תפעול כללי צמצום פני השטח של ההתקפה
חל על:
לאחר שפרסת באופן מלא את כללי ההפחתת פני השטח של ההתקפה, חיוני להגדיר תהליכים לניטור ולתגובה לפעילויות הקשורות ל- ASR. הפעילויות כוללות:
ניהול כללי ASR עם תוצאות חיוביות מוטעות
תוצאות חיוביות/שליליות מוטעות עשויות להתרחש עם כל פתרון להגנה מפני איומים. תוצאות חיוביות מוטעות הן מקרים שבהם ישות (כגון קובץ או תהליך) מזוהה וזדון, למרות שהישות אינה מהווה למעשה איום. לעומת זאת, תוצאה שלילית מוטעית היא ישות שלא זוהתה כאיום, אך היא זדונית. לקבלת מידע נוסף אודות תוצאות חיוביות מוטעות ושליליות מוטעות, ראה: כתובת תוצאות חיוביות/שליליות מוטעות Microsoft Defender עבור נקודת קצה
מעקב אחר דוחות כללי ASR
סקירה עקבית ו קבועה של דוחות היא היבט חיוני של שמירה על הפריסה של כללי ההפחתת פני השטח של ההתקפה ושמירה על הסיכונים המתגלים לאחרונה. הארגון שלך אמור לעיין בביקורות מתוזמנות של אירועי הפחתת פני השטח של ההתקפה על אירועים בקדימות שממשיכה להיות עדכנית עם כללים שדווחו על-ידי כללים של צמצום פני השטח של ההתקפה. בהתאם לגודל הארגון שלך, ביקורות עשויות להיות ניטור יומי, שעתי או רציף.
כללי ASR - ציד מתקדם
אחת התכונות החזקות ביותר של Microsoft Defender XDR הוא ציד מתקדם. אם אינך מכיר ציד מתקדם, ראה: חפש באופן יזום אחר איומים עם ציד מתקדם.
ציד מתקדם הוא כלי ציד איומים מבוסס שאילתות (Kusto Query Language) המאפשר לך לחקור עד 30 יום מהנתונים שנלכדו. באמצעות ציד מתקדם, באפשרותך לבדוק אירועים באופן יזום כדי לאתר מחוונים וישויות מעניינים. הגישה הגמישה לנתונים מקלה על ציד בלתי מוגבל הן עבור איומים ידועים והן עבור איומים פוטנציאליים.
באמצעות ציד מתקדם, ניתן לחלץ מידע על כללי הפחתת פני השטח של ההתקפה, ליצור דוחות ולקבל מידע מעמיק על ההקשר של ביקורת כללים נתונה להקטנת פני השטח של ההתקפה או לחסום אירוע.
באפשרותך לבצע שאילתה על אירועי כלל הפחתת שטח התקפה מהטבלה DeviceEvents במקטע הציד המתקדם של Microsoft Defender הפורטל. לדוגמה, השאילתה הבאה מראה כיצד לדווח על כל האירועים הכוללים כללי תקיפה של צמצום פני השטח כמקור נתונים, ב- 30 הימים האחרונים. לאחר מכן, השאילתה מסכמת לפי ספירת ActionType עם השם של כלל הפחתת פני השטח של התקיפה.
אירועי הפחתת פני השטח של ההתקפה המוצגים בפורטל הציד מתקדם מווסתים לתהליכים ייחודיים שנצגים מדי שעה. הזמן של אירוע ההקטנת פני השטח של ההתקפה הוא הפעם הראשונה שהאירוע נראה בתוך שעה זו.
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType
האמור לעיל מראה ש- 187 אירועים היו רשומים עבור AsrLsassCredentialTheft:
- 102 עבור חסום
- 85 עבור ביקורת
- שני אירועים עבור AsrOfficeChildProcess (1 for Audited ו- 1 for Block)
- שמונה אירועים עבור AsrPsexecWmiChildProcessAudited
אם ברצונך להתמקד בכלל AsrOfficeChildProcess ולקבל פרטים על הקבצים והתהליכים המעורבים בפועל, שנה את המסנן עבור ActionType והחלף את שורת הסכם בה הקרנה של השדות הרצויים (במקרה זה הם DeviceName, FileName, FolderPath וכדומה).
DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine
היתרון האמיתי של ציד מתקדם הוא שניתן לעצב את השאילתות לטעמך. על-ידי עיצוב השאילתה, תוכל לראות את הסיפור המדויק של מה שקורה, בין אם ברצונך לאתר משהו במחשב בודד או לחלץ תובנות מהסביבה כולה.
לקבלת מידע נוסף על אפשרויות ציד, ראה: Demystifying attack surface reduction rules - Part 3.
מאמרים באוסף פריסה זה
מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
תכנון פריסה של כללי הפחתת פני השטח של ההתקפה
כללים להקטנת פני השטח של ההתקפה בבדיקה
אפשר כללי צמצום פני השטח של ההתקפה
חומר עזר לכללי הפחתת פני השטח של ההתקפה
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.