Share via

דוח כללי צמצום פני השטח של ההתקפה

  • מאמר

חל על:

פלטפורמות:

  • Windows

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

דוח כללי ההפחתה של משטח התקיפה מספק מידע על כללי ההפחתה של משטח התקיפה שחלים על מכשירים בארגון שלך. דוח זה מספק גם מידע אודות:

  • איומים שזוהו
  • איומים חסומים
  • מכשירים שאינם מוגדרים לשימוש בכללי ההגנה הרגילים לחסימת איומים

בנוסף, דוח זה מספק ממשק קל לשימוש המאפשר לך:

  • הצג זיהויי איומים
  • הצגת התצורה של כללי ASR
  • קביעת תצורה של אי-הכללות (הוספה)
  • הפעל בקלות הגנה בסיסית על-ידי הפעלת שלושת כללי ASR המומלצים ביותר באמצעות לחצן דו-מצבי יחיד
  • בצע הסתעפות כדי לאסוף מידע מפורט

לקבלת מידע נוסף על כללים ספציפיים להפחתת פני השטח של ההתקפה, ראה חומר עזר בנושא כללי צמצום פני השטח של ההתקפה.

דרישות מוקדמות

חשוב

כדי לגשת לדוח כללי צמצום השטח של ההתקפה, נדרשות הרשאות קריאה Microsoft Defender הפורטל. הגישה לדוח זה המוענקת Microsoft Entra, כגון תפקיד אבטחה כללי מרכז הניהול או תפקיד אבטחה, תוסר באפריל 2023. כדי ש- Windows Server 2012 R2 ו- Windows Server 2016 יופיעו בדוח כללי הפחתת פני השטח של ההתקפה , יש לקלוט מכשירים אלה באמצעות חבילת הפתרונות המאוחדת המודרנית. לקבלת מידע נוסף, ראה פונקציונליות חדשה בפתרון המאוחד המודרני עבור Windows Server 2012 R2 ו- Windows Server 2016.

הרשאות גישה לדוח

כדי לגשת לדוח כללי הפחתת פני השטח של התקיפה בלוח המחוונים של אבטחת Microsoft 365, נדרשות ההרשאות הבאות:

סוג הרשאה הרשאה שם תצוגה של הרשאה
יישום Machine.Read.All 'קרא את כל פרופילי המכונה'
מוסמך (חשבון בעבודה או בבית ספר) מחשב. קריאה 'קרא פרטי מחשב'

כדי להקצות הרשאות אלה:

  1. היכנס כדי Microsoft Defender XDR באמצעות חשבון שהוקצה לו מנהל מנהל מערכת כללי אבטחה.
  2. בחלונית הניווט, בחר הגדרות>תפקידי נקודות>קצה (תחת הרשאות).
  3. בחר את התפקיד שברצונך לערוך.
  4. בחר ערוך.
  5. בתיבה ערוך תפקיד, בכרטיסיה כללי , בשם התפקיד, הקלד שם עבור התפקיד.
  6. תחת תיאור , הקלד סיכום קצר של התפקיד.
  7. בהרשאות, בחר הצג נתונים ולאחר מכן, תחת הצג נתונים , בחרהפחתת פני השטח של ההתקפה.

לקבלת מידע נוסף אודות ניהול תפקידים של משתמשים, Create ניהול תפקידים עבור בקרת גישה מבוססת תפקידים.

כדי לנווט אל כרטיסי הסיכום עבור דוח כללי ההפחתה של פני השטח של ההתקפה

  1. פתח Microsoft Defender XDR הפורטל.
  2. בחלונית הימנית, לחץעל דוחות, ובסעיף הראשי, תחת דוחות, בחר דוח אבטחה.
  3. גלול מטה אל מכשירים כדי למצוא את כרטיסי הסיכום של כללי הפחתת פני השטח של ההתקפה.

כרטיסי דוח הסיכום עבור כללי ASR מוצגים באיור הבא.

הצגת כללי ASR לדוח כרטיסי סיכום

כללי ASR מדווחים על כרטיסי סיכום

סיכום הדוח של כללי ASR מחולק לשני כרטיסים:

כרטיס סיכום לזיהוי כללי ASR

מציג סיכום של מספר האיומים שזוהו שנחסמו על-ידי כללי ASR.

מספק שני לחצני 'פעולה':

  • זיהוי תצוגה - פותח את הכרטיסיה העיקרית של כללי צמצום>שטח התקיפה
  • הוספת אי-הכללות - פתיחת הכרטיסיה העיקרית של כללי צמצום>השטח של ההתקפה

צילום מסך שמראה את כרטיס זיהוי הסיכום של כללי ASR.

לחיצה על הקישור לזיהוי כללי ASR בחלק העליון של הכרטיס פותחת גם את הכרטיסיה הראשית של כללי הפחתת פני השטח של ההתקפה זיהוי.

כרטיס סיכום תצורה של כללי ASR

המקטע העליון מתמקד בשלושה כללים מומלצים, אשר מגנים מפני טכניקות התקפה נפוצות. כרטיס זה מציג מידע על המצב הנוכחי אודות המחשבים בארגון שלך שבהם מוגדרים שלושת כללי ההגנה הסטנדרטיים הבאים (ASR) במצב חסימה, במצב ביקורת או כבויים (לא מוגדרים). לחצן הגן על מכשירים יציג פרטי תצורה מלאים עבור שלושת הכללים בלבד; לקוחות יכולים לבצע פעולה במהירות כדי להפוך כללים אלה לזמינים.

המקטע התחתון מציין שישה כללים בהתבסס על מספר המכשירים הלא מוגנים לכל כלל. לחצן 'הצג תצורה' מציין את כל פרטי התצורה עבור כל כללי ה- ASR. לחצן "הוסף אי הכללה" מציג את דף הוספת אי-הכללה עם כל שמות הקבצים/התהליך שזוהו המפורטים עבור מרכז פעולת האבטחה (SOC) להערכה. הדף 'הוספת אי-הכללה' מקושר Microsoft Intune.

מספק שני לחצני 'פעולה':

  • קביעת תצורה של תצוגה - פתיחת הכרטיסיה הראשית של כללי צמצום>שטח התקיפה
  • הוספת אי-הכללות - פתיחת הכרטיסיה העיקרית של כללי צמצום>השטח של ההתקפה

מציג את כרטיס התצורה של דוח דוח כללי ASR.

לחיצה על קישור קביעת התצורה של כללי ASR בחלק העליון של הכרטיס פותחת גם את הכרטיסיה הראשית של כללי הפחתת פני השטח של התקיפה קביעת תצורה.

אפשרות הגנה סטנדרטית פשוטה יותר

כרטיס סיכום התצורה מספק לחצן להגנה על מכשירים באמצעות שלושת כללי ההגנה הסטנדרטית. לכל הפחות, Microsoft ממליצה להפוך את שלושת כללי ההגנה הסטנדרטיים להפחתת פני השטח לזמינים:

כדי להפוך את שלושת כללי ההגנה הסטנדרטית לזמינים:

  1. בחר הגן על מכשירים. הכרטיסיה הראשית תצורה נפתחת.
  2. בכרטיסיה תצורה , כלליםבסיסיים זמינים באופן אוטומטי בין כל הכלליםוכללי ההגנה הרגילים.
  3. ברשימה מכשירים , בחר את המכשירים שעבורם ברצונך להחיל את כללי ההגנה הרגילים ולאחר מכן בחר שמור.

כרטיס זה כולל שני לחצני ניווט אחרים:

  • קביעת תצורה של תצוגה - פתיחת הכרטיסיה הראשית של כללי צמצום>פני השטח של התקיפה .
  • הוספת פריטים שאינם נכללים - פותחת את הכרטיסיה> העיקרית של כללי צמצום השטח של ההתקפה .

לחיצה על קישור קביעת התצורה של כללי ASR בחלק העליון של הכרטיס פותחת גם את הכרטיסיה הראשית של כללי הפחתת פני השטח של התקיפה קביעת תצורה.

כללי הפחתת פני השטח של ההתקפה כרטיסיות ראשיות

למרות שהכללים של ASR מדווחים על כרטיסי סיכום שימושיים לקבלת סיכום מהיר של מצב כללי ה- ASR שלך, הכרטיסיות הראשיות מספקות מידע מעמיק יותר עם יכולות סינון ותצורה:

יכולות חיפוש

יכולת החיפוש מתווספת הכרטיסיות הראשיות 'זיהוי', 'תצורה ' ו'הוסף אי הכללה '. יכולת זו מאפשרת לך לחפש באמצעות מזהה מכשיר, שם קובץ או שם תהליך.

מציג את תכונת החיפוש של דוח כללי ASR.

סינון

סינון מספק דרך עבורך לציין אילו תוצאות יוחזרו:

  • Date מאפשר לך לציין טווח תאריכים עבור תוצאות נתונים.
  • מסננים

הערה

בעת סינון לפי כלל, מספר הפריטים הבודדים שזוהו המפורטים במחצית התחתונה של הדוח מוגבל כעת ל- 200 כללים. באפשרותך להשתמש בייצוא כדי לשמור את הרשימה המלאה של הזיהויים ב- Excel.

עצה

כאשר המסנן פועל כעת במהדורה זו, בכל פעם שברצונך "לקבץ לפי", עליך לגלול תחילה כלפי מטה עד לזיהוי האחרון ברשימה כדי לטעון את ערכת הנתונים המלאה. לאחר שטענו את ערכת הנתונים המלאה, תוכל להפעיל את הסינון "מיין לפי". אם לא לגלול למטה עד לזיהוי האחרון המפורט בכל שימוש או בעת שינוי אפשרויות סינון (לדוגמה, כללי ASR המוחלים על הפעלת המסנן הנוכחי), התוצאות לא יהיו נכונות עבור כל תוצאה הכוללת יותר מעמוד אחד הניתן להצגה של זיהויים רשומים.

צילום מסך שמראה את תכונת החיפוש של כללי ASR בכרטיסיה 'תצורה'.

צילום מסך שמראה את מסנן כללי ההפחתה של פני השטח של ההתקפה לפי כללים.

כרטיסיית זיהוי עיקרית של כללים להפחתת פני השטח של התקיפה

  • זיהויי ביקורת מראה כמה זיהויי איומים נלכדו על-ידי כללים המוגדרים במצב ביקורת.
  • זיהויים חסומים מראה כמה זיהויי איומים נחסמו על-ידי כללים המוגדרים במצב חסימה.
  • גרף גדול ואיחוד מציג זיהויים חסומים ומביקורת.

מציג את הכרטיסיה כללי ASR המדווחים על הזיהויים הראשיים, _Audit detections_ ו- _Blocked detections_ מתוארים.

גרפים מספקים נתוני זיהוי מעל טווח התאריכים המוצג, עם היכולת לרחף מעל מיקום ספציפי כדי לאסוף מידע ספציפי לתאריך.

המקטע התחתון של רשימות הדוח זיהה איומים - לפי מכשיר - עם השדות הבאים:

שם שדה הגדרה
קובץ שזוהה הקובץ נקבע להכיל איום אפשרי או ידוע
זוהה בתאריך התאריך שבו זוהה האיום
נחסמים/מביקורת? אם כלל זיהוי האירוע הספציפי היה במצב חסימה או ביקורת
כלל איזה כלל זיהה את האיום
אפליקציית מקור היישום שביצע את השיחה ל"קובץ שזוהה" הגורמת לשגיאה
מכשיר שם המכשיר שבו התרחש האירוע 'ביקורת' או 'חסימה'
הקבוצה 'מכשירים' קבוצת Active Directory שאליה המכשיר שייך
משתמש חשבון המחשב האחראי לשיחה
Publisher החברה שפורסמה את המידע או .exe היישום

לקבלת מידע נוסף אודות מצבי ביקורת וחסימה של כללים של ASR, ראה מצבי כללים של צמצום פני השטח של התקפה.

תפריט נשלף ניתן לפעולה

הדף הראשי "זיהוי" כולל רשימה של כל הזיהויים (קבצים/תהליכים) ב- 30 הימים האחרונים. בחר בכל אחד מהזיהויים לפתיחה באמצעות יכולות הסתעפות.

הצגת התפריט הנשלף של הכרטיסיה 'דיווח על זיהויים ראשיים' של כללי ASR

המקטע 'אי הכללה והשפעה אפשריים ' מספק השפעה על הקובץ או התהליך שנבחר. אתה יכול:

  • בחר Go hunt אשר פותח את דף השאילתה Advanced Hunting
  • פתיחת דף הקובץ נפתחת Microsoft Defender עבור נקודת קצה שלך
  • לחצן 'הוסף אי-הכללה ' מקושר לדף הראשי של הוספת אי הכללה.

התמונה הבאה מדגימה כיצד דף השאילתה Advanced Hunting נפתח מהקישור בתפריט הנשלף הניתן להפעלה:

מציג את כללי הפחתת פני השטח של ההתקפה דוח קישור תפריט נשלף של כרטיסיית זיהוי עיקרי הפוחתת ציד מתקדם

לקבלת מידע נוסף אודות ציד מתקדם, ראה ציד יזום אחר איומים באמצעות ציד מתקדם Microsoft Defender XDR

כללי הפחתת פני השטח של ההתקפה הכרטיסיה הראשית של התצורה

הכרטיסיה הראשית של כללי ASR Configuration מספקת פרטי תצורה של כללי ASR לכל מכשיר וסיכום. קיימים שלושה היבטים עיקריים בכרטיסיה תצורה:

כללים בסיסיים מספק שיטה כדי להחליף בין תוצאות בין כללים בסיסיים וכל הכללים. כברירת מחדל, נבחרו כללים בסיסיים.

מבט כולל על תצורת המכשיר מספק תמונה נוכחית של מכשירים באחד מהתנאים הבאים:

  • כל המכשירים החשופים (מכשירים עם דרישות מוקדמות חסרות, כללים במצב ביקורת, כללים שתצורתם שגויה או כללים לא הוגדרו)
  • מכשירים עם כללים לא מוגדרים
  • מכשירים עם כללים במצב ביקורת
  • מכשירים עם כללים במצב חסימה

המקטע התחתון ללא שם של הכרטיסיה תצורה מספק רשימה של המצב הנוכחי של המכשירים שלך (לפי מכשיר):

  • מכשיר (שם)
  • התצורה הכוללת (בין אם כללים כלשהם מופעלים או כולם מבוטלים)
  • כללים במצב חסימה (מספר הכללים לכל מכשיר שברצונך לחסום)
  • כללים במצב ביקורת (מספר הכללים במצב ביקורת)
  • כללים מבוטלים (כללים מבוטלים או שאינם זמינים)
  • מזהה מכשיר (GUID של מכשיר)

רכיבים אלה מוצגים באיור הבא.

הצגת כרטיסיית התצורה הראשית של דוח כללי ASR

כדי להפוך כללי ASR לזמינים:

  1. תחת התקן, בחר את המכשיר או המכשירים שעבורם ברצונך להחיל כללי ASR.
  2. בחלון הנשלף, אמת את הבחירות שלך ולאחר מכן בחר הוסף למדיניות.

הכרטיסיה 'תצורה ' ו'הוסף תפריט נשלף של כלל' מוצגות בתמונה הבאה.

[הערה!] אם יש לך מכשירים שמחריכים החלה של כללי ASR שונים, עליך להגדיר מכשירים אלה בנפרד.

הצגת התפריט הנשלף של כללי ASR להוספת כללי ASR למכשירים

כללי הפחתת פני השטח של ההתקפה הוספת כרטיסיית אי-הכללות

הכרטיסיה הוספת פריטים שאינם נכללים מציגה רשימה מדורגת של זיהויים לפי שם קובץ ומספקת שיטה לקבוע תצורה של פריטים שאינם נכללים. כברירת מחדל, פרטי הוספת אי-הכללה מפורטים עבור שלושה שדות:

  • שם קובץ שם הקובץ שהפעיל את האירוע כללי ASR.
  • זיהויים וזיהויים המספר הכולל של אירועים שזוהו עבור קובץ בעל שם. מכשירים בודדים יכולים להפעיל אירועים מרובים של כללי ASR.
  • התקנים מספר המכשירים שבהם אירע הזיהוי.

הצגת הכרטיסיה 'כללי ASR' להוספת פריטים שאינם נכללים

חשוב

אי-הכללת קבצים או תיקיות עלולה לפגוע באופן חמור בהגנה המסופקת על-ידי כללי ASR. ניתן להפעיל קבצים לא כלולים, ולא יוקלטו דוח או אירוע. אם כללי ASR מזהים קבצים שאתה סבור שאינם אמורים להיות מזוהים, עליך להשתמש תחילה במצב ביקורת כדי לבדוק את הכלל.

בעת בחירת קובץ, נפתח תפריט נשלף & סיכום , המציג את סוגי המידע הבאים:

  • קבצים שנבחרו מספר הקבצים שבחרת כדי שלא ייכללו
  • (מספר) זיהויים מציין את ההפחתה הצפויה בזיהויים לאחר הוספת הפריטים שלא ייכללו. ההפחתה באיתורים מיוצגת באופן גרפי עבור זיהוייםוזיהויים בפועל לאחר אי הכללות
  • (מספר המכשירים המושפעים) מציין את ההפחתה הצפויה במכשירים שמדווחים על זיהויים עבור הפריטים שלא ייכללו.

הדף 'הוספת אי-הכללה' כולל שני לחצנים עבור פעולות שניתן להשתמש בהם בכל הקבצים שזוהו (לאחר הבחירה). אתה יכול:

  • הוסף אי הכללה שתפתח את Microsoft Intune מדיניות ASR. לקבלת מידע נוסף, ראה: Intune "אפשר שיטות תצורה חלופיות לכללי ASR".
  • קבלת נתיבי אי-הכללה אשר יורידו נתיבי קבצים בתבנית csv

מציג את סיכום ההשפעה הנשלף של דוח כללי ASR להוספת כרטיסיה לא נכללת

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.