Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tapahtumien tarkasteleminen Tapahtumienvalvonta on hyödyllistä, kun arvioit hyökkäyspinnan vähentämisominaisuuksia. Voit esimerkiksi ottaa ominaisuuksien tai asetusten valvontatilan käyttöön ja tarkastella sitten, mitä tapahtuisi, jos ne olisivat täysin käytössä. Voit myös tarkastella hyökkäyspinnan vähentämisominaisuuksien vaikutuksia, kun ne ovat täysin käytössä.
Tässä artikkelissa kuvataan, miten voit tarkastella Windows Tapahtumienvalvonta -tapahtumia hyökkäyspinnan vähentämisen (ASR) toiminnoista, mukaan lukien:
Voit tarkastella hyökkäyksen pinnan pienentämistapahtumia seuraavien vaihtoehtojen avulla, kuten tämän artikkelin lopussa selitetään:
- Selaa hyökkäyspinnan vähentämistapahtumia Windows Tapahtumienvalvonta: Siirtyminen hyökkäyspinnan vähentämistapahtumiin Tapahtumienvalvonta ja kunkin hyökkäyspinnan vähentämisominaisuuden tapahtumatunnukset.
- Windows Tapahtumienvalvonta mukautettujen näkymien avulla voit tarkastella hyökkäysalueen vähentämistapahtumia: Mukautettujen näkymien luominen tai tuominen, jotta voit suodattaa Tapahtumienvalvonta tiettyjen ASR-ominaisuuksien ja käyttövalmiiden XML-kyselymallien osalta.
Vihje
Windowsin tapahtumien edelleenlähetysten avulla voit keskittää hyökkäysalueen pienentämistapahtumakokoelman useista laitteista.
Microsoft Defender-portaali tarjoaa myös raportteja hyökkäyspinnan vähentämisominaisuuksista, joita on helpompi käyttää kuin Windows Tapahtumienvalvonta:
Selaa hyökkäyspinnan vähentämistapahtumia Windows Tapahtumienvalvonta
Kaikki hyökkäysalueen vähentämistapahtumat sijaitsevat sovellukset ja palvelulokit -kohdassa. Voit tarkastella hyökkäysalueen vähentämistapahtumia seuraavasti:
Valitse Käynnistä, kirjoita Tapahtumienvalvonta ja avaa Tapahtumienvalvonta painamalla Enter.
Laajenna Tapahtumienvalvonta Sovellukset ja palvelut -lokitMicrosoft>Windowsissa>.
Jatka polun laajentamista erityyppisille hyökkäyspinnan vähentämistapahtumille seuraavissa alakohdissa kuvatulla tavalla.
Etsi ja suodata tapahtumat, jotka haluat nähdä seuraavissa alikohdissa kuvatulla tavalla.
ASR-säännön tapahtumat
ASR-sääntötapahtumat sijaitsevat Windows Defenderin>toimintalokissa :
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 1121 | Tapahtuma, kun sääntö käynnistyy lohkotilassa |
| 1122 | Tapahtuma, kun sääntö käynnistyy valvontatilassa |
| 1129 | Tapahtuma, kun käyttäjä ohittaa lohkon varoitustilassa |
| 5007 | Tapahtuma, kun asetuksia muutetaan |
Valvotut kansion käyttötapahtumat
Valvotut kansion käyttötapahtumat sijaitsevat Windows Defender>Operationalissa.
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 5007 | Tapahtuma, kun asetuksia muutetaan |
| 1124 | Valvotun kansion käyttötapahtuma |
| 1123 | Estettyjen valvottujen kansioiden käyttötapahtuma |
| 1127 | Estettyjen valvottujen kansioiden käyttösektorin kirjoituslohkotapahtuma |
| 1128 | Valvotun kansion käyttösektorin kirjoituslohkotapahtuma |
Hyödynnä suojaustapahtumia
Seuraavat hyödynnön suojaustapahtumat sijaitsevat suojauksen mitätöinnissä>ydintilassa ja suojauksen mitätöinnit>-käyttäjätilalokeissa :
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 1 | ACG-valvonta |
| 2 | ACG enforce |
| 3 | Älä salli aliprosessien valvontaa |
| 4 | Älä salli aliprosessien estoa |
| 5 | Estä matalan eheyden kuvien valvonta |
| 6 | Estä heikkojen eheyskuvien esto |
| 7 | Estä etäkuvien valvonta |
| 8 | Estä etäkuvalohko |
| 9 | Poista win32k-järjestelmäkutsujen valvonta käytöstä |
| 10 | Poista win32k-järjestelmäkutsujen esto käytöstä |
| 11 | Koodin eheyssuojan valvonta |
| 12 | Koodin eheyssuojalohko |
| 13 | EAF-tarkastus |
| 14 | EAF-pakota |
| 15 | EAF+-tarkastus |
| 16 | EAF+ pakota |
| 17 | IAF-tarkastus |
| 18 | IAF-täytäntöönpano |
| 19 | ROP StackPivot -valvonta |
| 20 | ROP StackPivot enforce |
| 21 | ROP CallerCheck -valvonta |
| 22 | ROP CallerCheck pakota |
| 23 | ROP SimExec -valvonta |
| 24 | ROP SimExec enforce |
Seuraava hyökkäyssuojaustapahtuma sijaitsee WER-Diagnostics-toimintalokissa>:
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 5 | CFG-lohko |
Seuraava hyödynnön suojaustapahtuma sijaitsee Win32k>:n toimintalokissa :
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 260 | Fontti, joka ei ole luotettu |
Verkon suojaustapahtumat
Verkon suojaustapahtumat sijaitsevat Windows Defender>Operationalissa.
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 5007 | Tapahtuma, kun asetuksia muutetaan |
| 1125 | Tapahtuma, kun verkon suojaus käynnistyy valvontatilassa |
| 1126 | Tapahtuma, kun verkon suojaus käynnistyy lohkotilassa |
Windows Tapahtumienvalvonta mukautettujen näkymien avulla voit tarkastella hyökkäysalueen vähentämistapahtumia
Voit luoda mukautettuja näkymiä Windows Tapahtumienvalvonta nähdäksesi vain tapahtumat tietyille hyökkäyspinnan pienentämisominaisuuksille. Helpoin tapa on tuoda mukautettu näkymä XML-tiedostona. Voit myös kopioida XML:n suoraan Tapahtumienvalvonta.
Käyttövalmiita XML-malleja on kohdassa Hyökkäyksen pinnanvähennystapahtumien mukautetut XML-mallit .
Tuo aiemmin luotu mukautettu XML-näkymä
Luo tyhjä .txt ja kopioi käytettävän mukautetun näkymän XML-koodi .txt-tiedostoon. Tee tämä vaihe jokaiselle mukautetulle näkymälle, jota haluat käyttää. Nimeä tiedostot uudelleen seuraavasti (varmista, että muutat tyypin .txt .xml):
- Hallittujen kansioiden käyttötapahtumien mukautettu näkymä: cfa-events.xml
- Hyödynnä suojaustapahtumien mukautettua näkymää: ep-events.xml
- Hyökkäyksen pinnanvähennystapahtumien mukautettu näkymä: asr-events.xml
- Verkonsuojaustapahtumien mukautettu näkymä: np-events.xml
Valitse Käynnistä, kirjoita Tapahtumienvalvonta ja avaa Tapahtumienvalvonta painamalla Enter.
Valitse Toiminnon>tuo mukautettu näkymä...
Siirry haluamasi mukautetun näkymän XML-tiedostoon ja valitse se.
Valitse Avaa.
Mukautettu näkymä suodattaa näyttämään vain tähän ominaisuuteen liittyvät tapahtumat.
Kopioi XML suoraan
Valitse Käynnistä, kirjoita Tapahtumienvalvonta ja avaa Tapahtumienvalvonta painamalla Enter.
Valitse Toiminnot-ruudussaLuo mukautettu näkymä...
Siirry XML-välilehteen ja valitse Muokkaa kyselyä manuaalisesti. Varoitus ilmaisee, että et voi muokata kyselyä Suodatin-välilehden avulla, kun käytät XML-asetusta. Valitse Kyllä.
Liitä sen ominaisuuden XML-koodi, jonka tapahtumat haluat suodattaa XML-osaan.
Valitse OK. Määritä suodattimen nimi. Mukautettu näkymä suodattaa näyttämään vain tähän ominaisuuteen liittyvät tapahtumat.
Mukautetut XML-mallit hyökkäysalueen vähentämistapahtumia varten
HYÖKKÄYKSEN pinnan pienentämissäännön tapahtumien XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
Valvotun kansion käyttötapahtumien XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-koodi suojauksen hyödyntämista varten
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
Verkon suojaustapahtumien XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>