion käyttö	Windows Defender (operatiivinen)	1123	Estettyjen valvottujen kansioiden käyttötapahtuma
Hallittu kansion käyttö	Windows Defender (operatiivinen)	1127	Estettyjen valvottujen kansioiden käyttösektorin kirjoituslohkotapahtuma
Hallittu kansion käyttö	Windows Defender (operatiivinen)	1128	Valvotun kansion käyttösektorin kirjoituslohkotapahtuma
Hyökkäyspinta-alan rajoittaminen	Windows Defender (operatiivinen)	5007	Tapahtuma, kun asetuksia muutetaan
Hyökkäyspinta-alan rajoittaminen	Windows Defender (operatiivinen)	1122	Tapahtuma, kun sääntö käynnistyy valvontatilassa
Hyökkäyspinta-alan rajoittaminen	Windows Defender (operatiivinen)	1121	Tapahtuma, kun sääntö käynnistyy lohkotilassa

Huomautus

Käyttäjän näkökulmasta hyökkäysalueen pienentäminen Ilmoitustilailmoitukset tehdään Windowsin ilmoitusruutuna hyökkäyksen pinnan pienentämissäännöistä.

Hyökkäyspinnan vähentämisessä verkkosuojaus tarjoaa vain valvonta- ja estotilat.

Resurssit, joiden avulla saat lisätietoja hyökkäyspinnan vähentämisestä

Kuten videossa mainittiin, Defender for Endpoint sisältää useita hyökkäyspinnan vähentämisominaisuuksia. Lisätietoja saat seuraavista resursseista:

Artiklan	Kuvaus
Sovellusohjausobjekti	Käytä sovelluksen ohjausobjektia niin, että sovelluksesi on ansaittava luottamus, jotta ne voidaan suorittaa.
Hyökkäyksen pinnan pienentämissääntöjen viittaus	Antaa tietoja jokaisesta hyökkäyspinnan pienentämissäännöstä.
Hyökkäyspinnan pienentämissääntöjen käyttöönotto-opas	Näyttää yleiskatsauksen ja edellytykset hyökkäysalueen vähentämissääntöjen käyttöönotolle. Sen jälkeen annetaan vaiheittaiset ohjeet testaukseen (valvontatila), käyttöönottoon (estotila) ja valvontaan.
Hallittu kansion käyttö	Auta estämään haitallisia tai epäilyttäviä sovelluksia (mukaan lukien tiedostoja salaava kiristyshaittaohjelma) tekemästä muutoksia tärkeimpien järjestelmäkansioiden tiedostoihin (Edellyttää Microsoft Defender virustentorjuntaohjelma).
Laitehallinta	Suojaa tietojen menettämiseltä valvomalla ja hallitsemalla organisaatiosi laitteissa, kuten siirrettävässä tallennustilassa ja USB-asemista, käytettyjä mediatiedostoja.
Hyökkäysten esto	Auta suojaamaan organisaatiosi käyttämiä käyttöjärjestelmiä ja sovelluksia hyödyntämiltä. Hyödyntäminen toimii myös kolmannen osapuolen virustentorjuntaratkaisujen kanssa.
Laitteistopohjainen eristys	Suojaa ja ylläpidä järjestelmän eheyttä, kun se käynnistyy ja kun se on käynnissä. Vahvista järjestelmän eheys paikallisen ja etäaseman avulla. Käytä Microsoft Edgen säilöeristystä haitallisten sivustojen suojaamiseen.
Verkon suojaus	Laajenna suojaus organisaatiosi laitteiden verkkoliikenteelle ja yhteydelle. (Edellyttää virustentorjuntaohjelman Microsoft Defender).
Hyökkäyspinnan pienentämissääntöjen testaaminen	Tarjoaa ohjeet hyökkäyspinnan vähentämissääntöjen testaamiseen valvontatilan avulla.
Verkkosuojaus	Verkkosuojauksen avulla voit suojata laitteesi verkkouhkia vastaan ja säännellä ei-toivottua sisältöä.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.