Hyökkäyspinnan pienentämisominaisuuksien ymmärtäminen ja käyttäminen
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Vihje
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Hyökkäyspinnat ovat kaikki paikkoja, joissa organisaatiosi on altis kyberuhille ja hyökkäyksille. Defender for Endpoint sisältää useita ominaisuuksia, joiden avulla voit pienentää hyökkäyspintoja. Seuraavasta videosta saat lisätietoja hyökkäyspinnan vähentämisestä.
Hyökkäyspinnan pienentämisominaisuuksien määrittäminen
Voit määrittää hyökkäyspinnan pienentämisen ympäristössäsi seuraavasti:
Ota käyttöön sovelluksen ohjausobjekti.
Tarkista peruskäytännöt Windowsissa. Katso Esimerkkejä peruskäytännöistä.
Katso Windows Defender Sovellusten hallinnan suunnitteluopas.
Katso kohta Windows Defender Sovellusohjausobjektin (WDAC) käytäntöjen käyttöönotto.
Ota käyttöön siirrettävän tallennusvälineen suojaus.
Ota WWW-suojaus käyttöön.
Määritä verkon palomuuri.
Yleiskatsaus Windowsin palomuurista, jossa on kehittynyt suojaus.
Windowsin palomuurin suunnitteluoppaan avulla voit päättää, miten haluat suunnitella palomuurikäytännöt.
Windowsin palomuurin käyttöönotto-oppaan avulla voit määrittää organisaatiosi palomuurin kehittyneellä suojauksella.
Vihje
Useimmissa tapauksissa, kun määrität hyökkäyspinnan vähentämisominaisuuksia, voit valita useista menetelmistä:
- Microsoft Intune
- Microsoft Configuration Manager
- Ryhmäkäytäntö
- PowerShellin cmdlet-komennot
Hyökkäyspinnan pienentämisen testaaminen Microsoft Defender for Endpoint
Osana organisaatiosi suojausryhmää voit määrittää hyökkäyspinnan vähentämisominaisuudet suoritettavaksi valvontatilassa, jotta näet, miten ne toimivat. Voit ottaa käyttöön seuraavat hyökkäysalueen vähentämissuojausominaisuudet valvontatilassa:
- Hyökkäyspinta-alan rajoittamissäännöt
- Hyökkäysten esto
- Verkon suojaus
- Hallittu kansion käyttö
- Laitteen ohjausobjekti
Valvontatilan avulla näet tietueen siitä, mitä olisi tapahtunut, jos ominaisuus olisi otettu käyttöön.
Voit ottaa valvontatilan käyttöön, kun testaat ominaisuuksien toimintaa. Valvontatilan ottaminen käyttöön vain testausta varten auttaa estämään valvontatilaa vaikuttamasta toimialasovelluksiin. Voit myös saada käsityksen siitä, kuinka monta epäilyttävää tiedoston muokkausyritystä tapahtuu tietyn ajanjakson aikana.
Ominaisuudet eivät estä tai estä sovellusten, komentosarjojen tai tiedostojen muokkaamista. Windowsin tapahtumalokiin tallennetaan kuitenkin tapahtumat ikään kuin ominaisuudet olisivat täysin käytössä. Valvontatilassa voit tarkistaa tapahtumalokista, miten ominaisuus olisi vaikuttanut, jos se olisi käytössä.
Etsi valvotut merkinnät valitsemalla Sovellukset ja palvelut>Microsoft>Windows>Windows Defender>Operational.
Saat lisätietoja jokaisesta tapahtumasta Defender for Endpointin avulla. Nämä tiedot ovat erityisen hyödyllisiä hyökkäyksen pinnan vähentämissääntöjen tutkimisessa. Defender for Endpoint -konsolin avulla voit tutkia ongelmia osana ilmoituksen aikajanaa ja tutkimuksia.
Voit ottaa valvontatilan käyttöön käyttämällä ryhmäkäytäntö, PowerShelliä ja määrityspalveluntarjoajia.
| Valvonta-asetukset | Valvontatilan ottaminen käyttöön | Tapahtumien tarkasteleminen |
|---|---|---|
| Valvonta koskee kaikkia tapahtumia | Ota hallittu kansion käyttö käyttöön | Valvotut kansion käyttötapahtumat |
| Valvonta koskee yksittäisiä sääntöjä | Vaihe 1: Hyökkäyspinnan vähentämissääntöjen testaaminen valvontatilan avulla | Vaihe 2: Hyökkäyspinnan vähentämisen sääntöjen raportointisivun ymmärtäminen |
| Valvonta koskee kaikkia tapahtumia | Ota verkon suojaus käyttöön | Verkon suojaustapahtumat |
| Valvonta koskee yksittäisiä lievennyksiä | Ota hyökkäysten esto käyttöön | Hyödynnä suojaustapahtumia |
Voit esimerkiksi testata hyökkäyspinnan vähentämissääntöjä valvontatilassa, ennen kuin otat ne käyttöön lohkotilassa. Hyökkäyspinnan vähentämissäännöt on ennalta määritetty kovettumaan yleisiä, tunnettuja hyökkäyspintoja. Hyökkäyspinnan vähentämissääntöjä voi käyttää useilla tavoilla. Suositeltu menetelmä on dokumentoitu seuraavissa hyökkäysalueen vähentämissääntöjen käyttöönottoartikkeleissa:
- Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
- Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen
- Hyökkäyspinnan pienentämissääntöjen testaaminen
- Hyökkäyspinnan pienentämissääntöjen käyttöönotto
- Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen
Näytä hyökkäysalueen vähentämistapahtumat
Tarkastele hyökkäyspinnan vähentämistapahtumia Tapahtumienvalvonta valvoaksesi, mitkä säännöt tai asetukset toimivat. Voit myös määrittää, ovatko kaikki asetukset liian meluisia tai vaikuttavatko ne päivittäiseen työnkulkuun.
Tapahtumien tarkasteleminen on kätevää, kun arvioit ominaisuuksia. Voit ottaa ominaisuuksien tai asetusten valvontatilan käyttöön ja tarkastella sitten, mitä olisi tapahtunut, jos ne olisivat täysin käytössä.
Tässä osiossa luetellaan kaikki tapahtumat, niihin liittyvä ominaisuus tai asetus sekä kuvataan, miten voit luoda mukautettuja näkymiä tiettyjen tapahtumien suodattamiseksi.
Saat yksityiskohtaisen raportoinnin tapahtumista, lohkoista ja varoituksista osana Windowsin suojaus jos sinulla on E5-tilaus ja käytät Microsoft Defender for Endpoint.
Tarkastele hyökkäysalueen vähentämisominaisuuksia mukautettujen näkymien avulla
Luo mukautettuja näkymiä Windows Tapahtumienvalvonta nähdäksesi vain tiettyjen ominaisuuksien ja asetusten tapahtumat. Helpoin tapa on tuoda mukautettu näkymä XML-tiedostona. Voit kopioida XML:n suoraan tältä sivulta.
Voit myös siirtyä manuaalisesti toimintoa vastaavalle tapahtuma-alueelle.
Tuo aiemmin luotu mukautettu XML-näkymä
Luo tyhjä .txt ja kopioi käytettävän mukautetun näkymän XML-koodi .txt-tiedostoon. Tee tämä jokaiselle mukautetulle näkymälle, jota haluat käyttää. Nimeä tiedostot uudelleen seuraavasti (varmista, että muutat tyypin .txt .xml):
- Hallittujen kansioiden käyttötapahtumien mukautettu näkymä: cfa-events.xml
- Hyödynnä suojaustapahtumien mukautettua näkymää: ep-events.xml
- Hyökkäyksen pinnanvähennystapahtumien mukautettu näkymä: asr-events.xml
- Verkko- ja suojaustapahtumien mukautettu näkymä: np-events.xml
Kirjoita Tapahtumienvalvonta Käynnistä-valikkoon ja avaa Tapahtumienvalvonta.
Valitse Toiminnon>tuo mukautettu näkymä...
Siirry kohtaan, johon poimit haluamasi mukautetun näkymän XML-tiedoston, ja valitse se.
Valitse Avaa.
Se luo mukautetun näkymän, joka suodattaa näyttämään vain kyseiseen ominaisuuteen liittyvät tapahtumat.
Kopioi XML suoraan
Kirjoita Tapahtumienvalvonta Käynnistä-valikkoon ja avaa Windows-Tapahtumienvalvonta.
Valitse vasemman paneelin Toiminnot-kohdastaLuo mukautettu näkymä...
Siirry XML-välilehteen ja valitse Muokkaa kyselyä manuaalisesti. Näkyviin tulee varoitus siitä, että et voi muokata kyselyä Suodatin-välilehdessä , jos käytät XML-asetusta. Valitse Kyllä.
Liitä sen ominaisuuden XML-koodi, jonka tapahtumat haluat suodattaa XML-osaan.
Valitse OK. Määritä suodattimen nimi. Tämä toiminto luo mukautetun näkymän, joka suodattaa näyttämään vain kyseiseen ominaisuuteen liittyvät tapahtumat.
HYÖKKÄYKSEN pinnan pienentämissäännön tapahtumien XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
Valvotun kansion käyttötapahtumien XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-koodi suojauksen hyödyntämista varten
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
Verkon suojaustapahtumien XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Luettelo hyökkäysalueen pienentämistapahtumista
Kaikki hyökkäyspinnan vähentämistapahtumat sijaitsevat kohdassa Sovellukset ja palvelut Lokit > Microsoft > Windows ja sitten kansio tai palvelu seuraavassa taulukossa esitetyllä tavalla.
Voit käyttää näitä tapahtumia Windowsin tapahtumienvalvontaohjelmassa:
Avaa Käynnistä-valikko ja kirjoita tapahtumienvalvonta ja valitse sitten Tapahtumienvalvonta tulos.
Laajenna Sovellukset ja palvelut -lokit > Microsoft > Windows ja siirry sitten alla olevan taulukon Provider/source-kohdassa lueteltuun kansioon.
Näet tapahtumat kaksoisnapsauttamalla alikohdetta. Selaa tapahtumia ja etsi haluamasi.
| Ominaisuus | Palvelu/lähde | Tapahtuman tunnus | Kuvaus |
|---|---|---|---|
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 1 | ACG-valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 2 | ACG enforce |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 3 | Älä salli aliprosessien valvontaa |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 4 | Älä salli aliprosessien estoa |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 5 | Estä matalan eheyden kuvien valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 6 | Estä heikkojen eheyskuvien esto |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 7 | Estä etäkuvien valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 8 | Estä etäkuvalohko |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 9 | Poista win32k-järjestelmäkutsujen valvonta käytöstä |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 10 | Poista win32k-järjestelmäkutsujen esto käytöstä |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 11 | Koodin eheyssuojan valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 12 | Koodin eheyssuojalohko |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 13 | EAF-tarkastus |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 14 | EAF-pakota |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 15 | EAF+-tarkastus |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 16 | EAF+ pakota |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 17 | IAF-tarkastus |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 18 | IAF-täytäntöönpano |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 19 | ROP StackPivot -valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 20 | ROP StackPivot enforce |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 21 | ROP CallerCheck -valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 22 | ROP CallerCheck pakota |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 23 | ROP SimExec -valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 24 | ROP SimExec enforce |
| Hyökkäysten esto | WER-Diagnostics | 5 | CFG-lohko |
| Hyökkäysten esto | Win32K (operatiivinen) | 260 | Fontti, joka ei ole luotettu |
| Verkon suojaus | Windows Defender (operatiivinen) | 5007 | Tapahtuma, kun asetuksia muutetaan |
| Verkon suojaus | Windows Defender (operatiivinen) | 1125 | Tapahtuma, kun verkon suojaus käynnistyy valvontatilassa |
| Verkon suojaus | Windows Defender (operatiivinen) | 1126 | Tapahtuma, kun verkon suojaus käynnistyy lohkotilassa |
| Hallittu kansion käyttö | Windows Defender (operatiivinen) | 5007 | Tapahtuma, kun asetuksia muutetaan |
| Hallittu kansion käyttö | Windows Defender (operatiivinen) | 1124 | Valvotun kansion käyttötapahtuma |
| Hallittu kansion käyttö | Windows Defender (operatiivinen) | 1123 | Estettyjen valvottujen kansioiden käyttötapahtuma |
| Hallittu kansion käyttö | Windows Defender (operatiivinen) | 1127 | Estettyjen valvottujen kansioiden käyttösektorin kirjoituslohkotapahtuma |
| Hallittu kansion käyttö | Windows Defender (operatiivinen) | 1128 | Valvotun kansion käyttösektorin kirjoituslohkotapahtuma |
| Hyökkäyspinta-alan rajoittaminen | Windows Defender (operatiivinen) | 5007 | Tapahtuma, kun asetuksia muutetaan |
| Hyökkäyspinta-alan rajoittaminen | Windows Defender (operatiivinen) | 1122 | Tapahtuma, kun sääntö käynnistyy valvontatilassa |
| Hyökkäyspinta-alan rajoittaminen | Windows Defender (operatiivinen) | 1121 | Tapahtuma, kun sääntö käynnistyy lohkotilassa |
Huomautus
Käyttäjän näkökulmasta hyökkäysalueen pienentäminen Ilmoitustilailmoitukset tehdään Windowsin ilmoitusruutuna hyökkäyksen pinnan pienentämissäännöistä.
Hyökkäyspinnan vähentämisessä verkkosuojaus tarjoaa vain valvonta- ja estotilat.
Resurssit, joiden avulla saat lisätietoja hyökkäyspinnan vähentämisestä
Kuten videossa mainittiin, Defender for Endpoint sisältää useita hyökkäyspinnan vähentämisominaisuuksia. Lisätietoja saat seuraavista resursseista:
| Artiklan | Kuvaus |
|---|---|
| Sovellusohjausobjekti | Käytä sovelluksen ohjausobjektia niin, että sovelluksesi on ansaittava luottamus, jotta ne voidaan suorittaa. |
| Hyökkäyksen pinnan pienentämissääntöjen viittaus | Antaa tietoja jokaisesta hyökkäyspinnan pienentämissäännöstä. |
| Hyökkäyspinnan pienentämissääntöjen käyttöönotto-opas | Näyttää yleiskatsauksen ja edellytykset hyökkäysalueen vähentämissääntöjen käyttöönotolle. Sen jälkeen annetaan vaiheittaiset ohjeet testaukseen (valvontatila), käyttöönottoon (estotila) ja valvontaan. |
| Hallittu kansion käyttö | Auta estämään haitallisia tai epäilyttäviä sovelluksia (mukaan lukien tiedostoja salaava kiristyshaittaohjelma) tekemästä muutoksia tärkeimpien järjestelmäkansioiden tiedostoihin (Edellyttää Microsoft Defender virustentorjuntaohjelma). |
| Laitehallinta | Suojaa tietojen menettämiseltä valvomalla ja hallitsemalla organisaatiosi laitteissa, kuten siirrettävässä tallennustilassa ja USB-asemista, käytettyjä mediatiedostoja. |
| Hyökkäysten esto | Auta suojaamaan organisaatiosi käyttämiä käyttöjärjestelmiä ja sovelluksia hyödyntämiltä. Hyödyntäminen toimii myös kolmannen osapuolen virustentorjuntaratkaisujen kanssa. |
| Laitteistopohjainen eristys | Suojaa ja ylläpidä järjestelmän eheyttä, kun se käynnistyy ja kun se on käynnissä. Vahvista järjestelmän eheys paikallisen ja etäaseman avulla. Käytä Microsoft Edgen säilöeristystä haitallisten sivustojen suojaamiseen. |
| Verkon suojaus | Laajenna suojaus organisaatiosi laitteiden verkkoliikenteelle ja yhteydelle. (Edellyttää virustentorjuntaohjelman Microsoft Defender). |
| Hyökkäyspinnan pienentämissääntöjen testaaminen | Tarjoaa ohjeet hyökkäyspinnan vähentämissääntöjen testaamiseen valvontatilan avulla. |
| Verkkosuojaus | Verkkosuojauksen avulla voit suojata laitteesi verkkouhkia vastaan ja säännellä ei-toivottua sisältöä. |
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle