דוח כללי צמצום פני השטח של ההתקפה

דוח כללי ההפחתה של משטח Attack מספק תובנות מפורטות על הכללים שנאכפים במכשירים בתוך הארגון שלך. בנוסף, דוח זה מציע מידע אודות:

• איומים שזוהו
• איומים חסומים
• מכשירים שאינם מוגדרים לשימוש בכללי ההגנה הרגילים לחסימת איומים

בנוסף, הדוח מספק ממשק קל לשימוש המאפשר לך:

• הצג זיהויי איומים
• הצגת התצורה של כללי ASR
• קביעת תצורה של אי-הכללות (הוספה)
• בצע הסתעפות כדי לאסוף מידע מפורט

כדי להציג את הדוחות, יש לך את האפשרויות הבאות:

• מכרטיסי הסיכום של דוח ASR במקטע מכשירים של דוח האבטחה.
• ישירות בדף הדוח כללי צמצום פני השטח של ההתקפה.

לקבלת מידע נוסף על כללים ספציפיים להפחתת פני השטח של ההתקפה, ראה חומר עזר בנושא כללי צמצום פני השטח של ההתקפה.

דרישות מוקדמות

• כדי לגשת לדוח כללי ההפחתה של משטח התקיפה, נדרשות הרשאות קריאה Microsoft Defender הפורטל.
• כדי Windows Server 2012 R2 ו- Windows Server 2016 יופיעו בדוח כללי צמצום השטח של ההתקפה, יש לקלוט מכשירים אלה באמצעות חבילת הפתרונות המאוחדת המודרנית. לקבלת מידע נוסף, ראה פונקציונליות חדשה בפתרון המאוחד המודרני עבור Windows Server 2012 R2 ו- 2016.

מערכות הפעלה נתמכות

• Windows

הרשאות גישה לדוח

כדי לגשת לדוח כללי ההפחתה של משטח התקיפה בפורטל Microsoft Defender, ההרשאות הבאות נדרשות:

שם הרשאה	סוג הרשאה
הצגת נתונים	מדריך פעולות אבטחה

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

כדי להקצות הרשאות אלה:

1. היכנס לפורטל Microsoft Defender שלך.

2. בחלונית הניווט, בחר הגדרות>תפקידי נקודות>קצה (תחת הרשאות).

3. בחר את התפקיד שברצונך לערוך ולאחר מכן בחר ערוך.

4. בתיבה ערוך תפקיד, בכרטיסיה כללי , בשם התפקיד, הקלד שם עבור התפקיד.

5. תחת תיאור, הקלד סיכום קצר של התפקיד.

6. בהרשאות, בחר הצג נתונים ולאחר מכן, תחת הצג נתונים בחרפעולות אבטחה.

<a name='navigate-to-the-attack-surface-reduction-rules-report>

כרטיסי סיכום של דוח ASR במקטע 'מכשירים' בדוח 'אבטחה'

1. בפורטל Microsoft Defender , https://security.microsoft.comעבור אל דוחות>כלליים דוח >אבטחה. לחלופין, כדי לעבור ישירות לדף דוחות האבטחה, השתמש ב- https://security.microsoft.com/reports.

2. בדף דוחות אבטחה, מצא את המקטע מכשירים המכיל את כרטיסי הסיכום של דוח כלל ASR:

סיכום הדוח של כללי ASR מחולק לשני כרטיסים:

• כרטיס סיכום לזיהוי כללים של ASR
• כרטיס סיכום של תצורת כלל ASR

כרטיס סיכום לזיהוי כללי ASR

כרטיס הסיכום לזיהוי כללי ASR מציג סיכום של מספר האיומים שזוהו שנחסמו על-ידי כללי ASR. כרטיס זה כולל שני לחצני פעולה:

• הצגת זיהויים: פתיחת הכרטיסיה 'זיהויים '
• הוספת פריטים שאינם נכללים: פתיחת הכרטיסיה 'פריטים שאינם נכללים '

בחירה בקישור זיהוי כללי ASR בחלק העליון של הכרטיס פותחת גם את הכרטיסיה הראשית של כללי צמצום שטח התקיפה זיהוי.

כרטיס סיכום תצורה של כללי ASR

המקטע העליון מתמקד בשלושה כללים מומלצים, אשר מגנים מפני טכניקות התקפה נפוצות. כרטיס זה מציג מידע על המצב הנוכחי אודות המחשבים בארגון שלך שבהם מוגדרים שלושת כללי ההגנה הסטנדרטיים הבאים (ASR) במצב חסימה, במצב ביקורת או כבויים (לא מוגדרים). לחצן הגן על מכשירים מציג פרטי תצורה מלאים עבור שלושת הכללים בלבד; לקוחות יכולים לבצע פעולה במהירות כדי להפוך כללים אלה לזמינים.

המקטע התחתון מציין שישה כללים בהתבסס על מספר המכשירים הלא מוגנים לכל כלל. לחצן 'הצג תצורה ' מציין את כל פרטי התצורה עבור כל כללי ה- ASR. לחצן הוסף פריטים שאינם נכללים מציג את דף הוספת אי-הכללה עם כל שמות הקבצים/התהליך שזוהו המפורטים עבור מרכז פעולת האבטחה (SOC) להערכה. הדף 'הוספת אי-הכללה' מקושר Microsoft Intune.

הכרטיס כולל גם שני לחצני פעולה:

• קביעת תצורה של תצוגה: פתיחת הכרטיסיה 'זיהויים '
• הוספת פריטים שאינם נכללים: פתיחת הכרטיסיה 'פריטים שאינם נכללים '

בחירה בקישור התצורה של כללי ASR בחלק העליון של הכרטיס פותחת גם את הכרטיסיה הראשית של כללי צמצום פני השטח של התקיפה תצורה.

אפשרות הגנה סטנדרטית פשוטה יותר

כרטיס סיכום התצורה מספק לחצן להגנה על מכשירים באמצעות שלושת כללי ההגנה הסטנדרטית. לכל הפחות, Microsoft ממליצה להפוך את שלושת כללי ההגנה הסטנדרטיים להפחתת פני השטח לזמינים:

• חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)
• חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים
• חסימת התמדה באמצעות מנוי לאירוע Windows Management Instrumentation (WMI)

כדי להפוך את שלושת כללי ההגנה הסטנדרטית לזמינים:

1. בחר הגן על מכשירים. הכרטיסיה הראשית תצורה נפתחת.

2. בכרטיסיה תצורה, 'כללים בסיסיים' מחליף באופן אוטומטי בין 'כל הכללים' Standard הגנה זמינים.

3. ברשימה מכשירים , בחר את המכשירים שעבורם ברצונך להחיל את כללי ההגנה הרגילים ולאחר מכן בחר שמור.

כרטיס זה כולל שני לחצני ניווט אחרים:

• תצורת תצוגה: פתיחת הכרטיסיה תצורה .
• הוספת פריטים שאינם נכללים: פתיחת הכרטיסיה פריטים שאינם נכללים .

בחירה בקישור התצורה של כללי ASR בחלק העליון של הכרטיס פותחת גם את הכרטיסיה הראשית של כללי צמצום פני השטח של התקיפה תצורה.

דף הדוח 'כללי צמצום פני השטח של התקיפה'

למרות שהכללים של ASR מדווחים על כרטיסי סיכום שימושיים לקבלת סיכום מהיר של מצב כללי ה- ASR שלך, הכרטיסיות הראשיות מספקות מידע מעמיק יותר עם יכולות סינון ותצורה:

בפורטל Microsoft Defender , https://security.microsoft.comעבור אל מקטע נקודות>קצה של דוחות כללי צמצום> שטח תקיפה. לחלופין, כדי לעבור ישירות לדוח כללי צמצום השטח של ההתקפה , השתמש https://security.microsoft.com/asr

הכרטיסיות הבאות זמינות בדף הדוח כללי צמצום פני השטח של ההתקפה:

• זיהויים וזיהויים
• תצורה
• הוספת פריטים שאינם נכללים

כללי הפחתת פני השטח של ההתקפה כרטיסיית הזיהוי הראשית

כדי לגשת ישירות אל הכרטיסיה 'זיהויים ' של דוח כללי צמצום השטח של התקיפה , השתמש ב- https://security.microsoft.com/asr?viewid=detections.

הכרטיסיה זיהויים מכילה את המידע הבא:

• זיהויי ביקורת: מראה כמה זיהויי איומים נלכדים על-ידי כללים המוגדרים במצב ביקורת.

• זיהויים חסומים: מראה כמה זיהויי איומים נחסמים על-ידי כללים המוגדרים במצב חסימה.

• גרף גדול מאוחד: מציג זיהויים חסומים ומנוהלי ביקורת.

  

גרפים מספקים נתוני זיהוי מעל טווח התאריכים המוצג, עם היכולת לרחף מעל מיקום ספציפי כדי לאסוף מידע ספציפי לתאריך.

טבלת הפרטים מפרטת איומים שזוהו - לפי מכשיר - עם השדות הבאים:

שם שדה	הגדרה
קובץ שזוהה	הקובץ נקבע להכיל איום אפשרי או ידוע
זוהה בתאריך	התאריך שבו זוהה האיום
נחסמים/מביקורת?	אם כלל זיהוי האירוע הספציפי היה במצב חסימה או ביקורת
כלל	איזה כלל זיהה את האיום
אפליקציית מקור	היישום שביצע את השיחה ל"קובץ שזוהה" הגורמת לשגיאה
מכשיר	שם המכשיר שבו התרחש האירוע 'ביקורת' או 'חסימה'
הקבוצה 'מכשירים'	קבוצת Active Directory שאליה המכשיר שייך
משתמש	חשבון המחשב האחראי לשיחה
Publisher	החברה שפורסמה את המידע או .exe היישום

לקבלת מידע נוסף אודות מצבי ביקורת וחסימה של כללים של ASR, ראה מצבי כללים של צמצום פני השטח של התקפה.

תיבת החיפוש זמינה לחיפוש ערכים לפי מזהה מכשיר, שם קובץ או שם תהליך.

באפשרותך לסנן את המידע בכרטיסיה על-ידי בחירה באפשרות הוסף מסנן ולאחר מכן בחירה מבין האפשרויות הזמינות. לאחר שהמסנן מוצג בחלק העליון של הכרטיסיה, באפשרותך לקבוע את התצורה של הבחירות עבורה:

• כללים: בחר Standard אוהכל.

• תאריך: בחר תאריך התחלה בן עד 30 יום.

• בחר כללים: בחר אחד או יותר מהחוקים הבאים:

  • חסימת התמדה באמצעות מנוי לאירוע WMI
  • חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)
  • חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים

  עצה

  כדי להציג את כל הכללים שהופעלו, השתמש בטבלה DeviceEvents בשלבי ציד מתקדמים.

  בשלב זה, מספר הפריטים הבודדים שזוהו המפורטים בטבלת הפרטים מוגבל ל- 200 כללים. השתמש בייצוא כדי לשמור את הרשימה המלאה של הזיהויים בקובץ CSV.

• קבוצת מכשירים: בחר קבוצת מכשירים זמינה.

• חסום/מ ביקורת?: בחר מביקורת אוחסום.

GroupBy זמין בטבלת הפרטים עם האפשרויות הבאות:

• ללא קיבוץ
• קובץ שזוהה
• ביקורת או חסימה
• כלל
• אפליקציית מקור
• מכשיר
• הקבוצה 'מכשירים'
• משתמש
• מפרסם

עצה

בשלב זה, כדי להשתמש ב- GroupBy, עליך לגלול אל ערך הזיהוי האחרון ברשימה כדי לטעון את ערכת הנתונים המלאה. לאחר מכן תוכל להשתמש ב - GroupBy. אחרת, התוצאות שגויות עבור כל תוצאה הכוללת יותר מעמוד אחד הניתן להצגה של זיהויים רשומים.

תפריט נשלף ניתן לפעולה

הדף הראשי "זיהוי" כולל רשימה של כל הזיהויים (קבצים/תהליכים) ב- 30 הימים האחרונים. בחר בכל אחד מהזיהויים לפתיחה באמצעות יכולות הסתעפות.

המקטע אפשרי של אי הכללה והשפעה מספק את ההשפעה של הקובץ או התהליך שנבחר. באפשרותך:

• בחר Go hunt אשר פותח את דף השאילתה Advanced Hunting.
• פתיחת דף הקובץ נפתחת Microsoft Defender עבור נקודת קצה שלך.
• לחצן 'הוסף אי-הכללה ' מקושר לדף הראשי של הוספת אי הכללה.

התמונה הבאה מדגימה כיצד דף השאילתה Advanced Hunting נפתח מהקישור בתפריט הנשלף הניתן להפעלה:

לקבלת מידע נוסף אודות ציד מתקדם, ראה ציד יזום אחר איומים באמצעות ציד מתקדם Microsoft Defender XDR

כללי הפחתת פני השטח של ההתקפה הכרטיסיה הראשית של התצורה

כדי לגשת ישירות אל הכרטיסיה תצורה של דוח כללי ההפחתה של משטח התקיפה , השתמש ב- https://security.microsoft.com/asr?viewid=configuration.

הכרטיסיה תצורה מספקת פרטי תצורה של כללי ASR לכל מכשיר וסיכום. קיימים שלושה היבטים עיקריים בכרטיסיה תצורה:

• כללים בסיסיים מספק שיטה כדי להחליף בין תוצאות בין כללים בסיסיים וכל הכללים. כברירת מחדל, נבחרו כללים בסיסיים.
• מבט כולל על תצורת המכשיר מספק תמונה נוכחית של מכשירים באחד מהתנאים הבאים:
  • כל המכשירים החשופים (מכשירים עם דרישות מוקדמות חסרות, כללים במצב ביקורת, כללים שתצורתם שגויה או כללים לא הוגדרו)
  • מכשירים עם כללים לא מוגדרים
  • מכשירים עם כללים במצב ביקורת
  • מכשירים עם כללים במצב חסימה
• המקטע התחתון ללא שם של הכרטיסיה תצורה מספק רשימה של המצב הנוכחי של המכשירים שלך (לפי מכשיר):
  • מכשיר (שם)
  • התצורה הכוללת (בין אם כללים כלשהם מופעלים או כולם מבוטלים)
  • כללים במצב חסימה (מספר הכללים לכל מכשיר שברצונך לחסום)
  • כללים במצב ביקורת (מספר הכללים במצב ביקורת)
  • כללים מבוטלים (כללים מבוטלים או שאינם זמינים)
  • מזהה מכשיר (GUID של מכשיר)

כדי להפוך כללי ASR לזמינים:

1. תחת התקן, בחר את המכשיר או המכשירים שעבורם ברצונך להחיל כללי ASR.

2. בחלון הנשלף, אמת את הבחירות שלך ולאחר מכן בחר הוסף למדיניות. הכרטיסיה 'תצורה ' ו'הוסף תפריט נשלף של כלל' מוצגות בתמונה הבאה.

   

[הערה!] אם יש לך מכשירים שמחריכים החלה של כללי ASR שונים, עליך להגדיר מכשירים אלה בנפרד.

תיבת החיפוש זמינה לחיפוש ערכים לפי מזהה מכשיר, שם קובץ או שם תהליך.

בחלק העליון של הכרטיסיה, באפשרותך לסנן כללים לפי Standard אוהכל.

כללי הפחתת פני השטח של ההתקפה הוספת כרטיסיית אי-הכללות

כדי לגשת ישירות לכרטיסייה הוספת פריטים שאינם נכללים בדוח כללי צמצום פני השטח של ההתקפה , השתמש ב- https://security.microsoft.com/asr?viewid=exclusions.

הכרטיסיה הוספת פריטים שאינם נכללים מציגה רשימה מדורגת של זיהויים לפי שם קובץ ומספקת שיטה לקבוע תצורה של פריטים שאינם נכללים. כברירת מחדל, פרטי הוספת אי-הכללה מפורטים עבור שלושה שדות:

• שם הקובץ: שם הקובץ שהפעיל את האירוע כללי ASR.
• זיהויים: המספר הכולל של אירועים שזוהו עבור קובץ בעל שם. מכשירים בודדים יכולים להפעיל אירועים מרובים של כללי ASR.
• מכשירים: מספר המכשירים שבהם אירע הזיהוי.

חשוב

אי-הכללת קבצים או תיקיות עלולה לפגוע באופן חמור בהגנה המסופקת על-ידי כללי ASR. ניתן להפעיל קבצים לא כלולים, ולא נרשמים דוח או אירוע. אם כללי ASR מזהים קבצים שאתה סבור שאינם אמורים להיות מזוהים, עליך להשתמש תחילה במצב ביקורת כדי לבדוק את הכלל.

בעת בחירת קובץ, נפתח תפריט נשלף & סיכום , המציג את סוגי המידע הבאים:

• Files - מספר הקבצים שבחרת לפריטים שאינם נכללים
• (מספר) זיהויים - מציין את ההפחתה הצפויה בזיהויים לאחר הוספת הפריטים שלא ייכללו. ההפחתה באיתורים מיוצגת באופן גרפי עבור זיהוייםוזיהויים בפועל לאחר אי הכללות.
• (מספר) המכשירים המושפעים - מציין את ההפחתה הצפויה במכשירים שדיווחים על זיהויים עבור הפריטים שלא ייכללו.

הדף 'הוספת אי-הכללה' כולל שני לחצנים עבור פעולות שניתן להשתמש בהם בכל הקבצים שזוהו (לאחר הבחירה). באפשרותך:

• הוסף אי-הכללה שנפתחת Microsoft Intune מדיניות ASR. לקבלת מידע נוסף, ראה Intune "הפיכת שיטות תצורה חלופיות לכללי ASR לזמינות".

• קבל נתיבי אי-הכללה המורידים נתיבי קבצים בתבנית csv.

  

תיבת החיפוש זמינה לחיפוש ערכים לפי מזהה מכשיר, שם קובץ או שם תהליך.

בחר סנן כדי לסנן כללים לפי Standard אוהכל.

למידע נוסף

• מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
• תכנון פריסה של כללי הפחתת פני השטח של ההתקפה
• כללים להקטנת פני השטח של ההתקפה בבדיקה
• אפשר כללי צמצום פני השטח של ההתקפה
• תפעול כללי צמצום פני השטח של ההתקפה
• הדוח כללים של צמצום פני השטח של ההתקפה (ASR)
• חומר עזר לכללי הפחתת פני השטח של ההתקפה