Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’examen des événements dans observateur d'événements est utile lorsque vous évaluez les fonctionnalités de réduction de la surface d’attaque. Par exemple, vous pouvez activer le mode d’audit pour les fonctionnalités ou les paramètres, puis passer en revue ce qui se passerait s’ils étaient entièrement activés. Vous pouvez également voir les effets des fonctionnalités de réduction de la surface d’attaque lorsqu’elles sont entièrement activées.
Cet article explique comment utiliser Windows observateur d'événements pour afficher les événements à partir des fonctionnalités de réduction de la surface d’attaque (ASR), notamment :
- Règles de réduction de la surface d’attaque
- Accès contrôlé aux dossiers
- Exploit Protection
- Protection du réseau
Pour afficher les événements de réduction de la surface d’attaque, vous disposez des options suivantes, comme expliqué dans le reste de cet article :
- Parcourir les événements de réduction de la surface d’attaque dans Windows observateur d'événements : Comment accéder aux événements de réduction de la surface d’attaque dans observateur d'événements et aux ID d’événement pour chaque fonctionnalité de réduction de la surface d’attaque.
- Utiliser des vues personnalisées dans Windows observateur d'événements pour afficher les événements de réduction de la surface d’attaque : comment créer ou importer des vues personnalisées pour filtrer observateur d'événements de fonctionnalités ASR spécifiques et des modèles de requête XML prêts à l’emploi.
Conseil
Vous pouvez utiliser le transfert d’événements Windows pour centraliser la collecte d’événements de réduction de la surface d’attaque à partir de plusieurs appareils.
Le portail Microsoft Defender fournit également des rapports pour les fonctionnalités de réduction de la surface d’attaque plus faciles à utiliser que Windows observateur d'événements :
Parcourir les événements de réduction de la surface d’attaque dans Windows observateur d'événements
Tous les événements de réduction de la surface d’attaque se trouvent dans les journaux des applications et des services. Pour afficher les événements de réduction de la surface d’attaque, procédez comme suit :
Sélectionnez Démarrer, tapez observateur d'événements, puis appuyez sur Entrée pour ouvrir observateur d'événements.
Dans observateur d'événements, développez Journaux> des applications et des servicesMicrosoft>Windows.
Continuez à développer le chemin pour les différents types d’événements de réduction de la surface d’attaque, comme décrit dans les sous-sections suivantes.
Recherchez et filtrez les événements que vous souhaitez voir, comme décrit dans les sous-sections suivantes.
Événements de règle ASR
Les événements de règle ASR se trouvent dans le journaldes opérationsWindows Defender> :
| ID d’événement | Description |
|---|---|
| 1121 | Événement lorsque la règle se déclenche en mode bloc |
| 1122 | Événement lorsque la règle se déclenche en mode audit |
| 1129 | Événement lorsque l’utilisateur substitue le bloc en mode d’avertissement |
| 5007 | Événement lorsque les paramètres sont modifiés |
Événements d’accès contrôlé aux dossiers
Les événements d’accès contrôlé aux dossiers se trouvent dans Windows Defender>Operational.
| ID d’événement | Description |
|---|---|
| 5007 | Événement lorsque les paramètres sont modifiés |
| 1124 | Événement audité d’accès contrôlé aux dossiers |
| 1123 | Événement d’accès contrôlé aux dossiers bloqué |
| 1127 | Événement de blocage de bloc d’écriture du secteur d’accès contrôlé aux dossiers |
| 1128 | Événement audité de bloc d’écriture du secteur d’accès aux dossiers contrôlé |
Événements Exploit Protection
Les événements exploit protection suivants se trouvent dans les journauxmode noyausecurity-Mitigations> et Security-Mitigations>User Mode :
| ID d’événement | Description |
|---|---|
| 1 | Audit ACG |
| 2 | Forcer ACG |
| 3 | Ne pas autoriser l’audit des processus enfants |
| 4 | Ne pas autoriser le blocage des processus enfants |
| 5 | Bloquer l’audit des images à faible intégrité |
| 6 | Bloquer le blocage des images à faible intégrité |
| 7 | Bloquer l’audit des images distantes |
| 8 | Bloquer le blocage des images distantes |
| 9 | Désactiver l’audit des appels système win32k |
| 10 | Désactiver le blocage des appels système win32k |
| 11 | Audit de la protection d’intégrité du code |
| 12 | Blocage de la protection d’intégrité du code |
| 13 | Audit EAF |
| 14 | Forcer EAF |
| 15 | Audit EAF+ |
| 16 | Forcer EAF+ |
| 17 | Audit IAF |
| 18 | Forcer IAF |
| 19 | Audit de StackPivot ROP |
| 20 | Forcer StackPivot ROP |
| 21 | Audit de CallerCheck ROP |
| 22 | Forcer CallerCheck ROP |
| 23 | Audit de SimExec ROP |
| 24 | Forcer SimExec ROP |
L’événement exploit protection suivant se trouve dans le journaldes opérationsWER-Diagnostics> :
| ID d’événement | Description |
|---|---|
| 5 | Bloquer CFG |
L’événement Exploit Protection suivant se trouve dans le journaldes opérationsWin32k> :
| ID d’événement | Description |
|---|---|
| 260 | Police non approuvée |
Événements de protection réseau
Les événements de protection réseau se trouvent dans Windows Defender>Opérationnel.
| ID d’événement | Description |
|---|---|
| 5007 | Événement lorsque les paramètres sont modifiés |
| 1125 | Événement lors du déclenchement de la protection réseau en mode audit |
| 1126 | Événement lorsque la protection réseau se déclenche en mode bloc |
Utiliser des vues personnalisées dans Windows observateur d'événements pour afficher les événements de réduction de la surface d’attaque
Vous pouvez créer des vues personnalisées dans Windows observateur d'événements pour voir uniquement les événements pour des fonctionnalités de réduction de la surface d’attaque spécifiques. Le moyen le plus simple consiste à importer une vue personnalisée en tant que fichier XML. Vous pouvez également copier le code XML directement dans observateur d'événements.
Pour obtenir des modèles XML prêts à l’emploi, consultez la section Modèles XML personnalisés pour les événements de réduction de la surface d’attaque .
Importer une vue personnalisée XML existante
Créez un fichier .txt vide et copiez le code XML de la vue personnalisée que vous souhaitez utiliser dans le fichier .txt. Effectuez cette étape pour chacune des vues personnalisées que vous souhaitez utiliser. Renommez les fichiers comme suit (veillez à modifier le type de .txt en .xml) :
- Vue personnalisée des événements d’accès contrôlé aux dossiers : cfa-events.xml
- Vue personnalisée des événements Exploit Protection : ep-events.xml
- Vue personnalisée des événements de réduction de la surface d’attaque : asr-events.xml
- Affichage personnalisé des événements de protection réseau : np-events.xml
Sélectionnez Démarrer, tapez observateur d'événements, puis appuyez sur Entrée pour ouvrir observateur d'événements.
Sélectionnez Action>Importer la vue personnalisée...
Accédez au fichier XML de la vue personnalisée souhaitée et sélectionnez-le.
Sélectionnez Ouvrir.
L’affichage personnalisé filtre pour afficher uniquement les événements liés à cette fonctionnalité.
Copier le code XML directement
Sélectionnez Démarrer, tapez observateur d'événements, puis appuyez sur Entrée pour ouvrir observateur d'événements.
Dans le volet Actions , sélectionnez Créer un affichage personnalisé...
Accédez à l’onglet XML et sélectionnez Modifier la requête manuellement. Un avertissement indique que vous ne pouvez pas modifier la requête à l’aide de l’onglet Filtre lorsque vous utilisez l’option XML. Sélectionnez Oui.
Collez le code XML de la fonctionnalité à partir de laquelle vous souhaitez filtrer les événements dans la section XML.
Sélectionnez OK. Spécifiez un nom pour votre filtre. L’affichage personnalisé filtre pour afficher uniquement les événements liés à cette fonctionnalité.
Modèles XML personnalisés pour les événements de réduction de la surface d’attaque
XML pour les événements de règle de réduction de la surface d’attaque
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pour les événements d’accès contrôlé aux dossiers
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pour les événements exploit protection
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML pour les événements de protection réseau
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Contenu connexe
- Vue d’ensemble des fonctionnalités de réduction de la surface d’attaque
- Vue d’ensemble des règles de réduction de la surface d’attaque (ASR)
- Protéger les dossiers importants avec accès contrôlé aux dossiers
- Protéger les appareils contre les codes malveillants exploitant une faille de sécurité
- Protection du réseau