Hyökkäyspinnan pienentämissääntöjen vianmääritys

Koskee seuraavia:

• Microsoft Defender for Endpoint palvelupaketti 1 ja 2
• Microsoft Defender XDR

Ensimmäinen ja välittömin tapa on tarkistaa paikallisesti Windows-laitteessa, mitkä hyökkäyspinnan pienentämissäännöt ovat käytössä (ja niiden määritykset) ovat käytössä PowerShellin cmdlet-komentojen avulla.

Seuraavassa on muutamia muita tietolähteitä, joita Windows tarjoaa hyökkäyspinnan vähentämissääntöjen vaikutuksen ja toiminnan vianmääritykseen.

Kun käytät hyökkäyspinnan vähentämissääntöjä , saatat kohdata esimerkiksi seuraavaa:

• Sääntö estää tiedoston, prosessin tai suorittaa jonkin muun toiminnon, jota ei pitäisi tehdä (epätosi-positiivinen); tai
• Sääntö ei toimi kuvatulla tavalla, tai se ei estä tiedostoa tai prosessia, jonka sen pitäisi toimia (epätosi negatiivinen).

Näiden ongelmien vianmääritykseen on neljä vaihetta:

1. Vahvista edellytykset.
2. Käytä valvontatilaa säännön testaamiseen.
3. Lisää määritetylle säännölle poissulkemisia (false-positiivisille).
4. Kerää ja lähetä tukilokeja.

Edellytysten vahvistaminen

Hyökkäyspinnan vähentämissäännöt toimivat vain laitteissa, joissa on seuraavat ehdot:

• Laitteet toimivat Windows 10 Enterprise tai uudemmassa.
• Laitteet käyttävät virustentorjunta Microsoft Defender ainoana virustentorjuntasovelluksena. Minkä tahansa muun virustentorjuntasovelluksen käyttäminen saa Microsoft Defender virustentorjuntaohjelman poistamaan itsensä käytöstä.
• Reaaliaikainen suojaus on käytössä.
• Valvontatila ei ole käytössä. Määritä säännön arvoksi Disabled ryhmäkäytäntö (arvo: 0) kohdassa Hyökkäyspinnan pienentämisen sääntöjen käyttöönotto kuvatulla tavalla.

Jos nämä edellytykset täyttyvät, testaa sääntö valvontatilassa seuraavasta vaiheesta.

Parhaat käytännöt hyökkäyspinnan vähentämissääntöjen määrittämiseen ryhmäkäytäntö avulla

Kun määrität hyökkäyspinnan vähentämissääntöjä ryhmäkäytäntö avulla, seuraavassa on muutamia parhaita käytäntöjä yleisten virheiden välttämiseksi:

1. Varmista, että lisätessäsi hyökkäysalueen vähentämissääntöjen GUID-tunnusta GUID-tunnus ei ole GUID-tunnuksen alussa tai lopussa.

2. Varmista, että alussa tai lopussa ei ole välilyöntejä , kun lisäät GUID-tunnuksen hyökkäysalueen vähentämissääntöjä varten.

Aktiivisten sääntöjen kysely

Yksi helpoimmista tavoista selvittää, ovatko hyökkäyspinnan vähentämissäännöt jo käytössä, on PowerShellin cmdlet-komento Get-MpPreference.

Tässä on esimerkki:

Aktiivisena on useita hyökkäyspinnan pienentämissääntöjä, joissa on eri määritetyt toiminnot.

Jos haluat laajentaa hyökkäysalueen vähentämissääntöjä, voit käyttää ominaisuuksia AttackSurfaceReductionRules_Ids ja/tai AttackSurfaceReductionRules_Actions.

Esimerkki:

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids

Edellisessä kuvassa näkyvät kaikki hyökkäyspinnan vähentämissääntöjen tunnukset, joiden asetus on eri kuin 0 (Ei määritetty).

Seuraavassa vaiheessa luetellaan todelliset toiminnot (Lohko tai Valvonta), joilla kukin sääntö on määritetty.

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions

Käytä valvontatilaa säännön testaamiseen

Noudata näitä ohjeita kohdassa Käytä esittelytyökalua, jotta näet, miten hyökkäyspinnan vähentämissäännöt toimivat , testataksesi tiettyä sääntöä, jonka kanssa kohtaat ongelmia.

1. Ota käyttöön testattavan säännön valvontatila. Määritä säännön arvoksi Audit mode ryhmäkäytäntö (arvo: 2) kohdassa Hyökkäyspinnan pienentämisen sääntöjen käyttöönotto kuvatulla tavalla. Valvontatilan avulla sääntö voi raportoida tiedoston tai prosessin, mutta sallii sen suorittamisen.

2. Suorita toiminto, joka aiheuttaa ongelman. Voit esimerkiksi avata tiedoston tai suorittaa prosessin, joka tulisi estää, mutta joka sallitaan.

3. Tarkista hyökkäysalueen pienentämissäännön tapahtumalokeista , estääkö sääntö tiedoston tai prosessin, jos säännön asetuksena Enabledon .

Jos sääntö ei estä tiedostoa tai prosessia, jonka odotat sen estävän, tarkista ensin, onko valvontatila käytössä. Valvontatila voidaan ottaa käyttöön toisen ominaisuuden tai automatisoidun PowerShell-komentosarjan testaamista varten, eikä sitä ehkä poisteta käytöstä testien suorittamisen jälkeen.

Jos testasit sääntöä esittelytyökalulla ja valvontatilassa, hyökkäyspinnan vähentämissäännöt käsittelevät ennalta määritettyjä skenaarioita, mutta sääntö ei toimi odotetulla tavalla, siirry jompaakumpaa seuraavista osioista tilanteesi mukaan:

• Jos hyökkäyspinnan pienentämissääntö estää jotain, mitä sen ei pitäisi estää (tunnetaan myös vääränä positiivisena), voit ensin lisätä hyökkäyspinnan pienentämissäännön poikkeuksen.
• Jos hyökkäyspinnan pienentämissääntö ei estä jotakin, jonka sen pitäisi estää (kutsutaan myös negatiiviseksi epätodeksi), voit siirtyä heti viimeiseen vaiheeseen keräämällä diagnostiikkatietoja ja lähettämällä ongelman meille.

Kyselyn tekeminen esto- ja valvontatapahtumista

Hyökkäyspinnan pienentämissäännön tapahtumia voi tarkastella Windows Defenderin lokissa.

Jos haluat käyttää sitä, avaa Windows Tapahtumienvalvonta ja siirry kohtaan Sovellukset ja palvelut Lokit>Microsoft>Windows>Defender>Operational.

Lisää poissulkemisia false-positiiviselle

Jos hyökkäyspinnan pienentämissääntö estää jotain, mitä sen ei pitäisi estää (tunnetaan myös vääränä positiivisena), voit lisätä poissulkemisia estääksesi hyökkäyspinnan pienentämissääntöjä arvioimasta pois jätettyjä tiedostoja tai kansioita.

Jos haluat lisätä poikkeuksen, katso Hyökkäyspinnan vähentämisen mukauttaminen.

Tärkeää

Voit määrittää yksittäisiä tiedostoja ja kansioita, jotka jätetään pois, mutta et voi määrittää yksittäisiä sääntöjä. Tämä tarkoittaa tiedostoja tai kansioita, jotka on jätetty pois kaikista ASR-säännöistä.

Ilmoita negatiivinen epätosi tai epätosi

Käytä Microsoftin suojaustiedustelu verkkopohjaista lähetyslomaketta, jos haluat ilmoittaa verkon suojausta koskevan negatiivisen tai epätosi-positiivisen tuloksen. Windows E5 -tilauksella voit myös antaa linkin mihin tahansa liittyvään ilmoitukseen.

Kerää Microsoft Defender haittaohjelmien torjuntaan liittyvät diagnostiikkatiedot tiedostojen lähettämistä varten

Kun ilmoitat ongelmasta hyökkäysalueen vähentämissäännöissä, sinua pyydetään keräämään ja lähettämään diagnostiikkatietoja Microsoftin tuki- ja suunnittelutiimeille ongelmien vianmääritystä varten.

1. Avaa komentokehote järjestelmänvalvojana ja avaa Windows Defenderin hakemisto:

   cd "c:\program files\Windows Defender"
   

2. Luo diagnostiikkalokit suorittamalla tämä komento:

   mpcmdrun -getfiles
   

3. Oletusarvon mukaan ne tallennetaan kohteeseen C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Liitä tiedosto lähetyslomakkeeseen.

Voit myös tarkastella sääntötapahtumia Microsoft Defender virustentorjuntaohjelmalle varatun komentorivityökalun , jonka nimi *mpcmdrun.exe*on , avulla voit hallita, määrittää ja automatisoida tehtäviä tarvittaessa.

Löydät tämän apuohjelman osoitteesta %ProgramFiles%\Windows Defender\MpCmdRun.exe. Se on suoritettava järjestelmänvalvojan oikeesti suoritettavasta komentokehotteesta (kuten Hallinta).

Jos haluat luoda tukitietoja, kirjoita MpCmdRun.exe -getfiles. Jonkin ajan kuluttua arkistoon (MpSupportFiles.cab) pakataan useita lokeja, jotka ovat saatavilla osoitteessa C:\ProgramData\Microsoft\Windows Defender\Support.

Pura arkisto ja sinulla on useita tiedostoja vianmääritystä varten.

Tärkeimmät tiedostot ovat seuraavat:

• MPOperationalEvents.txt: Tämä tiedosto sisältää samat tiedot kuin Windows Defenderin toimintalokin Tapahtumienvalvonta.
• MPRegistry.txt: Tässä tiedostossa voit analysoida kaikki nykyiset Windows Defenderin määritykset siitä hetkestä lähtien, kun tukilokit siepattiin.
• MPLog.txt: Tämä loki sisältää yksityiskohtaisempia tietoja kaikista Windows Defenderin toiminnoista/toiminnoista.

Aiheeseen liittyviä artikkeleita

• Hyökkäyspinta-alan rajoittamissäännöt
• Hyökkäyspinnan pienentämissääntöjen käyttöönotto
• Hyökkäyspinnan pienentämissääntöjen arvioiminen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.