Hyökkäyspinnan pienentämissääntöjen yleiskatsaus
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Vihje
Tämän artikkelin kumppanina tutustu Security Analyzerin määritysoppaaseen , jossa tarkastellaan parhaita käytäntöjä ja opitaan vahvistamaan puolustusta, parantamaan vaatimustenmukaisuutta ja navigoimaan kyberturvallisuusympäristössä luottavaisin mielin. Ympäristöösi perustuvan mukautetun käyttökokemuksen saat suojausanalysaattorin automaattisen määritysoppaan avulla Microsoft 365 -hallintakeskus.
Miksi hyökkäyspinnan vähentämissäännöt ovat tärkeitä
Organisaatiosi hyökkäyspinta sisältää kaikki paikat, joissa hyökkääjä voi vaarantaa organisaatiosi laitteet tai verkot. Hyökkäyspinnan pienentäminen tarkoittaa organisaatiosi laitteiden ja verkon suojaamista, jolloin hyökkääjillä on vähemmän hyökkäystapoja. Hyökkäysalueen pienentämissääntöjen määrittäminen Microsoft Defender for Endpoint voi auttaa!
Hyökkäyspinnan pienentämissäännöt kohdistuvat tiettyihin ohjelmistoihin, kuten:
- Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
- Suoritetaan hämärtymättömiä tai muuten epäilyttäviä komentosarjoja
- Toiminnot, joita sovellukset eivät yleensä aloita normaalin päivittäisen työn aikana
Tällaisia ohjelmistotoimintaa nähdään joskus laillisissa sovelluksissa. Näitä käyttäytymismalleja pidetään kuitenkin usein riskialttiina, koska hyökkääjät käyttävät niitä yleisesti väärin haittaohjelmien välityksellä. Hyökkäyspinnan pienentämissäännöt voivat rajoittaa ohjelmistopohjaisia riskialttiita toimintamalleja ja auttaa pitämään organisaatiosi turvassa.
Peräkkäisiä, päästä päähän -prosessi hyökkäyspinnan pienentämissääntöjen hallintaa varten on seuraavissa säännöissä:
- Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
- Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen
- Hyökkäyspinnan pienentämissääntöjen testaaminen
- Hyökkäyspinnan pienentämissääntöjen käyttöönotto
- Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen
Arvioi säännöt ennen käyttöönottoa
Voit arvioida, miten hyökkäyspinnan pienentämissääntö voi vaikuttaa verkkoon, avaamalla kyseisen säännön suojaussuosituksen Microsoft Defenderin haavoittuvuuksien hallinta.
Tarkista suosituksen tietoruudussa käyttäjän vaikutus ja selvitä, mikä prosenttiosuus laitteistasi voi hyväksyä uuden käytännön, joka ottaa säännön käyttöön estotilassa ilman, että se vaikuttaa haitallisesti tuottavuuteen.
Lisätietoja tuetuista käyttöjärjestelmistä ja muista vaatimustiedoista on artikkelissa Hyökkäysalueen pienentämisen sääntöjen käyttöönotto.
Arvioinnin valvontatila
Valvontatila
Valvontatilan avulla voit arvioida, miten hyökkäyspinnan vähentämissäännöt vaikuttavat organisaatioosi, jos ne ovat käytössä. Suorita ensin kaikki säännöt valvontatilassa, jotta ymmärrät, miten ne vaikuttavat toimialasovelluksiin. Monet toimialakohtaiset sovellukset kirjoitetaan rajoitetuin tietoturvaan liittyvistä huolenaiheista, ja ne saattavat suorittaa tehtäviä haittaohjelmia muistuttavilla tavoilla.
Poisjätöt
Valvomalla valvontatietoja ja lisäämällä tarvittavien sovellusten poissulkemisia voit ottaa käyttöön hyökkäyspinnan vähentämissääntöjä heikentämättä tuottavuutta.
Säännön poikkeukset
Lisätietoja sääntökohtaisten poissulkemisten määrittämisestä on artikkelissa Hyökkäyspinnan pienentämissääntöjen määrittäminen sääntökohtaisia poissulkemisia käsittelevästä osiosta Testaa hyökkäysalueen vähentämissääntöjä.
Käyttäjien varoitustila
(UUSI!) Ennen varoitustilan ominaisuuksia käyttöönotetut hyökkäyspinnan vähentämissäännöt voidaan määrittää joko valvontatilaan tai estotilaan. Kun uusi varoitustila estää hyökkäyksen pinnan pienentämissäännön sisällön, käyttäjät näkevät valintaikkunan, joka ilmaisee, että sisältö on estetty. Valintaikkunassa on myös mahdollisuus poistaa sisällön esto. Käyttäjä voi sitten yrittää toimintoaan uudelleen, ja toiminto valmistuu. Kun käyttäjä poistaa sisällön eston, sisältö pysyy estottomana 24 tunnin ajan ja estää sitten ansioluettelot.
Varoitustila auttaa organisaatiotasi käyttämään hyökkäysalueen vähentämissääntöjä estämättä käyttäjiä käyttämästä tehtäviensä suorittamiseen tarvittavaa sisältöä.
Varoitustilan toimintaa koskevat vaatimukset
Varoitustilaa tuetaan laitteissa, joissa on käytössä seuraavat Windows-versiot:
- Windows 10, versio 1809 tai uudempi
- Windows 11
- Windows Server, versio 1809 tai uudempi
Microsoft Defender virustentorjuntaohjelman on oltava käytössä reaaliaikaisen suojauksen kanssa aktiivisessa tilassa.
Varmista myös, Microsoft Defender virustentorjunta- ja haittaohjelmien torjuntapäivitykset on asennettu.
- Käyttöympäristön vähimmäisjulkaisuvaatimus:
4.18.2008.9 - Moduulin vähimmäisjulkaisuvaatimus:
1.1.17400.5
Jos haluat lisätietoja ja saada päivitykset, katso Microsoft Defender haittaohjelmien torjuntaympäristön päivitys.
Tapaukset, joissa varoitustilaa ei tueta
Varoitustilaa ei tueta kolmessa hyökkäyspinnan pienentämissäännössä, kun määrität ne Microsoft Intune. (Jos käytät ryhmäkäytäntö hyökkäyspinnan pienentämissääntöjen määrittämiseen, varoitustilaa tuetaan.) Kolme sääntöä, jotka eivät tue varoitustilaa, kun määrität ne Microsoft Intune, ovat seuraavat:
-
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) -
Estä pysyvyys WMI-tapahtumatilauksen ( GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) kautta -
Lisäsuojauksen käyttö kiristysohjelmia vastaan (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
Lisäksi varoitustilaa ei tueta laitteissa, joissa on Windowsin vanhempia versioita. Näissä tapauksissa hyökkäysalueen vähentämissäännöt, jotka on määritetty suoritettavaksi varoitustilassa, suoritetaan lohkotilassa.
Ilmoitukset ja hälytykset
Aina kun hyökkäyspinnan pienentämissääntö käynnistetään, laitteessa näytetään ilmoitus. Voit mukauttaa ilmoitusta yrityksesi tiedoilla ja yhteystietoilla.
Lisäksi, kun tietyt hyökkäyspinnan vähentämissäännöt käynnistetään, hälytyksiä luodaan.
Ilmoituksia ja luotuja ilmoituksia voi tarkastella Microsoft Defender portaalissa.
Lisätietoja ilmoitus- ja ilmoitustoiminnoista on artikkelissa Hyökkäyksen pinnan pienentämissääntöjen viiteartikkelisääntökohtaiset ilmoitukset ja ilmoitukset.
Kehittyneet metsästys- ja hyökkäysalueen vähentämistapahtumat
Kehittyneen metsästyksen avulla voit tarkastella hyökkäyspinnan vähentämistapahtumia. Saapuvien tietojen määrän tehostamiseksi vain kunkin tunnin yksilölliset prosessit ovat tarkasteltavissa kehittyneen metsästyksen avulla. Hyökkäyspinnan vähentämistapahtuman aika on ensimmäinen kerta tunnin sisällä.
Oletetaan esimerkiksi, että hyökkäyspinnan vähentämistapahtuma tapahtuu kymmenessä laitteessa kello 14:00 aikana. Oletetaan, että ensimmäinen tapahtuma tapahtui klo 2.15 ja viimeinen klo 2.45. Kehittyneessä metsästyksessä näet yhden tapahtuman esiintymän (vaikka se todella tapahtui 10 laitteessa), ja sen aikaleima on 14:15.
Lisätietoja kehittyneestä metsästyksestä on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.
Hyökkäyspinnan vähentämisominaisuudet Windows-versioissa
Voit määrittää hyökkäyspinnan vähentämissääntöjä laitteille, joissa on käytössä jokin seuraavista Windowsin versioista ja versioista:
Windows 10 Pro, versio 1709 tai uudempi
Windows 10 Enterprise, versio 1709 tai uudempi
Windows Server, versio 1803 (puolivuosittainen kanava) tai uudempi versio
-
Huomautus
Windows Server 2016 ja Windows Server 2012 R2 on otettava käyttöön Onboard Windows -palvelimien ohjeiden mukaisesti, jotta tämä ominaisuus toimisi.
Vaikka hyökkäyspinnan vähentämissäännöt eivät edellytä Windows E5 -käyttöoikeutta, jos sinulla on Windows E5, saat kehittyneitä hallintaominaisuuksia. Kehittyneitä ominaisuuksia , jotka ovat käytettävissä vain Windows E5:ssä, ovat seuraavat:
- Defender for Endpointissa käytettävissä olevat valvonta-, analytiikka- ja työnkulut
- Microsoft Defender XDR raportointi- ja määritysominaisuudet.
Nämä lisäominaisuudet eivät ole käytettävissä Windows Professional- tai Windows E3 -käyttöoikeudella. Jos sinulla kuitenkin on nämä käyttöoikeudet, voit Tapahtumienvalvonta ja Microsoft Defender virustentorjuntalokien avulla tarkastellaksesi hyökkäyspinnan pienentämissääntöjen tapahtumia.
Tarkastele hyökkäyspinnan vähentämistapahtumia Microsoft Defender portaalissa
Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytysten tutkintaskenaarioita.
Voit kysellä Defenderin päätepistetietoja Microsoft Defender XDR käyttämällä kehittynyttä metsästystä.
Tässä on esimerkkikysely:
DeviceEvents
| where ActionType startswith 'Asr'
Tarkastele hyökkäyspinnan pienentämistapahtumia Windows Tapahtumienvalvonta
Voit tarkastella hyökkäyspinnan pienentämissääntöjen luomia tapahtumia Windowsin tapahtumalokista:
Lataa arviointipaketti ja pura tiedostocfa-events.xml helposti käytettävissä olevaan sijaintiin laitteessa.
Avaa Windows Tapahtumienvalvonta kirjoittamalla sanat Tapahtumienvalvonta Käynnistä-valikkoon.
Valitse Toiminnot-kohdastaTuo mukautettu näkymä...
Valitse tiedosto ,cfa-events.xml , josta se on poimittu. Vaihtoehtoisesti voit kopioida XML:n suoraan.
Valitse OK.
Voit luoda mukautetun näkymän, joka suodattaa tapahtumat näyttämään vain seuraavat tapahtumat, jotka kaikki liittyvät valvottuun kansion käyttöön:
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 5007 | Tapahtuma, kun asetuksia muutetaan |
| 1121 | Tapahtuma, kun sääntö käynnistyy lohkotilassa |
| 1122 | Tapahtuma, kun sääntö käynnistyy valvontatilassa |
Tapahtumalokin hyökkäysalueen vähentämistapahtumille luetteloitu "moduuliversio" on Defender for Endpointin luoma, ei käyttöjärjestelmä. Defender for Endpoint on integroitu Windows 10 ja Windows 11 kanssa, joten tämä ominaisuus toimii kaikissa laitteissa, joihin on asennettu Windows 10 tai Windows 11.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
- Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen
- Hyökkäyspinnan pienentämissääntöjen testaaminen
- Hyökkäyspinnan pienentämissääntöjen käyttöönotto
- Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen
- Hyökkäyspinnan pienentämissääntöjen raportti
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.