Hyökkäyspinnan pienentämissääntöjen yleiskatsaus

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Miksi hyökkäyspinnan vähentämissäännöt ovat tärkeitä

Organisaatiosi hyökkäyspinta sisältää kaikki paikat, joissa hyökkääjä voi vaarantaa organisaatiosi laitteet tai verkot. Hyökkäyspinnan pienentäminen tarkoittaa organisaatiosi laitteiden ja verkon suojaamista, jolloin hyökkääjillä on vähemmän hyökkäystapoja. Hyökkäysalueen pienentämissääntöjen määrittäminen Microsoft Defender for Endpoint voi auttaa!

Hyökkäyspinnan pienentämissäännöt kohdistuvat tiettyihin ohjelmistoihin, kuten:

  • Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
  • Suoritetaan hämärtymättömiä tai muuten epäilyttäviä komentosarjoja
  • Toiminnot, joita sovellukset eivät yleensä aloita normaalin päivittäisen työn aikana

Tällaisia ohjelmistotoimintaa nähdään joskus laillisissa sovelluksissa. Näitä käyttäytymismalleja pidetään kuitenkin usein riskialttiina, koska hyökkääjät käyttävät niitä yleisesti väärin haittaohjelmien välityksellä. Hyökkäyspinnan pienentämissäännöt voivat rajoittaa ohjelmistopohjaisia riskialttiita toimintamalleja ja auttaa pitämään organisaatiosi turvassa.

Peräkkäisiä, päästä päähän -prosessi hyökkäyspinnan pienentämissääntöjen hallintaa varten on seuraavissa säännöissä:

Arvioi säännöt ennen käyttöönottoa

Voit arvioida, miten hyökkäyspinnan pienentämissääntö voi vaikuttaa verkkoon, avaamalla kyseisen säännön suojaussuosituksen Microsoft Defenderin haavoittuvuuksien hallinta.

Hyökkäyspinnan vähentämissuositus

Tarkista suosituksen tietoruudussa käyttäjän vaikutus ja selvitä, mikä prosenttiosuus laitteistasi voi hyväksyä uuden käytännön, joka ottaa säännön käyttöön estotilassa ilman, että se vaikuttaa haitallisesti tuottavuuteen.

Lisätietoja tuetuista käyttöjärjestelmistä ja muista vaatimustiedoista on artikkelissa Hyökkäysalueen pienentämisen sääntöjen käyttöönotto.

Arvioinnin valvontatila

Valvontatila

Valvontatilan avulla voit arvioida, miten hyökkäyspinnan vähentämissäännöt vaikuttavat organisaatioosi, jos ne ovat käytössä. Suorita ensin kaikki säännöt valvontatilassa, jotta ymmärrät, miten ne vaikuttavat toimialasovelluksiin. Monet toimialakohtaiset sovellukset kirjoitetaan rajoitetuin tietoturvaan liittyvistä huolenaiheista, ja ne saattavat suorittaa tehtäviä haittaohjelmia muistuttavilla tavoilla.

Poisjätöt

Valvomalla valvontatietoja ja lisäämällä tarvittavien sovellusten poissulkemisia voit ottaa käyttöön hyökkäyspinnan vähentämissääntöjä heikentämättä tuottavuutta.

Säännön poikkeukset

Lisätietoja sääntökohtaisten poissulkemisten määrittämisestä on artikkelissa Hyökkäyspinnan pienentämissääntöjen määrittäminen sääntökohtaisia poissulkemisia käsittelevästä osiosta Testaa hyökkäysalueen vähentämissääntöjä.

Käyttäjien varoitustila

(UUSI!) Ennen varoitustilan ominaisuuksia käyttöönotetut hyökkäyspinnan vähentämissäännöt voidaan määrittää joko valvontatilaan tai estotilaan. Kun uusi varoitustila estää hyökkäyksen pinnan pienentämissäännön sisällön, käyttäjät näkevät valintaikkunan, joka ilmaisee, että sisältö on estetty. Valintaikkunassa on myös mahdollisuus poistaa sisällön esto. Käyttäjä voi sitten yrittää toimintoaan uudelleen, ja toiminto valmistuu. Kun käyttäjä poistaa sisällön eston, sisältö pysyy estottomana 24 tunnin ajan ja estää sitten ansioluettelot.

Varoitustila auttaa organisaatiotasi käyttämään hyökkäysalueen vähentämissääntöjä estämättä käyttäjiä käyttämästä tehtäviensä suorittamiseen tarvittavaa sisältöä.

Varoitustilan toimintaa koskevat vaatimukset

Varoitustilaa tuetaan laitteissa, joissa on käytössä seuraavat Windows-versiot:

Microsoft Defender virustentorjuntaohjelman on oltava käytössä reaaliaikaisen suojauksen kanssa aktiivisessa tilassa.

Varmista myös, Microsoft Defender virustentorjunta- ja haittaohjelmien torjuntapäivitykset on asennettu.

  • Käyttöympäristön vähimmäisjulkaisuvaatimus: 4.18.2008.9
  • Moduulin vähimmäisjulkaisuvaatimus: 1.1.17400.5

Jos haluat lisätietoja ja saada päivitykset, katso Microsoft Defender haittaohjelmien torjuntaympäristön päivitys.

Tapaukset, joissa varoitustilaa ei tueta

Varoitustilaa ei tueta kolmessa hyökkäyspinnan pienentämissäännössä, kun määrität ne Microsoft Intune. (Jos käytät ryhmäkäytäntö hyökkäyspinnan pienentämissääntöjen määrittämiseen, varoitustilaa tuetaan.) Kolme sääntöä, jotka eivät tue varoitustilaa, kun määrität ne Microsoft Intune, ovat seuraavat:

Lisäksi varoitustilaa ei tueta laitteissa, joissa on Windowsin vanhempia versioita. Näissä tapauksissa hyökkäysalueen vähentämissäännöt, jotka on määritetty suoritettavaksi varoitustilassa, suoritetaan lohkotilassa.

Ilmoitukset ja hälytykset

Aina kun hyökkäyspinnan pienentämissääntö käynnistetään, laitteessa näytetään ilmoitus. Voit mukauttaa ilmoitusta yrityksesi tiedoilla ja yhteystietoilla.

Lisäksi, kun tietyt hyökkäyspinnan vähentämissäännöt käynnistetään, hälytyksiä luodaan.

Ilmoituksia ja luotuja ilmoituksia voi tarkastella Microsoft Defender portaalissa.

Lisätietoja ilmoitus- ja ilmoitustoiminnoista on artikkelissa Hyökkäyksen pinnan pienentämissääntöjen viiteartikkelisääntökohtaiset ilmoitukset ja ilmoitukset.

Kehittyneet metsästys- ja hyökkäysalueen vähentämistapahtumat

Kehittyneen metsästyksen avulla voit tarkastella hyökkäyspinnan vähentämistapahtumia. Saapuvien tietojen määrän tehostamiseksi vain kunkin tunnin yksilölliset prosessit ovat tarkasteltavissa kehittyneen metsästyksen avulla. Hyökkäyspinnan vähentämistapahtuman aika on ensimmäinen kerta tunnin sisällä.

Oletetaan esimerkiksi, että hyökkäyspinnan vähentämistapahtuma tapahtuu kymmenessä laitteessa kello 14:00 aikana. Oletetaan, että ensimmäinen tapahtuma tapahtui klo 2.15 ja viimeinen klo 2.45. Kehittyneessä metsästyksessä näet yhden tapahtuman esiintymän (vaikka se todella tapahtui 10 laitteessa), ja sen aikaleima on 14:15.

Lisätietoja kehittyneestä metsästyksestä on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.

Hyökkäyspinnan vähentämisominaisuudet Windows-versioissa

Voit määrittää hyökkäyspinnan vähentämissääntöjä laitteille, joissa on käytössä jokin seuraavista Windowsin versioista ja versioista:

Vaikka hyökkäyspinnan vähentämissäännöt eivät edellytä Windows E5 -käyttöoikeutta, jos sinulla on Windows E5, saat kehittyneitä hallintaominaisuuksia. Kehittyneitä ominaisuuksia , jotka ovat käytettävissä vain Windows E5:ssä, ovat seuraavat:

Nämä lisäominaisuudet eivät ole käytettävissä Windows Professional- tai Windows E3 -käyttöoikeudella. Jos sinulla kuitenkin on nämä käyttöoikeudet, voit Tapahtumienvalvonta ja Microsoft Defender virustentorjuntalokien avulla tarkastellaksesi hyökkäyspinnan pienentämissääntöjen tapahtumia.

Tarkastele hyökkäyspinnan vähentämistapahtumia Microsoft Defender portaalissa

Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytysten tutkintaskenaarioita.

Voit kysellä Defenderin päätepistetietoja Microsoft Defender XDR käyttämällä kehittynyttä metsästystä.

Tässä on esimerkkikysely:

DeviceEvents
| where ActionType startswith 'Asr'

Tarkastele hyökkäyspinnan pienentämistapahtumia Windows Tapahtumienvalvonta

Voit tarkastella hyökkäyspinnan pienentämissääntöjen luomia tapahtumia Windowsin tapahtumalokista:

  1. Lataa arviointipaketti ja pura tiedostocfa-events.xml helposti käytettävissä olevaan sijaintiin laitteessa.

  2. Avaa Windows Tapahtumienvalvonta kirjoittamalla sanat Tapahtumienvalvonta Käynnistä-valikkoon.

  3. Valitse Toiminnot-kohdastaTuo mukautettu näkymä...

  4. Valitse tiedosto ,cfa-events.xml , josta se on poimittu. Vaihtoehtoisesti voit kopioida XML:n suoraan.

  5. Valitse OK.

Voit luoda mukautetun näkymän, joka suodattaa tapahtumat näyttämään vain seuraavat tapahtumat, jotka kaikki liittyvät valvottuun kansion käyttöön:

Tapahtuman tunnus Kuvaus
5007 Tapahtuma, kun asetuksia muutetaan
1121 Tapahtuma, kun sääntö käynnistyy lohkotilassa
1122 Tapahtuma, kun sääntö käynnistyy valvontatilassa

Tapahtumalokin hyökkäysalueen vähentämistapahtumille luetteloitu "moduuliversio" on Defender for Endpointin luoma, ei käyttöjärjestelmä. Defender for Endpoint on integroitu Windows 10 ja Windows 11 kanssa, joten tämä ominaisuus toimii kaikissa laitteissa, joihin on asennettu Windows 10 tai Windows 11.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.