שתף באמצעות


מבט כולל על כללי צמצום פני השטח של ההתקפה

חל על:

פלטפורמות

  • Windows

עצה

כמלווה למאמר זה, עיין במדריך ההגדרה של מנתח האבטחה שלנו כדי לסקור שיטות עבודה מומלצות וללמוד כיצד לחזק את ההגנה, לשפר את התאימות ולנווט בנוף אבטחת הסייבר בביטחון. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של מנתח האבטחה מרכז הניהול של Microsoft 365.

מדוע כללי הפחתת פני השטח של ההתקפה חשובים

משטח התקיפה של הארגון שלך כולל את כל המקומות שבהם תוקף עלול לסכן את המכשירים או הרשתות של הארגון שלך. הפחתת משטח התקיפה פירושה הגנה על המכשירים והרשת של הארגון שלך, מה שמשאיר תוקפים עם פחות דרכים לביצוע תקיפות. קביעת התצורה של כללי הפחתת שטח התקיפה Microsoft Defender עבור נקודת קצה יכולה לעזור!

כללי הפחתת פני השטח של ההתקפה ממקדים אופני פעולה מסוימים של תוכנה, כגון:

  • הפעלת קבצי הפעלה וקובצי Script שניסיון להוריד או להפעיל קבצים
  • הפעלת קבצי Script מעורפלים או חשודים באופן אחר
  • ביצוע אופני פעולה שאפליקציות אינן מופעלות בדרך כלל במהלך עבודה רגילה של יום-יום

אופני פעולה אלה של תוכנה מוצגים לעתים באפליקציות לגיטימיות. עם זאת, אופני פעולה אלה נחשבים לעתים קרובות לסיכונים מכיוון שתוקפים בדרך כלל משתמשים בהם לרעה באמצעות תוכנות זדוניות. כללי הפחתת פני השטח של ההתקפה יכולים להגביל אופני פעולה מסיכונים מבוססי תוכנה ולעזור בשמירה על בטיחות הארגון שלך.

לקבלת תהליך רציף מקצה לקצה של אופן ניהול כללי הפחתת פני השטח של ההתקפה, ראה:

הערכת כללים לפני פריסה

באפשרותך להעריך כיצד כלל הפחתת פני השטח של ההתקפה עשוי להשפיע על הרשת שלך על-ידי פתיחת המלצת האבטחה עבור כלל זה ניהול פגיעויות של Microsoft Defender.

ההמלצה להפחתת פני השטח של ההתקפה

בחלונית פרטי ההמלצה, בדוק את השפעת המשתמש כדי לקבוע איזה אחוז מהמכשירים שלך יכול לקבל מדיניות חדשה המאפשרת את הכלל במצב חסימה מבלי להשפיע לרעה על הפרודוקטיביות.

עיין במאמר " אפשר כללי צמצום שטח תקיפה" לקבלת מידע אודות מערכות הפעלה נתמכות ומידע דרישות אחר.

מצב ביקורת להערכה

מצב ביקורת

השתמש במצב ביקורת כדי להעריך כיצד כללי צמצום פני השטח של ההתקפה ישפיעו על הארגון שלך אם הם זמינים. הפעל תחילה את כל הכללים במצב ביקורת כדי שתוכל להבין כיצד הם משפיעים על אפליקציות קו פעולה עסקי. אפליקציות קו פעולה עסקי רבות נכתבו עם חששות בנושא אבטחה מוגבלת, והם עשויים לבצע משימות בדרכים שנ דומות לתוכנות זדוניות.

פריטים לא כלולים

על-ידי ניטור נתוני ביקורת והוספת פריטים שאינם נכללים ביישומים הנחוצים, באפשרותך לפרוס כללי הפחתת פני השטח של ההתקפה מבלי להפחית את הפרודוקטיביות.

פריטים שאינם נכללים לפי כלל

לקבלת מידע אודות קביעת תצורה של אי-הכללים לפי כלל, עיין בסעיף קביעת תצורה של כללי צמצום פני השטח של ההתקפה לכל כלל, במאמר בדיקת כללי צמצום פני השטח של ההתקפה.

מצב אזהרה עבור משתמשים

(חדש!) לפני שתזהיר יכולות מצב, ניתן להגדיר כללי הפחתת שטח תקיפה הזמינים למצב ביקורת או למצב חסימה. במצב אזהרה חדש, בכל פעם שתוכן נחסם על-ידי כלל הפחתת פני השטח של ההתקפה, המשתמשים רואים תיבת דו-שיח המציינת שהתוכן חסום. תיבת הדו-שיח גם מציעה למשתמש אפשרות לבטל את חסימת התוכן. לאחר מכן המשתמש יוכל לנסות שוב את הפעולה שלו, והפעולה תושלם. כאשר משתמש מבטל את חסימת התוכן, החסימה של התוכן נשארת בלתי חסימה למשך 24 שעות ולאחר מכן חוסמת קורות חיים.

מצב אזהרה עוזר לארגון שלך להציב כללי הפחתת פני שטח מבלי למנוע ממשתמשים לגשת לתוכן הדרוש להם כדי לבצע את המשימות שלהם.

דרישות שמצב אזהרה יפעל

מצב אזהרה נתמך במכשירים שבהם פועלות הגירסאות הבאות של Windows:

Microsoft Defender האנטי-וירוס חייב לפעול עם הגנה בזמן אמת במצב פעיל.

כמו כן, ודא Microsoft Defender אנטי-וירוס ועדכונים למניעת תוכנות זדוניות מותקנים.

  • דרישת מהדורה מינימלית של פלטפורמה: 4.18.2008.9
  • דרישת שחרור מינימלית של מנוע: 1.1.17400.5

לקבלת מידע נוסף ולקבל את העדכונים שלך, ראה עדכון עבור Microsoft Defender נגד תוכנות זדוניות.

מקרים שבהם מצב אזהרה אינו נתמך

מצב אזהרה אינו נתמך בשלושה כללים להקטנת משטח תקיפה כאשר אתה קובע את תצורתם Microsoft Intune. (אם אתה משתמש מדיניות קבוצתית להגדיר את כללי ההפחתה של משטח התקיפה, מצב אזהרה נתמך.) שלושת הכללים שאינם תומכים במצב אזהרה בעת קביעת התצורה שלהם Microsoft Intune הם כדלקמן:

כמו כן, מצב אזהרה אינו נתמך במכשירים שבהם פועלות גירסאות קודמות של Windows. במקרים אלה, כללי הפחתת שטח התקיפה המוגדרים לפעול במצב אזהרה פועלים במצב חסימה.

הודעות והתראות

בכל פעם שכלל הפחתת פני השטח של ההתקפה מופעל, מוצגת הודעה במכשיר. באפשרותך להתאים אישית את ההודעה עם פרטי החברה ופרטי הקשר שלך.

כמו כן, כאשר כללים מסוימים של צמצום פני השטח של ההתקפה מופעלים, נוצרות התראות.

ניתן להציג הודעות וכל התראה שנוצרת בפורטל Microsoft Defender.

לקבלת פרטים ספציפיים אודות פונקציונליות של הודעות והתראות, ראה: לכל כלל התראה ופרטי הודעה, במאמר חומר עזר בנושא כללי צמצום פני השטח של ההתקפה.

אירועי צמצום פני שטח מתקדמים של ציד ותקיפה

באפשרותך להשתמש לציד מתקדם כדי להציג אירועי הפחתת פני השטח של ההתקפה. כדי לייעל את נפח הנתונים הנכנסים, ניתן להציג תהליכים ייחודיים בלבד עבור כל שעה באמצעות ציד מתקדם. הזמן של אירוע צמצום פני השטח של ההתקפה הוא הפעם הראשונה שהאירוע נראה בתוך השעה.

לדוגמה, נניח שאירוע צמצום פני השטח של ההתקפה מתרחש במכשירים של 10 מכשירים במהלך השעה 14:00. נניח שהאירוע הראשון התרחש ב- 2:15, והאירוע האחרון ב- 2:45. עם ציד מתקדם, תראה מופע אחד של אירוע זה (למרות שהוא התרחש בפועל ב- 10 מכשירים), ו חותמת הזמן שלו תהיה 14:15.

לקבלת מידע נוסף אודות ציד מתקדם, ראה ציד יזום אחר איומים עם ציד מתקדם.

תכונות הפחתת פני השטח של ההתקפה בכל הגירסאות של Windows

באפשרותך להגדיר כללים להפחתת פני השטח של ההתקפה עבור מכשירים שבהם פועלת כל אחת מההדורות והגרסאות הבאות של Windows:

למרות שכללים להפחתת פני השטח של ההתקפה אינם דורשים רשיון של Windows E5, אם יש לך Windows E5, אתה מקבל יכולות ניהול מתקדמות. היכולות המתקדמות - זמינות רק ב- Windows E5 - כוללות:

יכולות מתקדמות אלה אינן זמינות עם רשיון Windows Professional או Windows E3. עם זאת, אם יש לך רשיונות אלה, באפשרותך להשתמש ב- מציג האירועים ביומני אנטי Microsoft Defender אנטי-וירוס כדי לסקור את אירועי כלל ההפחתה של משטח התקיפה שלך.

סקירת אירועי הפחתת פני השטח של ההתקפה בפורטל Microsoft Defender התקיפה

Defender for Endpoint מספק דיווח מפורט עבור אירועים ובלוקים כחלק מתרחישי חקירת התראה.

באפשרותך לבצע שאילתה ב- Defender עבור נתוני נקודת קצה Microsoft Defender XDR באמצעות ציד מתקדם.

להלן שאילתה לדוגמה:

DeviceEvents
| where ActionType startswith 'Asr'

סקירת אירועי הפחתת פני השטח של ההתקפה ב- Windows מציג האירועים

באפשרותך לסקור את יומן האירועים של Windows כדי להציג אירועים שנוצרו על-ידי כללי צמצום פני השטח של ההתקפה:

  1. הורד את חבילת ההערכה וחלץ אתcfa-events.xml למיקום נגיש בקלות במכשיר.

  2. הזן את המילים, מציג האירועים, בתפריט התחלה כדי לפתוח את חלון מציג האירועים.

  3. תחת פעולות, בחר ייבוא תצוגה מותאמת אישית....

  4. בחר את cfa-events.xml מהיכן הוא חולץ. לחלופין, העתק את ה- XML ישירות.

  5. בחר אישור.

באפשרותך ליצור תצוגה מותאמת אישית שמסנן אירועים כדי להציג רק את האירועים הבאים, אשר כולם קשורים לגישה מבוקרת לתיקיה:

מזהה אירוע תיאור
5007 אירוע בעת שינוי ההגדרות
1121 אירוע שבו הכלל פועל במצב חסימה
1122 אירוע שבו כלל פועל במצב ביקורת

"גירסת מנוע" המפורטת עבור אירועי הפחתת פני השטח של ההתקפה ביומן האירועים, נוצרת על-ידי Defender for Endpoint, ולא על-ידי מערכת ההפעלה. Defender for Endpoint משולב עם Windows 10 ו- Windows 11, כך שתכונה זו פועלת בכל המכשירים כוללים Windows 10 או Windows 11 מותקנים.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.