Rapport sur les règles de réduction de la surface d’attaque

Article
06/26/2024

S’applique à :

Plates-formes:

Windows

Le rapport règles de réduction de la surface d’attaque fournit des informations sur les règles de réduction de la surface d’attaque appliquées aux appareils de votre organisation. Ce rapport fournit également des informations sur :

menaces détectées
menaces bloquées
appareils qui ne sont pas configurés pour utiliser les règles de protection standard pour bloquer les menaces

En outre, ce rapport fournit une interface facile à utiliser qui vous permet d’effectuer les tâches suivantes :

Afficher les détections de menaces
Afficher la configuration des règles ASR
Configurer (ajouter) des exclusions
Descendre dans la hiérarchie pour collecter des informations détaillées

Pour plus d’informations sur les règles de réduction de la surface d’attaque individuelles, consultez Informations de référence sur les règles de réduction de la surface d’attaque.

Configuration requise

Importante

Pour accéder au rapport sur les règles de réduction de la surface d’attaque, des autorisations de lecture sont requises pour le portail Microsoft Defender. Pour que Windows Server 2012 R2 et Windows Server 2016 apparaissent dans le rapport des règles de réduction de la surface d’attaque, ces appareils doivent être intégrés à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités de la solution unifiée moderne pour Windows Server 2012 R2 et 2016.

Autorisations d’accès aux rapports

Pour accéder au rapport des règles de réduction de la surface d’attaque dans le portail Microsoft Defender, les autorisations suivantes sont requises :

Type d’autorisation	Autorisation	Nom complet de l’autorisation
Application	`Machine.Read.All`	`Read all machine profiles`
Déléguée (compte professionnel ou scolaire)	`Machine.Read`	`Read machine information`

Vous pouvez attribuer des autorisations à l’aide de l’ID Microsoft Entra ou du portail Microsoft Defender.

Pour utiliser l’ID Microsoft Entra, consultez Attribuer des rôles Microsoft Entra aux utilisateurs
Pour utiliser le portail Microsoft Defender, consultez Attribuer un accès utilisateur.

Accédez au rapport sur les règles de réduction de la surface d’attaque

Pour accéder aux cartes de synthèse du rapport sur les règles de réduction de la surface d’attaque

Ouvrez le portail Microsoft Defender XDR .
Dans le volet gauche, cliquez surRapports, puis, dans la section principale, sous Rapports , sélectionnez Rapport de sécurité.
Faites défiler vers le bas jusqu’à Appareils pour trouver les cartes récapitulatives des règles de réduction de la surface d’attaque.

Les cartes de rapport récapitulatives pour les règles ASR sont présentées dans la figure suivante.

Cartes récapitulatives de rapport des règles ASR

Le résumé du rapport des règles ASR est divisé en deux cartes :

Carte de résumé des détections de règle ASR
Carte récapitulative de configuration de la règle ASR

Carte de résumé des détections de règles ASR

Affiche un résumé du nombre de menaces détectées bloquées par les règles ASR.

Fournit deux boutons « action » :

Afficher les détections : ouvre l’onglet principal des règles >de réduction de la surfaced’attaque Détections
Ajouter des exclusions : ouvre l’onglet principal Exclusions des règles >de réduction de la surfaced’attaque

Le fait de cliquer sur le lien Détections de règles ASR en haut de la carte ouvre également l’onglet Principal Règles de réduction de la surface d’attaque Détections.

Carte récapitulative de configuration des règles ASR

La section supérieure se concentre sur trois règles recommandées, qui protègent contre les techniques d’attaque courantes. Cette carte affiche des informations sur l’état actuel des ordinateurs de votre organisation pour lesquels les règles de protection standard trois (ASR) suivantes sont définies en mode Bloc, En mode Audit ou désactivé (non configuré). Le bouton Protéger les appareils affiche les détails de configuration complets pour les trois règles uniquement . les clients peuvent rapidement prendre des mesures pour activer ces règles.

La section inférieure présente six règles basées sur le nombre d’appareils non protégés par règle. Le bouton « Afficher la configuration » affiche tous les détails de configuration de toutes les règles ASR. Le bouton « Ajouter une exclusion » affiche la page Ajouter une exclusion avec tous les noms de fichiers/processus détectés répertoriés pour le Centre des opérations de sécurité (SOC) à évaluer. La page Ajouter une exclusion est liée à Microsoft Intune.

Fournit deux boutons « action » :

Afficher la configuration : ouvre l’onglet Principal Détections des règles >de réduction de la surfaced’attaque
Ajouter des exclusions : ouvre l’onglet principal Exclusions des règles >de réduction de la surfaced’attaque

Cliquez sur le lien configuration des règles ASR en haut de la carte pour ouvrir également l’onglet Configuration des règles de réduction de la surface d’attaque principal.

Option de protection standard simplifiée

La carte récapitulative de configuration fournit un bouton pour protéger les appareils avec les trois règles de protection standard. Au minimum, Microsoft vous recommande d’activer ces trois règles de protection standard de réduction de la surface d’attaque :

Pour activer les trois règles de protection standard :

Sélectionnez Protéger les appareils. L’onglet Configuration principal s’ouvre.
Sous l’onglet Configuration , les règles de base basculent automatiquement de Toutes les règles à Règles de protection standard activées.
Dans la liste Appareils , sélectionnez les appareils pour lesquels vous souhaitez que les règles de protection standard s’appliquent, puis sélectionnez Enregistrer.

Cette carte comporte deux autres boutons de navigation :

Afficher la configuration : ouvre l’onglet principal Règles de réduction de la> surface d’attaque Configuration .
Ajouter des exclusions : ouvre l’onglet Principal Exclusions des règles >de réduction de la surface d’attaque.

Cliquez sur le lien configuration des règles ASR en haut de la carte pour ouvrir également l’onglet Configuration des règles de réduction de la surface d’attaque principal.

Onglets principaux des règles de réduction de la surface d’attaque

Bien que les cartes de résumé des règles ASR soient utiles pour obtenir un résumé rapide de l’état de vos règles ASR, les onglets principaux fournissent des informations plus détaillées avec des fonctionnalités de filtrage et de configuration :

Onglet Détections
Onglet Configuration
Onglet Exclusions

Fonctionnalités de recherche

La fonctionnalité de recherche est ajoutée aux onglets principaux Détection, Configuration et Ajouter une exclusion . Avec cette fonctionnalité, vous pouvez effectuer une recherche à l’aide de l’ID d’appareil, du nom de fichier ou du nom du processus.

Filtrage

Le filtrage vous permet de spécifier les résultats retournés :

Date vous permet de spécifier une plage de dates pour les résultats des données.
Filters

Remarque

Lors du filtrage par règle, le nombre d’éléments détectés individuels répertoriés dans la moitié inférieure du rapport est actuellement limité à 200 règles. Vous pouvez utiliser Exporter pour enregistrer la liste complète des détections dans Excel.

Conseil

Comme le filtre fonctionne actuellement dans cette version, chaque fois que vous souhaitez « regrouper par », vous devez d’abord faire défiler jusqu’à la dernière détection dans la liste pour charger l’ensemble du jeu de données. Une fois que vous avez chargé le jeu de données complet, vous pouvez lancer le filtrage « trier par ». Si vous ne faites pas défiler vers le bas jusqu’à la dernière détection répertoriée à chaque utilisation ou lors de la modification des options de filtrage (par exemple, les règles ASR appliquées à l’exécution de filtre actuelle), les résultats seront incorrects pour les résultats qui ont plusieurs pages visibles de détections répertoriées.

Onglet principal détections des règles de réduction de la surface d’attaque

Auditer les détections Indique le nombre de détections de menaces capturées par des règles définies en mode Audit .
Détections bloquées Indique le nombre de détections de menaces bloquées par des règles définies en mode Bloquer .
Grand graphique consolidé Affiche les détections bloquées et auditées.

Les graphiques fournissent des données de détection sur la plage de dates affichée, avec la possibilité de pointer sur un emplacement spécifique pour collecter des informations spécifiques à la date.

La section inférieure du rapport répertorie les menaces détectées (par appareil) avec les champs suivants :

Nom du champ	Définition
Fichier détecté	Fichier déterminé pour contenir une menace possible ou connue
Détecté le	Date à laquelle la menace a été détectée
Bloqué/audité ?	Si la règle de détection pour l’événement spécifique était en mode Bloc ou Audit
Règle	Quelle règle a détecté la menace
Application source	Application qui a effectué l’appel au « fichier détecté » en défense
Appareil	Nom de l’appareil sur lequel l’événement Audit ou Block s’est produit
Groupe d’appareils	Groupe Active Directory auquel appartient l’appareil
Utilisateur	Compte d’ordinateur responsable de l’appel
Éditeur	La société qui a publié l'.exe ou l’application particulière

Pour plus d’informations sur l’audit des règles ASR et les modes de blocage, consultez Modes de règle de réduction de la surface d’attaque.

La page principale « Détection » contient la liste de toutes les détections (fichiers/processus) au cours des 30 derniers jours. Sélectionnez l’une des détections à ouvrir avec des fonctionnalités d’exploration.

La section Exclusion et impact possibles fournit l’impact du fichier ou du processus sélectionné. Vous pouvez :

Sélectionnez Go hunt pour ouvrir la page de requête Chasse avancée
Ouvrir la page de fichier ouvre la détection de Microsoft Defender pour point de terminaison
Le bouton Ajouter une exclusion est lié à la page principale Ajouter une exclusion.

L’image suivante illustre la façon dont la page de requête Repérage avancé s’ouvre à partir du lien du menu volant actionnable :

Pour plus d’informations sur la chasse avancée, consultez La chasse proactive aux menaces avec la chasse avancée dans Microsoft Defender XDR

Onglet Configuration principal des règles de réduction de la surface d’attaque

L’onglet Configuration principale des règles ASR fournit un résumé et des détails de configuration des règles ASR par appareil. L’onglet Configuration présente trois aspects principaux :

Règles de base Fournit une méthode pour basculer les résultats entre les règles de base et toutes les règles. Par défaut, Règles de base est sélectionnée.

Vue d’ensemble de la configuration de l’appareil Fournit un instantané actuel des appareils dans l’un des états suivants :

Tous les appareils exposés (appareils avec des prérequis manquants, des règles en mode Audit, des règles mal configurées ou des règles non configurées)
Appareils avec des règles non configurées
Appareils avec des règles en mode audit
Appareils avec des règles en mode bloc

La section sans nom inférieure de l’onglet Configuration fournit une liste de l’état actuel de vos appareils (par appareil) :

Appareil (nom)
Configuration globale (si des règles sont activées ou désactivées)
Règles en mode bloc (nombre de règles par appareil définies à bloquer)
Règles en mode audit (nombre de règles en mode audit)
Règles désactivées (règles désactivées ou non activées)
ID d’appareil (GUID d’appareil)

Ces éléments sont illustrés dans la figure suivante.

Pour activer les règles ASR :

Sous Appareil, sélectionnez le ou les appareils pour lesquels vous souhaitez appliquer des règles ASR.
Dans la fenêtre de menu volant, vérifiez vos sélections, puis sélectionnez Ajouter à la stratégie.

L’onglet Configuration et le menu volant Ajouter une règle sont illustrés dans l’image suivante.

[REMARQUE :] Si vous avez des appareils qui nécessitent l’application de différentes règles ASR, vous devez configurer ces appareils individuellement.

Onglet Ajouter des exclusions aux règles de réduction de la surface d’attaque

L’onglet Ajouter des exclusions présente une liste classée des détections par nom de fichier et fournit une méthode pour configurer les exclusions. Par défaut, les informations Ajouter des exclusions sont répertoriées pour trois champs :

Nom de fichier Nom du fichier qui a déclenché l’événement de règles ASR.
Détections Nombre total d’événements détectés pour le fichier nommé. Des appareils individuels peuvent déclencher plusieurs événements de règles ASR.
Dispositifs Nombre d’appareils sur lesquels la détection s’est produite.

Importante

L’exclusion de fichiers ou de dossiers peut réduire considérablement la protection fournie par les règles ASR. Les fichiers exclus sont autorisés à s’exécuter et aucun rapport ou événement n’est enregistré. Si les règles ASR détectent les fichiers qui, selon vous, ne doivent pas être détectés, vous devez d’abord utiliser le mode audit pour tester la règle.

Lorsque vous sélectionnez un fichier, un menu volant Résumé & impact attendu s’ouvre, présentant les types d’informations suivants :

Fichiers sélectionnés Nombre de fichiers que vous avez sélectionnés pour l’exclusion
(nombre de) détections Indique la réduction attendue des détections après l’ajout des exclusions sélectionnées. La réduction des détections est représentée sous forme graphique pour les détections réelles et les détections après les exclusions
(nombre de) appareils affectés Indique la réduction attendue des appareils qui signalent des détections pour les exclusions sélectionnées.

La page Ajouter une exclusion comporte deux boutons pour les actions qui peuvent être utilisées sur tous les fichiers détectés (après sélection). Vous pouvez :

Ajoutez une exclusion qui ouvre la page de stratégie ASR Microsoft Intune. Pour plus d’informations, consultez : Intune dans « Activer les méthodes de configuration alternatives des règles ASR ».
Obtenir des chemins d’exclusion qui téléchargent les chemins d’accès aux fichiers au format CSV

Voir aussi