Share via

כללים להקטנת פני השטח של ההתקפה בבדיקה

  • מאמר

חל על:

בדיקת Microsoft Defender עבור נקודת קצה ההפחתה של פני השטח מסייעת לך לקבוע אם הכללים פוגם בפעולות קו פעולה עסקי לפני הפעלת כלל כלשהו. על-ידי התחלה מקבוצה קטנה ומבוקרת, באפשרותך להגביל הפרעות פוטנציאליות בעבודה בעת הרחבת הפריסה ברחבי הארגון.

בסעיף זה של מדריך הפריסה של כללי הפחתת השטח של ההתקפה, תלמד כיצד לבצע את הפעולות הבאות:

  • קביעת תצורה של כללים באמצעות Microsoft Intune
  • השתמש Microsoft Defender עבור נקודת קצה כללים הפחתת פני השטח של ההתקפה
  • קביעת תצורה של הכללים להפחתת פני השטח של ההתקפה
  • אפשר כללים של צמצום שטח תקיפה באמצעות PowerShell
  • השתמש מציג האירועים עבור אירועי כללים להקטנת פני השטח של ההתקפה

הערה

לפני שתתחיל לבדוק כללי הפחתת פני השטח של ההתקפה, מומלץ להפוך תחילה את כל הכללים שהוגדרו בעבר לביקורת או לזמינים (אם הדבר ישים). ראה דוחות כללי הפחתת פני השטח של ההתקפה לקבלת מידע על השימוש בכללי ההפחתה של משטח ההתקפה מדווחים על השבתת כללי הפחתת פני השטח של ההתקפה.

התחל בפריסת כללי הפחתת פני השטח של ההתקפה שלך עם טבעת 1.

השלבים Microsoft Defender עבור נקודת קצה ירידה במשטח התקיפה (כללי ASR). ביקורת של כללי צמצום השטח של ההתקפה, קביעת תצורה של כללי ASR שאינם נכללים. קבע תצורה של כללי ASR Intune. כללי ASR אינם נכללים. מציג האירועים של כללי ASR.

שלב 1: בדיקת כללי הפחתת שטח ההתקפה באמצעות ביקורת

התחל את שלב הבדיקה על-ידי הפעלת כללי ההפחתה של משטח התקיפה כאשר הכללים מוגדרים ל'ביקורת', החל ממשתמשים מובילים או במכשירים שלך טבעת 1. בדרך כלל, ההמלצה היא להפוך את כל הכללים (בביקורת) לזמינים כדי שתוכל לקבוע אילו כללים מופעלים במהלך שלב הבדיקה. כללים המוגדרים ל'ביקורת' אינם משפיעים בדרך כלל על הפונקציונליות של הישות או הישויות שעליו הכלל מוחל, אך יוצרים אירועים רשומים לצורך ההערכה; למשתמשי קצה אין כל השפעה.

קביעת תצורה של כללי צמצום שטח תקיפה באמצעות Intune

באפשרותך להשתמש ב- Microsoft Intune Endpoint Security כדי לקבוע תצורה של כללי צמצום משטח תקיפה מותאמים אישית.

  1. פתח את Microsoft Intune הניהול.

  2. עבור אל הפחתת השטח של התקפה>של נקודת קצה של אבטחה.

  3. בחר Create מדיניות.

  4. בפלטפורמה, בחר Windows 10, Windows 11 ו- Windows Server, ובפרופיל, בחר כללי צמצום פני השטח של ההתקפה.

    דף יצירת הפרופיל עבור כללי ASR

  5. בחר צור.

  6. בכרטיסיה יסודות של חלונית Create, תחת שם הוסף שם עבור המדיניות שלך. תחת תיאור הוסף תיאור עבור מדיניות כללי ההפחתה של משטח התקיפה שלך.

  7. בכרטיסיה הגדרות תצורה, תחת כללי הפחתת Surface של התקפה, הגדר את כל הכללים למצב ביקורת.

    קביעת התצורה של כללי הפחתת פני השטח של ההתקפה למצב ביקורת

    הערה

    קיימות וריאציות בלוחות רישום מסוימים של כללי הפחתת פני השטח של ההתקפה; התכונה ' חסום ' ו'זמין ' מספקות את אותה פונקציונליות.

  8. [אופציונלי] בחלונית תגיות טווח , באפשרותך להוסיף פרטי תגית למכשירים ספציפיים. באפשרותך גם להשתמש בפקדי גישה מבוססי תפקידים ובתגיות טווח כדי לוודא שלמנהלי המערכת המתאימים יש את הגישה הנכונה ואת הניראות המתאימים Intune המתאימים. מידע נוסף: השתמש בפקדי גישה מבוססי תפקידים (RBAC) ותגיות טווח עבור הפצה של IT ב- Intune.

  9. בחלונית מטלות , באפשרותך לפרוס או "להקצות" את הפרופיל למשתמש או לקבוצות המכשירים שלך. מידע נוסף: הקצאת פרופילי מכשיר ב- Microsoft Intune

    הערה

    יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

  10. סקור את ההגדרות שלך בחלונית סקירה + יצירה. לחץ Create כדי להחיל את הכללים.

    דף Create הפרופיל החדש

מדיניות ההפחתה החדשה של משטח ההתקפה עבור כללים להפחתת פני השטח של ההתקפה מופיעה באבטחה של נקודת קצה | צמצום פני השטח של ההתקפה.

דף צמצום פני השטח של התקיפה

שלב 2: הבנת דף הדיווח של כללי הפחתת השטח של ההתקפה Microsoft Defender הפורטל

דף הדיווח של כללי הפחתת פני השטח של התקיפה נמצא בדוחות Microsoft Defender של> פורטלהתקיפה>של כללים להפחתת שטח. דף זה כולל שלוש כרטיסיות:

  • זיהויים וזיהויים
  • תצורה
  • הוספת פריטים שאינם נכללים

הכרטיסיה 'זיהויים'

מספק ציר זמן של 30 יום של אירועים שזוהו כאירועי ביקורת ואירועים חסומים.

גרף המציג את כללי ההפחתה של משטח ההתקפה לדווח על כרטיס זיהוי סיכום.

חלונית כללי ההפחתה של משטח התקיפה מספקת מבט כולל על אירועים שזוהו על בסיס כל כלל.

הערה

יש כמה וריאציות בדוחות כללי הפחתת פני השטח של ההתקפה. Microsoft נמצאת בתהליך של עדכון אופן הפעולה של דוחות כללי ההפחתה של משטח התקיפה כדי לספק חוויה עקבית.

גרף המציג את כללי הפחתת פני השטח של ההתקפה דוח כרטיס תצורה של סיכום.

בחר הצג זיהויים כדי לפתוח את הכרטיסיה זיהויים .

צילום מסך שמראה את תכונת החיפוש של כללים להפחתת פני השטח של ההתקפה.

החלונית GroupBy ו- Filter מספקת את האפשרויות הבאות:

GroupBy מחזיר את ערכת התוצאות לקבוצות הבאות:

  • ללא קיבוץ
  • קובץ שזוהה
  • ביקורת או חסימה
  • כלל
  • אפליקציית מקור
  • מכשיר
  • משתמש
  • Publisher

הערה

בעת סינון לפי כלל, מספר הפריטים הבודדים שזוהו המפורטים במחצית התחתונה של הדוח מוגבל כעת ל- 200 כללים. באפשרותך להשתמש בייצוא כדי לשמור את הרשימה המלאה של הזיהויים ב- Excel.

צילום מסך שמראה את תכונת החיפוש של כללי ASR בכרטיסיה 'תצורה'.

מסנן פותח את הדף סינון לפי כללים, המאפשר לך להגדיר טווח של התוצאות לכללי ההקטנה של משטח התקיפה שנבחרו בלבד:

המסנן 'כללי הפחתת פני השטח של ההתקפה' מסנן לפי כללים

הערה

אם יש לך רשיון Microsoft 365 Security E5 או A5, Windows E5 או A5, הקישור הבא פותח את הכרטיסיה Microsoft Defender 365 Reports >Attack Surface Reductions> Detections.

הכרטיסיה 'תצורה'

רשימות - על בסיס מחשב - המצב המצטבר של כללי צמצום השטח של ההתקפה: כבוי, ביקורת, חסימה.

צילום מסך שמראה את כללי ההפחתה של פני השטח של ההתקפה שמדווחים על כרטיסיית התצורה הראשית.

בכרטיסיה תצורות, באפשרותך לבדוק, על בסיס כל מכשיר, אילו כללים להקטנת משטח התקפה זמינים, ובמצב זה, על-ידי בחירת המכשיר שעבורו ברצונך לסקור את כללי ההפחתה של משטח התקיפה.

צילום מסך שמראה את התפריט הנשלף של כללי ASR כדי להוסיף כללי ASR למכשירים.

הקישור תחילת העבודה פותח את מרכז Microsoft Intune, שבו באפשרותך ליצור או לשנות מדיניות הגנה של נקודת קצה עבור צמצום פני השטח של ההתקפה:

פריט התפריט *Endpoint security בדף Overview

באבטחה של נקודת קצה | מבט כולל, בחר הפחתת פני השטח של ההתקפה:

צמצום פני השטח של ההתקפה Intune

אבטחת נקודת הקצה | חלונית צמצום פני השטח של ההתקפה נפתחת:

החלונית 'צמצום פני שטח של התקפה' של נקודת קצה

הערה

אם יש לך רשיון E5 (או Windows E5?) של Microsoft Defender 365, קישור זה יפתח את הכרטיסיה תצורות תצורות של תצורות התקפה של Microsoft Defender 365 >> דוחות.

הוספת פריטים שאינם נכללים

כרטיסיה זו מספקת שיטה לבחירת ישויות שזוהו (לדוגמה, תוצאות חיוביות מוטעות) עבור אי הכללה. בעת הוספת אי-הכללות, הדוח מספק סיכום של ההשפעה הצפויה.

הערה

Microsoft Defender אנטי וירוס AV הם לכבד על ידי כללים הפחתת פני השטח התקפה. ראה קביעת תצורה ואי-אימות של פריטים שאינם נכללים בהתבסס על סיומת, שם או מיקום.

החלונית עבור אי הכללה של הקובץ שזוהה

הערה

אם יש לך רשיון E5 (או Windows E5?) של Microsoft Defender 365, קישור זה יפתח את הכרטיסיה הפחתת שטח התקיפה של דוחות Microsoft Defender 365>.>

לקבלת מידע נוסף על השימוש בדוח כללי הפחתת פני השטח של ההתקפה, ראה דוחות כללי צמצום פני השטח של ההתקפה.

קביעת תצורה של אי-הכללות של צמצום פני השטח של ההתקפה לפי כלל

כללי הפחתת פני השטח של ההתקפה מספקים כעת את היכולת לקבוע תצורה של אי-הכללים הספציפיים לכלל, הידועים בשם "פריטים שאינם נכללים בכלל".

הערה

אין אפשרות לקבוע כעת תצורה של אי-הכללים לפי כלל באמצעות PowerShell או מדיניות קבוצתית.

כדי לקבוע תצורה של אי-הכללות של כללים ספציפיים:

  1. פתח את Microsoft Intune הניהול של מרכז הניהול, ונווט אל הפחתת פני השטח>של אבטחת נקודת קצה>ביתית.

  2. אם תצורתו עדיין לא נקבעה, הגדר את הכלל שעבורו ברצונך לקבוע תצורה של אי-הכללות לביקורת אולחסימה.

  3. תחת אי-הכללה של ASR בלבד לכל כלל, לחץ על הלחצן הדו-מצבי כדי לשנות את האפשרות לא נקבעהלתצורה שהוגדרה.

  4. הזן את שמות הקבצים או היישום שברצונך לא לכלול.

  5. בחלק התחתון של אשף Create, בחר הבא ובצע את הוראות האשף.

צילום מסך שמראה את הגדרות התצורה להוספת פריטים שאינם נכללים ב- ASR לכל כלל.

עצה

השתמש בתיבות הסימון לצד רשימת ערכי אי-הכללה כדי לבחור פריטים למחיקה ,למיון, לייבוא או לייצוא.

השתמש ב- PowerShell כשיטה חלופית כדי לאפשר כללי צמצום פני שטח תקיפה

באפשרותך להשתמש ב- PowerShell - כאפשרות חלופית ל- Intune - כדי לאפשר כללי צמצום פני שטח של תקיפה במצב ביקורת כדי להציג תיעוד של אפליקציות שיחסמו אם התכונה היתה זמינה באופן מלא. תוכל גם לקבל מושג באיזו תדירות הכללים זמינים במהלך שימוש רגיל.

כדי להפוך כלל הפחתת פני שטח תקיפה לזמין במצב ביקורת, השתמש ב- cmdlet הבא של PowerShell:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

היכן <rule ID> נמצא ערך GUID של כלל הפחתת פני השטח של ההתקפה.

כדי להפוך את כל כללי ההפחתה של משטח ההתקפה שנוספו לזמינים במצב ביקורת, השתמש ב- cmdlet הבא של PowerShell:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

עצה

אם ברצונך לבצע ביקורת מלאה על האופן שבו כללים להפחתה של משטחי תקיפה יפעלו בארגון שלך, יהיה עליך להשתמש בכלי ניהול כדי לפרוס הגדרה זו במכשירים ברשתות שלך.

באפשרותך גם להשתמש מדיניות קבוצתית, Intune או ספקי שירותי תצורה של ניהול מכשירים ניידים (MDM) כדי לקבוע את התצורה ולפרוס את ההגדרה. קבל מידע נוסף במאמר הראשי בנושא כללי צמצום השטח של ההתקפה .

השתמש ב מציג האירועים Windows מציג האירועים סקירה כ החלופה לדף הדיווח של כללי ההפחתה של משטח התקיפה בפורטל Microsoft Defender התקיפה

כדי לסקור אפליקציות שנחסמו, פתח את מציג האירועים ובצע סינון עבור מזהה אירוע 1121 ביומן Microsoft-Windows-Windows Defender/Operational. הטבלה הבאה מפרטת את כל אירועי ההגנה על הרשת.

מזהה אירוע תיאור
5007 אירוע בעת שינוי ההגדרות
1121 אירוע כאשר כלל הפחתת פני השטח של ההתקפה פועל במצב חסימה
1122 אירוע כאשר כלל הפחתת פני השטח של ההתקפה פועל במצב ביקורת

מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה

תכנון פריסה של כללי הפחתת פני השטח של ההתקפה

אפשר כללי צמצום פני השטח של ההתקפה

תפעול כללי צמצום פני השטח של ההתקפה

חומר עזר לכללי הפחתת פני השטח של ההתקפה

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.