Hyökkäyspinnan pienentämissääntöjen raportti

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Alustoilla:

• Windows

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Hyökkäyspinnan pienentämissääntöjen raportti sisältää tietoja hyökkäyspinnan pienentämissäännöistä , joita sovelletaan organisaatiosi laitteisiin. Tässä raportissa on myös tietoja:

• havaitut uhat
• estetyt uhat
• laitteet, joita ei ole määritetty käyttämään uhkien estämiseen vakiosuojaussääntöjä

Lisäksi tämä raportti tarjoaa helppokäyttöisen käyttöliittymän, jonka avulla voit:

• Näytä uhkien tunnistuksia
• Näytä ASR-sääntöjen määritykset
• Määritä (lisää) poissulkemisia
• Aktivoi perussuojaus helposti ottamalla käyttöön kolme suositeltua ASR-sääntöä yhdellä vaihtopainikkeella
• Poraudu alaspäin ja kerää yksityiskohtaisia tietoja

Lisätietoja yksittäisistä hyökkäyspinnan pienentämissäännöistä on kohdassa Hyökkäyksen pinnan pienentämissääntöjen viite.

Ennakkovaatimukset

Tärkeää

Hyökkäysalueen vähentämissääntöjen raportin käyttäminen edellyttää lukuoikeuksia Microsoft Defender portaaliin. Microsoft Entra roolien, kuten suojauksen yleisen Hallinta tai käyttöoikeusroolin, myöntämän raportin käyttöoikeus on vanhentunut, ja se poistetaan huhtikuussa 2023. Jotta Windows Server 2012 R2 ja Windows Server 2016 näkyvät Hyökkäyspinnan pienentämissääntöjen raportissa, nämä laitteet on otettava käyttöön käyttämällä modernia yhdistettyä ratkaisupakettia. Lisätietoja on ohjeaiheessa Windows Server 2012 R2:n ja 2016:n modernin yhdistetyn ratkaisun uudet toiminnot.

Raportin käyttöoikeudet

Hyökkäysalueen vähentämissääntöjen raportin käyttäminen Microsoft 365:n tietoturva -koontinäytössä edellyttää seuraavia käyttöoikeuksia:

Käyttöoikeustyyppi	Lupaa	Käyttöoikeuden näyttönimi
Sovellus	Machine.Read.All	"Kaikkien koneprofiilien lukuoikeudet"
Delegoitu (työpaikan tai oppilaitoksen tili)	Machine.Read	'Konetietojen lukeminen'

Voit määrittää nämä oikeudet seuraavasti:

1. Kirjaudu sisään Microsoft Defender XDR käyttämällä tiliä, jolle on määritetty suojauksen järjestelmänvalvojan tai yleinen järjestelmänvalvoja rooli.
2. Valitse siirtymisruudussa Asetukset>Päätepisteet Roolit> (käyttöoikeudet-kohdassa).
3. Valitse rooli, jota haluat muokata.
4. Valitse Muokkaa.
5. Kirjoita Roolin nimi Muokkaa roolia - kohdan Yleiset-välilehdenRoolin nimi -kohtaan.
6. Kirjoita Kuvaus-kohdassa lyhyt yhteenveto roolista.
7. Valitse Käyttöoikeudet-kohdassaNäytä tiedot ja valitse sitten Näytä tiedot -kohdasta Hyökkäyspinnan pienentäminen.

Lisätietoja käyttäjäroolien hallinnasta on artikkelissa roolipohjaisen käyttöoikeuksien hallinnan roolien Create ja hallinta.

Navigointi

Siirry hyökkäyspinnan vähennyssääntöjen yhteenvetokorttien raporttiin

1. Avaa Microsoft Defender XDR portaali.
2. Valitse vasemmassa paneelissaRaportit ja valitse sitten pääosan Raportit-kohdastaSuojausraportti.
3. Vieritä alaspäin kohtaan Laitteet , niin löydät Hyökkäyspinnan vähentämissääntöjen yhteenvetokortit.

ASR-sääntöjen yhteenvetoraporttikortit näytetään seuraavassa kuvassa.

ASR-sääntöjen raporttiyhteenvedon kortit

ASR-sääntöjen raportin yhteenveto on jaettu kahteen korttiin:

• ASR-säännöntunnistusten yhteenvetokortti
• ASR-säännön kokoonpanon yhteenvetokortti

ASR-sääntöjen tunnistuksen yhteenvetokortti

Näyttää yhteenvedon ASR-sääntöjen estämien havaittujen uhkien määrästä.

Sisältää kaksi toimintopainiketta:

• Näytä tunnistuksia – avaa Hyökkäyspinnan vähentämisen säännöt>-päätunnistuksen välilehden
• Lisää poissulkemisia - Avaa Hyökkäysalueen vähennyssäännöt>-pääpoikkeukset-välilehti

Napsauttamalla ASR-sääntöjentunnistuslinkkiä kortin yläosassa avautuu myös Hyökkäyspinnan vähennyssääntöjen tunnistuksia -välilehti.

ASR-sääntöjen määritysyhteenvedon kortti

Yläosassa keskitytään kolmeen suositeltuun sääntöön, jotka suojaavat yleisiltä hyökkäystekniikoilta. Tässä kortissa näytetään organisaatiosi tietokoneiden nykyisen tilan tiedot, joiden kolme (ASR) vakiosuojaussääntöä on määritetty estämistilassa, valvontatilassa tai poissa käytöstä (ei määritetty). Suojaa laitteet -painike näyttää vain kolmen säännön täydet määritystiedot. asiakkaat voivat nopeasti ottaa nämä säännöt käyttöön.

Alaosassa on kuusi sääntöä, jotka perustuvat suojaamattomien laitteiden määrään sääntöä kohden. Näytä kokoonpano -painike näyttää kaikkien ASR-sääntöjen kaikki määritystiedot. Lisää poissulkeminen -painike näyttää lisää poissulkemissivun, jossa on kaikki tunnistetut tiedoston/prosessin nimet, jotka on lueteltu Tietoturvatoimintokeskuksen (SOC) laskemista varten. Lisää poissulkeminen -sivu on linkitetty Microsoft Intune.

Sisältää kaksi toimintopainiketta:

• Näytä määritykset – avaa Hyökkäysalueen vähentämisen säännöt>-päätunnistuksen välilehden
• Lisää poissulkemisia - Avaa Hyökkäysalueen vähennyssäännöt>-pääpoikkeukset-välilehti

Napsauttamalla ASR-sääntöjen määrityslinkkiä kortin yläosassa avautuu myös Hyökkäysalueen päävähennyssääntöjen Määritys-välilehti.

Yksinkertaistettu vakiosuojausasetus

Määritysyhteenvedon kortissa on painike , jolla suojataan laitteita kolmella vakiosuojaussäännöllä. Microsoft suosittelee vähintään, että otat käyttöön nämä kolme hyökkäyspinnan pienentämisen vakiosuojaussääntöä:

• Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe)
• Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
• Estä pysyvyys Windows Management Instrumentation (WMI) -tapahtumatilauksen kautta

Voit ottaa käyttöön kolme vakiosuojaussääntöä seuraavasti:

1. Valitse Suojaa laitteet. Määritysten päävälilehti avautuu.
2. Määritys-välilehdessäPerussäännöt vaihtaa automaattisesti Kaikki säännöt -asetuksista käyttöön otettuihin vakiosuojaussääntöihin.
3. Valitse Laitteet-luettelosta laitteet, joissa haluat käyttää vakiosuojaussääntöjä, ja valitse sitten Tallenna.

Tässä kortissa on kaksi muuta siirtymispainiketta:

• Näytä määritykset – Avaa Hyökkäysalueen pienentämissäännöt>-päämääritysvälilehden .
• Lisää poissulkemisia – Avaa Hyökkäysalueen pienentämissäännöt>- välilehden.

Napsauttamalla ASR-sääntöjen määrityslinkkiä kortin yläosassa avautuu myös Hyökkäysalueen päävähennyssääntöjen Määritys-välilehti.

Hyökkäyspinnan pienentämissääntöjen päävälilehtiä

Vaikka ASR-sääntöjen raporttiyhteenvedon korteista on hyötyä, kun saat nopean yhteenvedon ASR-sääntöjen tilasta, päävälilehdissä on tarkempia tietoja sekä suodatus- ja määritysominaisuuksia:

• Tunnistuksia-välilehti
• Määritys-välilehti
• Poikkeukset-välilehti

Haku ominaisuudet

Haku ominaisuus lisätään Tunnistaminen-, Määritys- ja Lisää poissulkeminen -päävälilehtiin. Tämän ominaisuuden avulla voit hakea käyttämällä laitetunnusta, tiedostonimeä tai prosessin nimeä.

Suodatus

Suodattamisen avulla voit määrittää, mitä tuloksia palautetaan:

• Päivämäärän avulla voit määrittää tietotulosten päivämääräalueen.
• Suodattimet

Huomautus

Kun suodatat säännön mukaan, raportin alemmalla puoliskolla lueteltujen yksittäisten havaittujen kohteiden määrä on tällä hetkellä rajoitettu 200 sääntöön. Vie-toiminnolla voit tallentaa täydellisen tunnistusluettelon Exceliin.

Vihje

Koska suodatin toimii tällä hetkellä tässä versiossa, aina kun haluat ryhmitellä, sinun on vieritettävä alaspäin luettelon viimeiseen tunnistamiseen, jotta voit ladata koko tietojoukon. Kun olet ladannut koko tietojoukon, voit käynnistää Lajitteluperuste-suodatuksen. Jos et vieritä alaspäin viimeiseen tunnistukseen, joka on lueteltu jokaisessa käytössä tai muutettaessa suodatusasetuksia (esimerkiksi asr-sääntöjä, joita käytetään nykyisessä suodattimen suorittamisessa), tulokset eivät kelpaa tulokselle, jolla on useampi kuin yksi näkyvien tunnistusten sivu.

Hyökkäyspinnan pienentämissääntöjen päätunnistusvälilehti

• Valvonnan tunnistuksia Näyttää, kuinka monta uhkien tunnistusta valvontatilassa määritetyt säännöt tallensivat.
• Estetyt tunnistuksia Näyttää, kuinka monta uhkien tunnistusta estävät Esto-tilassa määritetyt säännöt estivät.
• Suuri yhdistetty kaavio Näyttää estetyt ja valvotut tunnistuksia.

Kaaviot tarjoavat tunnistustietoja näytetyltä päivämääräväliltä, ja niiden avulla voidaan siirtää hiiren osoitin tietyn sijainnin päälle päivämääräkohtaisten tietojen keräämiseksi.

Raportin alaosassa on lueteltu uhat laitekohtaisesti seuraavilla kentillä:

Kentän nimi	Määritelmä
Tunnistettu tiedosto	Tiedosto on määritetty sisältämään mahdollinen tai tunnettu uhka
Havaittu	Päivämäärä, jolloin uhka havaittiin
Estetty/valvottu?	Oliko tietyn tapahtuman tunnistamissääntö block- vai audit-tilassa
Sääntö	Mikä sääntö havaitsi uhan
Lähdesovellus	Sovellus, joka teki kutsun loukkaavaan "havaittuun tiedostoon"
Laite	Sen laitteen nimi, jossa Audit- tai Block-tapahtuma ilmeni
Laiteryhmä	Active Directory -ryhmä, johon laite kuuluu
Käyttäjä	Puhelusta vastaava tietokonetili
Publisher	Yritys, joka julkaisi kyseisen .exe tai sovelluksen

Lisätietoja ASR-säännön valvonta- ja estotiloista on kohdassa Hyökkäyspinnan pienentämissääntöjen tilat.

Toiminnallinen pikaikkuna

Tunnistaminen-pääsivulla on luettelo kaikista tunnistuksista (tiedostot/prosessit) viimeisten 30 päivän ajalta. Valitse jokin tunnistuksista avattavaksi porautumisominaisuuksilla.

Mahdollinen poissulkeminen ja vaikutus -osio tarjoaa valitun tiedoston tai prosessin vaikutuksen. Voit:

• Valitse Go hunt , joka avaa kehittyneen metsästyksen kyselysivun
• Avaa tiedostosivu avaa Microsoft Defender for Endpoint tunnistuksen
• Lisää poissulkeminen -painike on linkitetty lisää poissulkeminen -pääsivuun.

Seuraava kuva havainnollistaa, miten Kehittynyt metsästys -kyselysivu avautuu toiminnallisen pikaikkunan linkistä:

Lisätietoja kehittyneestä metsästyksestä on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR

Hyökkäysalueen pienentämissääntöjen päämääritysvälilehti

ASR-sääntöjen Päämääritys-välilehti sisältää yhteenvedon ja laitekohtaiset ASR-sääntöjen määritystiedot. Määritys-välilehdessä on kolme keskeistä näkökohtaa:

Perussäännöt Tarjoaa tavan, jolla tulokset voidaan vaihtaa perussääntöjen ja kaikkien sääntöjen välillä. Oletusarvoisesti valitaan perussäännöt .

Laitteen kokoonpanon yleiskatsaus Tarjoaa nykyisen tilannevedoksen laitteista jossakin seuraavista til joistakin:

• Kaikki näytetyt laitteet (laitteet, joissa on puuttuvia edellytyksiä, valvontatilan säännöt, väärin määritetyt säännöt tai säännöt, joita ei ole määritetty)
• Laitteet, joissa on sääntöjä, joita ei ole määritetty
• Laitteet, joissa on sääntöjä valvontatilassa
• Laitteet, joissa on sääntöjä lohkotilassa

Määritys-välilehden alemmassa, nimeämättömässä osassa on luettelo laitteiden nykyisestä tilasta (laitekohtaisesti):

• Laite (nimi)
• Yleinen määritys (Ovatko säännöt käytössä vai kaikki poissa käytöstä)
• Estotilassa olevat säännöt (estettyjen laitekohtaisten sääntöjen määrä)
• Valvontatilassa olevat säännöt (sääntöjen määrä valvontatilassa)
• Säännöt on poistettu käytöstä (säännöt, jotka on poistettu käytöstä tai joita ei ole otettu käyttöön)
• Laitetunnus (laitteen GUID-tunnus)

Nämä elementit näkyvät seuraavassa kuvassa.

ASR-sääntöjen käyttöönotto:

1. Valitse Laite-kohdassa laite tai laitteet, joissa haluat käyttää ASR-sääntöjä.
2. Tarkista valintasi pikaikkunassa ja valitse sitten Lisää käytäntöön.

Määritys-välilehti ja säännön lisääminen -pikaikkuna näkyvät seuraavassa kuvassa.

[HUOMAUTUS!] Jos sinulla on laitteita, jotka edellyttävät eri ASR-sääntöjen käyttöönottoa, sinun tulee määrittää kyseiset laitteet erikseen.

Hyökkäysalueen pienentämissäännöt Lisää poikkeukset -välilehti

Lisää poissulkemisia -välilehti esittelee luokitellun tunnistusluettelon tiedostonimen mukaan ja tarjoaa menetelmän poissulkemisten määrittämiseen. Oletusarvon mukaan Lisää poissulkemiset - tiedot on lueteltu kolmessa kentässä:

• Tiedostonimi ASR-sääntötapahtuman käynnistäneen tiedoston nimi.
• Etsivä Nimetyn tiedoston havaittujen tapahtumien kokonaismäärä. Yksittäiset laitteet voivat käynnistää useita ASR-sääntötapahtumia.
• Laitteet Niiden laitteiden määrä, joissa tunnistus tapahtui.

Tärkeää

Tiedostojen tai kansioiden pois jättäminen voi heikentää ASR-sääntöjen tarjoamaa suojausta. Pois jätettyjen tiedostojen suorittaminen on sallittua, eikä raporttia tai tapahtumaa tallenneta. Jos ASR-säännöt tunnistavat tiedostoja, joita ei mielestäsi pitäisi havaita, testaa sääntö valvontatilassa ensin.

Kun valitset tiedoston, näkyviin tulee Yhteenveto-& odotettu vaikutus -pikaikkuna, joka esittää seuraavantyyppiset tiedot:

• Valitut tiedostot Poissulkemista varten valittujen tiedostojen määrä
• (tunnistusten määrä) Toteaa, että tunnistusten odotettu vähennys valittujen poissulkemisten lisäämisen jälkeen. Tunnistusten vähentäminen esitetään graafisesti todellisille tunnistuksille ja tunnistuksille poissulkemisten jälkeen
• (määrä) laitteita, joihin ongelma vaikuttaa Ilmoittaa valittujen poissulkemisten tunnistusten raportoimiseen käytettävien laitteiden odotetun vähenemisen.

Lisää poissulkeminen -sivulla on kaksi painiketta toiminnoille, joita voidaan käyttää missä tahansa havaituissa tiedostoissa (valinnan jälkeen). Voit:

• Lisää poissulkeminen, joka avaa Microsoft Intune ASR-käytäntösivun. Lisätietoja on artikkelissa: Intune kohdassa Asr-sääntöjen vaihtoehtoisten määritysmenetelmien käyttöönotto.
• Hae poissulkemispolut , jotka lataavat tiedostopolut CSV-muodossa

Tutustu myös seuraaviin ohjeartikkeleihin:

• Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
• Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen
• Hyökkäyspinnan pienentämissääntöjen testaaminen
• Hyökkäyspinnan pienentämissääntöjen käyttöönotto
• Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen
• Hyökkäyksen pinnan pienentämisen (ASR) sääntöjen raportti
• Hyökkäyksen pinnan pienentämissääntöjen viittaus

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.