Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen

  • Artikkeli

Koskee seuraavia:

Kun olet ottanut hyökkäyspinnan vähentämissäännöt täysin käyttöön, on tärkeää, että käytössäsi on prosesseja, joilla valvotaan ASR:hen liittyviä toimintoja ja vastataan niihin. Aktiviteetteihin kuuluvat:

ASR-sääntöjen epätosi-positiivisten hallinta

Vääriä positiivisia/negatiivisia voi esiintyä missä tahansa uhkien suojausratkaisussa. False-positiiviset ovat tapauksia, joissa entiteetti (kuten tiedosto tai prosessi) havaitaan ja tunnistetaan haitalliseksi, vaikka entiteetti ei itse asiassa ole uhka. Sen sijaan epätosi-negatiivinen on entiteetti, jota ei ole tunnistettu uhaksi, mutta joka on haitallinen. Lisätietoja false-positiivisista ja false-negatiteeteista on ohjeaiheessa Epätosien positiivisten/negatiivisten osoitteiden käsitteleminen Microsoft Defender for Endpoint

PYSYMINEN ASR-sääntöraporttien kanssa

Raporttien johdonmukainen ja säännöllinen tarkastelu on olennainen osa hyökkäyspinnan vähentämissääntöjen käyttöönottoa ja uusien uusien uhkien pysymistä ajan tasalla. Organisaatiosi olisi pitänyt ajoittaa arviot hyökkäyksen pinnan vähentämissääntöjen tapahtumista aikataulun mukaisesti, mikä pitää ajan tasalla hyökkäyksen pinnan pienentämissääntöjen raportoimien tapahtumien yhteydessä. Organisaatiosi koosta riippuen arvostelut voivat olla päivittäin, tunneittain tai jatkuva seuranta.

ASR-säännöt Kehittynyt metsästys

Yksi Microsoft Defender XDR tehokkaimmista piirteistä on kehittynyt metsästys. Jos et ole perehtynyt kehittyneeseen metsästykseen, katso: Etsi ennakoivasti uhkia kehittyneellä metsästyksellä.

Microsoft Defender portaalin Kehittynyt metsästys -sivu. Microsoft Defender for Endpoint hyökkäyspinnan vähentämissääntöjä, joita käytetään kehittyneessä metsästyksessä

Kehittynyt metsästys on kyselypohjainen (Kusto Query Language) uhkien metsästystyökalu, jonka avulla voit tutkia enintään 30 päivää tallennetut tiedot. Kehittyneen metsästyksen avulla voit ennakoivasti tarkastaa tapahtumat ja etsiä kiinnostavia indikaattoreita ja entiteettejä. Tietojen joustava käyttö helpottaa sekä tunnettujen että mahdollisten uhkien rajoittamatonta metsästystä.

Kehittyneen metsästyksen avulla on mahdollista poimia hyökkäyksen pinnan vähentämissäännöt, luoda raportteja ja saada tarkempia tietoja tietyn hyökkäyspinnan pienentämissäännön valvonnan tai lohkotapahtuman kontekstista.

Voit kysellä hyökkäyksen pinnan pienentämissäännön tapahtumia DeviceEvents-taulukosta Microsoft Defender portaalin kehittyneen metsästyksen osiosta. Esimerkiksi seuraava kysely näyttää, miten voit raportoida kaikki tapahtumat, joissa hyökkäyksen pinnan pienentämissäännöt ovat olleet tietolähteenä viimeisten 30 päivän ajalta. Tämän jälkeen kysely tekee yhteenvedon ActionType-määrän mukaan hyökkäyspinnan pienentämissäännön nimellä.

Hyökkäyspinnan vähentämistapahtumat, jotka näkyvät etenevässä metsästysportaalissa, rajoitetaan ainutlaatuisiin prosesseihin, joita nähdään tunnin välein. Hyökkäyksen pinnan vähentämistapahtuman aika on ensimmäinen kerta, kun tapahtuma nähdään kyseisen tunnin sisällä.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Kehittynyt metsästyskysely tuottaa tuloksen Microsoft Defender portaalissa

Yllä näkyy, että AsrLsassCredentialTheft-kohteeseen rekisteröitiin 187 tapahtumaa:

  • 102 estetylle
  • 85 valvotuille
  • Kaksi AsrOfficeChildProcess-tapahtumaa (1 valvotulle ja 1 lohkolle)
  • Kahdeksan tapahtumaa sovellukselle AsrPsexecWmiChildProcessAudited

Jos haluat keskittyä AsrOfficeChildProcess-sääntöön ja saada tietoja kyseessä olevista tiedostoista ja prosesseista, muuta ActionType-suodatinta ja korvaa yhteenvetorivi halutun kentän projektiolla (tässä tapauksessa ne ovat DeviceName, FileName, FolderPath jne.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

Tarkennetun metsästyskyselyn tulokset Microsoft Defender portaalissa

Kehittyneen metsästyksen todellinen etu on, että voit muotoilla kyselyt haluamallasi tavalla. Kyselyä muotoilemalla näet tarkan tarinan siitä, mitä tapahtui riippumatta siitä, haluatko paikantaa jotakin yksittäisessä tietokoneessa vai poimia merkityksellisiä tietoja koko ympäristöstäsi.

Lisätietoja metsästysvaihtoehdoista on kohdassa : Hyökkäyksen pinnan vähentämissääntöjen demystifying – osa 3.

Tämän käyttöönottokokoelman artikkelit

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen

Hyökkäyspinnan pienentämissääntöjen testaaminen

Hyökkäyspinnan pienentämissääntöjen käyttöönotto

Hyökkäyksen pinnan pienentämissääntöjen viittaus

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.