מבט כולל על כללי צמצום פני השטח של ההתקפה
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
- האנטי-וירוס של Microsoft Defender
פלטפורמות
- Windows
עצה
כמלווה למאמר זה, עיין במדריך ההגדרה של מנתח האבטחה שלנו כדי לסקור שיטות עבודה מומלצות וללמוד כיצד לחזק את ההגנה, לשפר את התאימות ולנווט בנוף אבטחת הסייבר בביטחון. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של מנתח האבטחה מרכז הניהול של Microsoft 365.
מדוע כללי הפחתת פני השטח של ההתקפה חשובים
משטח התקיפה של הארגון שלך כולל את כל המקומות שבהם תוקף עלול לסכן את המכשירים או הרשתות של הארגון שלך. הפחתת משטח התקיפה פירושה הגנה על המכשירים והרשת של הארגון שלך, מה שמשאיר תוקפים עם פחות דרכים לביצוע תקיפות. קביעת התצורה של כללי הפחתת שטח התקיפה Microsoft Defender עבור נקודת קצה יכולה לעזור!
כללי הפחתת פני השטח של ההתקפה ממקדים אופני פעולה מסוימים של תוכנה, כגון:
- הפעלת קבצי הפעלה וקובצי Script שניסיון להוריד או להפעיל קבצים
- הפעלת קבצי Script מעורפלים או חשודים באופן אחר
- ביצוע אופני פעולה שאפליקציות אינן מופעלות בדרך כלל במהלך עבודה רגילה של יום-יום
אופני פעולה אלה של תוכנה מוצגים לעתים באפליקציות לגיטימיות. עם זאת, אופני פעולה אלה נחשבים לעתים קרובות לסיכונים מכיוון שתוקפים בדרך כלל משתמשים בהם לרעה באמצעות תוכנות זדוניות. כללי הפחתת פני השטח של ההתקפה יכולים להגביל אופני פעולה מסיכונים מבוססי תוכנה ולעזור בשמירה על בטיחות הארגון שלך.
לקבלת תהליך רציף מקצה לקצה של אופן ניהול כללי הפחתת פני השטח של ההתקפה, ראה:
- מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
- תכנון פריסה של כללי הפחתת פני השטח של ההתקפה
- כללים להקטנת פני השטח של ההתקפה בבדיקה
- אפשר כללי צמצום פני השטח של ההתקפה
- תפעול כללי צמצום פני השטח של ההתקפה
הערכת כללים לפני פריסה
באפשרותך להעריך כיצד כלל הפחתת פני השטח של ההתקפה עשוי להשפיע על הרשת שלך על-ידי פתיחת המלצת האבטחה עבור כלל זה ניהול פגיעויות של Microsoft Defender.
בחלונית פרטי ההמלצה, בדוק את השפעת המשתמש כדי לקבוע איזה אחוז מהמכשירים שלך יכול לקבל מדיניות חדשה המאפשרת את הכלל במצב חסימה מבלי להשפיע לרעה על הפרודוקטיביות.
עיין במאמר " אפשר כללי צמצום שטח תקיפה" לקבלת מידע אודות מערכות הפעלה נתמכות ומידע דרישות אחר.
מצב ביקורת להערכה
מצב ביקורת
השתמש במצב ביקורת כדי להעריך כיצד כללי צמצום פני השטח של ההתקפה ישפיעו על הארגון שלך אם הם זמינים. הפעל תחילה את כל הכללים במצב ביקורת כדי שתוכל להבין כיצד הם משפיעים על אפליקציות קו פעולה עסקי. אפליקציות קו פעולה עסקי רבות נכתבו עם חששות בנושא אבטחה מוגבלת, והם עשויים לבצע משימות בדרכים שנ דומות לתוכנות זדוניות.
פריטים לא כלולים
על-ידי ניטור נתוני ביקורת והוספת פריטים שאינם נכללים ביישומים הנחוצים, באפשרותך לפרוס כללי הפחתת פני השטח של ההתקפה מבלי להפחית את הפרודוקטיביות.
פריטים שאינם נכללים לפי כלל
לקבלת מידע אודות קביעת תצורה של אי-הכללים לפי כלל, עיין בסעיף קביעת תצורה של כללי צמצום פני השטח של ההתקפה לכל כלל, במאמר בדיקת כללי צמצום פני השטח של ההתקפה.
מצב אזהרה עבור משתמשים
(חדש!) לפני שתזהיר יכולות מצב, ניתן להגדיר כללי הפחתת שטח תקיפה הזמינים למצב ביקורת או למצב חסימה. במצב אזהרה חדש, בכל פעם שתוכן נחסם על-ידי כלל הפחתת פני השטח של ההתקפה, המשתמשים רואים תיבת דו-שיח המציינת שהתוכן חסום. תיבת הדו-שיח גם מציעה למשתמש אפשרות לבטל את חסימת התוכן. לאחר מכן המשתמש יוכל לנסות שוב את הפעולה שלו, והפעולה תושלם. כאשר משתמש מבטל את חסימת התוכן, החסימה של התוכן נשארת בלתי חסימה למשך 24 שעות ולאחר מכן חוסמת קורות חיים.
מצב אזהרה עוזר לארגון שלך להציב כללי הפחתת פני שטח מבלי למנוע ממשתמשים לגשת לתוכן הדרוש להם כדי לבצע את המשימות שלהם.
דרישות שמצב אזהרה יפעל
מצב אזהרה נתמך במכשירים שבהם פועלות הגירסאות הבאות של Windows:
- Windows 10, גירסה 1809 ואילך
- Windows 11
- Windows Server, גרסה 1809 ואילך
Microsoft Defender האנטי-וירוס חייב לפעול עם הגנה בזמן אמת במצב פעיל.
כמו כן, ודא Microsoft Defender אנטי-וירוס ועדכונים למניעת תוכנות זדוניות מותקנים.
- דרישת מהדורה מינימלית של פלטפורמה:
4.18.2008.9
- דרישת שחרור מינימלית של מנוע:
1.1.17400.5
לקבלת מידע נוסף ולקבל את העדכונים שלך, ראה עדכון עבור Microsoft Defender נגד תוכנות זדוניות.
מקרים שבהם מצב אזהרה אינו נתמך
מצב אזהרה אינו נתמך בשלושה כללים להקטנת משטח תקיפה כאשר אתה קובע את תצורתם Microsoft Intune. (אם אתה משתמש מדיניות קבוצתית להגדיר את כללי ההפחתה של משטח התקיפה, מצב אזהרה נתמך.) שלושת הכללים שאינם תומכים במצב אזהרה בעת קביעת התצורה שלהם Microsoft Intune הם כדלקמן:
-
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד (GUID
d3e037e1-3eb8-44c8-a917-57927947596d
) -
חסימת התמדה באמצעות מנוי אירוע WMI (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b
) -
השתמש בהגנה מתקדמת מפני תוכנות כופר (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35
)
כמו כן, מצב אזהרה אינו נתמך במכשירים שבהם פועלות גירסאות קודמות של Windows. במקרים אלה, כללי הפחתת שטח התקיפה המוגדרים לפעול במצב אזהרה פועלים במצב חסימה.
הודעות והתראות
בכל פעם שכלל הפחתת פני השטח של ההתקפה מופעל, מוצגת הודעה במכשיר. באפשרותך להתאים אישית את ההודעה עם פרטי החברה ופרטי הקשר שלך.
כמו כן, כאשר כללים מסוימים של צמצום פני השטח של ההתקפה מופעלים, נוצרות התראות.
ניתן להציג הודעות וכל התראה שנוצרת בפורטל Microsoft Defender.
לקבלת פרטים ספציפיים אודות פונקציונליות של הודעות והתראות, ראה: לכל כלל התראה ופרטי הודעה, במאמר חומר עזר בנושא כללי צמצום פני השטח של ההתקפה.
אירועי צמצום פני שטח מתקדמים של ציד ותקיפה
באפשרותך להשתמש לציד מתקדם כדי להציג אירועי הפחתת פני השטח של ההתקפה. כדי לייעל את נפח הנתונים הנכנסים, ניתן להציג תהליכים ייחודיים בלבד עבור כל שעה באמצעות ציד מתקדם. הזמן של אירוע צמצום פני השטח של ההתקפה הוא הפעם הראשונה שהאירוע נראה בתוך השעה.
לדוגמה, נניח שאירוע צמצום פני השטח של ההתקפה מתרחש במכשירים של 10 מכשירים במהלך השעה 14:00. נניח שהאירוע הראשון התרחש ב- 2:15, והאירוע האחרון ב- 2:45. עם ציד מתקדם, תראה מופע אחד של אירוע זה (למרות שהוא התרחש בפועל ב- 10 מכשירים), ו חותמת הזמן שלו תהיה 14:15.
לקבלת מידע נוסף אודות ציד מתקדם, ראה ציד יזום אחר איומים עם ציד מתקדם.
תכונות הפחתת פני השטח של ההתקפה בכל הגירסאות של Windows
באפשרותך להגדיר כללים להפחתת פני השטח של ההתקפה עבור מכשירים שבהם פועלת כל אחת מההדורות והגרסאות הבאות של Windows:
Windows 10 Pro גירסה 1709 ואילך
Windows 10 Enterprise גירסה 1709 ואילך
Windows Server, גירסה 1803 (ערוץ חצי-שנתי) ואילך
-
הערה
Windows Server 2016 ו- Windows Server 2012 R2 חייבים להיות קלוט באמצעות ההוראות בשרתי Windows הצירוף כדי שתכונה זו יפעלו.
למרות שכללים להפחתת פני השטח של ההתקפה אינם דורשים רשיון של Windows E5, אם יש לך Windows E5, אתה מקבל יכולות ניהול מתקדמות. היכולות המתקדמות - זמינות רק ב- Windows E5 - כוללות:
- הניטור, הניתוח וזרימות העבודה הזמינים ב- Defender for Endpoint
- יכולות הדיווח והתצורה Microsoft Defender XDR.
יכולות מתקדמות אלה אינן זמינות עם רשיון Windows Professional או Windows E3. עם זאת, אם יש לך רשיונות אלה, באפשרותך להשתמש ב- מציג האירועים ביומני אנטי Microsoft Defender אנטי-וירוס כדי לסקור את אירועי כלל ההפחתה של משטח התקיפה שלך.
סקירת אירועי הפחתת פני השטח של ההתקפה בפורטל Microsoft Defender התקיפה
Defender for Endpoint מספק דיווח מפורט עבור אירועים ובלוקים כחלק מתרחישי חקירת התראה.
באפשרותך לבצע שאילתה ב- Defender עבור נתוני נקודת קצה Microsoft Defender XDR באמצעות ציד מתקדם.
להלן שאילתה לדוגמה:
DeviceEvents
| where ActionType startswith 'Asr'
סקירת אירועי הפחתת פני השטח של ההתקפה ב- Windows מציג האירועים
באפשרותך לסקור את יומן האירועים של Windows כדי להציג אירועים שנוצרו על-ידי כללי צמצום פני השטח של ההתקפה:
הורד את חבילת ההערכה וחלץ אתcfa-events.xml למיקום נגיש בקלות במכשיר.
הזן את המילים, מציג האירועים, בתפריט התחלה כדי לפתוח את חלון מציג האירועים.
תחת פעולות, בחר ייבוא תצוגה מותאמת אישית....
בחר את cfa-events.xml מהיכן הוא חולץ. לחלופין, העתק את ה- XML ישירות.
בחר אישור.
באפשרותך ליצור תצוגה מותאמת אישית שמסנן אירועים כדי להציג רק את האירועים הבאים, אשר כולם קשורים לגישה מבוקרת לתיקיה:
מזהה אירוע | תיאור |
---|---|
5007 | אירוע בעת שינוי ההגדרות |
1121 | אירוע שבו הכלל פועל במצב חסימה |
1122 | אירוע שבו כלל פועל במצב ביקורת |
"גירסת מנוע" המפורטת עבור אירועי הפחתת פני השטח של ההתקפה ביומן האירועים, נוצרת על-ידי Defender for Endpoint, ולא על-ידי מערכת ההפעלה. Defender for Endpoint משולב עם Windows 10 ו- Windows 11, כך שתכונה זו פועלת בכל המכשירים כוללים Windows 10 או Windows 11 מותקנים.
למידע נוסף
- מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
- תכנון פריסה של כללי הפחתת פני השטח של ההתקפה
- כללים להקטנת פני השטח של ההתקפה בבדיקה
- אפשר כללי צמצום פני השטח של ההתקפה
- תפעול כללי צמצום פני השטח של ההתקפה
- דוח כללי צמצום פני השטח של ההתקפה
- פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים
עצה
אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
- Microsoft Defender עבור נקודת קצה ב- Mac
- הגדרות מדיניות אנטי-וירוס של macOS עבור אנטי-וירוס של Microsoft Defender עבור Intune
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
- בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
- קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
- קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.