הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
סקירת אירועים ב- מציג האירועים שימושית כאשר אתה מעריך תכונות של צמצום פני השטח של ההתקפה. לדוגמה, באפשרותך להפוך מצב ביקורת לזמין עבור תכונות או הגדרות, ולאחר מכן לסקור מה יקרה אם הם היו זמינים באופן מלא. באפשרותך גם להציג את ההשפעות של תכונות הפחתת פני השטח של ההתקפה כאשר הן זמינות באופן מלא.
מאמר זה מתאר כיצד להשתמש ב- Windows מציג האירועים להציג אירועים מיכולות של צמצום שטח תקיפה (ASR), כולל:
כדי להציג אירועי הפחתת פני השטח של ההתקפה, יש לך את האפשרויות הבאות כפי שמוסבר בשאר המאמר הבא:
- עיין באירועי הפחתת פני השטח של ההתקפה ב- Windows מציג האירועים: כיצד לנווט לאירועי הפחתת שטח התקיפה ב- מציג האירועים, ואת מזהה האירוע עבור כל יכולת צמצום פני השטח של התקיפה.
- השתמש בתצוגות מותאמות אישית ב- Windows מציג האירועים כדי להציג אירועי הפחתה של משטח התקפה: כיצד ליצור או לייבא תצוגות מותאמות אישית כדי לסנן מציג האירועים עבור יכולות ASR ספציפיות ותבניות שאילתת XML מוכנות לשימוש.
עצה
באפשרותך להשתמש בהעברת אירועים של Windows כדי לרכז אוסף אירועים של צמצום שטח תקיפה ממכשירים מרובים.
פורטל Microsoft Defender מספק גם דיווח לתכונות הפחתת פני השטח של ההתקפה, קלות יותר לשימוש בהשוואה ל- Windows מציג האירועים:
עיין באירועי הפחתת פני השטח של ההתקפה ב- Windows מציג האירועים
כל האירועים להפחתת פני השטח של ההתקפה ממוקמים ביומני רישום של יישומים ושירותים. כדי להציג אירועי הפחתת פני השטח של ההתקפה, בצע את השלבים הבאים:
בחר התחל, הקלד מציג האירועים ולאחר מכן הקש Enter כדי לפתוח את מציג האירועים.
ב- מציג האירועים, הרחב את יומני רישום של אפליקציות ושירותים של>Microsoft>Windows.
המשך להרחיב את הנתיב עבור הסוגים השונים של אירועי הפחתת פני השטח של ההתקפה, כמתואר בסעיףי המשנה הבאים.
חפש וסנן את האירועים שברצונך לראות כמתואר בסעיףי המשנה הבאים.
אירועי כלל ASR
אירועי כלל ASR ממוקמים ביומן התפעול של Windows Defender>:
| מזהה אירוע | תיאור |
|---|---|
| 1121 | אירוע שבו הכלל פועל במצב חסימה |
| 1122 | אירוע כאשר כלל פועל במצב ביקורת |
| 1129 | אירוע כאשר המשתמש עוקף חסימה במצב אזהרה |
| 5007 | אירוע בעת שינוי ההגדרות |
אירועי גישה מבוקרים לתיקיה
אירועי גישה מבוקרת לתיקיה ממוקמים בתפעול Windows Defender>.
| מזהה אירוע | תיאור |
|---|---|
| 5007 | אירוע בעת שינוי ההגדרות |
| 1124 | אירוע גישה מבוקר לתיקיה מבוקרת |
| 1123 | אירוע גישה מבוקרת לתיקיה שנחסם |
| 1127 | אירוע חסימת כתיבה של סקטור גישה לתיקיה שנחסם |
| 1128 | אירוע חסימת כתיבה של סקטור גישה לתיקיה מבוקרת |
אירועי הגנה מפני ניצול לרעה
האירועים הבאים להגנה מפני ניצול לרעה ממוקמים ביומני מצב ליבה של Security-Mitigations> ובמצב משתמש של>צמצום אבטחה:
| מזהה אירוע | תיאור |
|---|---|
| 1 | ביקורת ACG |
| 2 | אכיפת ACG |
| 3 | אל תאפשר ביקורת של תהליכי צאצא |
| 4 | אל תאפשר חסימת תהליכי צאצא |
| 5 | ביקורת של חסימת תמונות בעלות תקינות נמוכה |
| 6 | חסימת חסימת תמונות תקינות נמוכה |
| 7 | ביקורת של חסימת תמונות מרוחקות |
| 8 | חסימת תמונות מרוחקות |
| 9 | ביקורת של ביטול שיחות מערכת win32k |
| 10 | בטל חסימת שיחות מערכת של win32k |
| 11 | ביקורת של מגן תקינות קוד |
| 12 | בלוק שומר תקינות קוד |
| 13 | ביקורת EAF |
| 14 | אכיפת EAF |
| 15 | ביקורת EAF+ |
| 16 | EAF+ אכיפת |
| 17 | ביקורת IAF |
| 18 | אכיפת IAF |
| 19 | ביקורת ROP StackPivot |
| 20 | אכיפת ROP StackPivot |
| 21 | מתקשר ROP בדוק ביקורת |
| 22 | הפונקציה ROP CallerCheck אוכפת |
| 23 | ביקורת ROP SimExec |
| 24 | אכיפת ROP SimExec |
האירוע הבא להגנה מפני ניצול לרעה ממוקם ביומן התפעול של WER-Diagnostics>:
| מזהה אירוע | תיאור |
|---|---|
| 5 | בלוק CFG |
האירוע הבא להגנה מפני ניצול לרעה ממוקם ביומן התפעול של Win32k>:
| מזהה אירוע | תיאור |
|---|---|
| 260 | גופן לא מהימן |
אירועי הגנת רשת
אירועי הגנת רשת ממוקמים בתפעול Windows Defender>.
| מזהה אירוע | תיאור |
|---|---|
| 5007 | אירוע בעת שינוי ההגדרות |
| 1125 | אירוע שבו הגנה על הרשת מופעלת במצב ביקורת |
| 1126 | אירוע שבו הגנה על הרשת מופעלת במצב חסימה |
השתמש בתצוגות מותאמות אישית ב- Windows מציג האירועים להציג אירועי צמצום פני השטח של ההתקפה
באפשרותך ליצור תצוגות מותאמות אישית ב- Windows מציג האירועים לראות רק את האירועים עבור יכולות ספציפיות של צמצום פני השטח של ההתקפה. הדרך הקלה ביותר היא לייבא תצוגה מותאמת אישית כקובץ XML. באפשרותך גם להעתיק את ה- XML ישירות לתוך מציג האירועים.
לקבלת תבניות XML מוכנות לשימוש, עיין בסעיף 'תבניות XML מותאמות אישית עבור אירועי הפחתת פני שטח תקיפה '.
ייבוא תצוגה מותאמת אישית קיימת של XML
צור קובץ .txt ריק והעתק את ה- XML עבור התצוגה המותאמת אישית שבה ברצונך להשתמש בקובץ .txt זה. בצע שלב זה עבור כל אחת מהתצוגות המותאמות אישית שבהן ברצונך להשתמש. שנה את שמות הקבצים באופן הבא (הקפד לשנות את הסוג .txt ל- .xml):
- תצוגה מותאמת אישית של אירועי גישה לתיקיה מבוקרים:cfa-events.xml
- תצוגה מותאמת אישית של אירועי הגנה מפני ניצולep-events.xml
- תצוגה מותאמת אישית של אירועי צמצום פני השטח של ההתקפה:asr-events.xml
- תצוגה מותאמת אישית של אירועי הגנת רשת: np-events.xml
בחר התחל, הקלד מציג האירועים ולאחר מכן הקש Enter כדי לפתוח את מציג האירועים.
בחירת תצוגה מותאמת>אישית של ייבוא פעולה...
נווט אל קובץ ה- XML עבור התצוגה המותאמת אישית הרצויה ובחר אותה.
בחר באפשרות פתח.
התצוגה המותאמת אישית מסננת כדי להציג רק את האירועים הקשורים לתכונה זו.
העתקת ה- XML ישירות
בחר התחל, הקלד מציג האירועים ולאחר מכן הקש Enter כדי לפתוח את מציג האירועים.
בחלונית פעולות , בחר יצירת תצוגה מותאמת אישית...
עבור אל הכרטיסיה XML ובחר ערוך שאילתה באופן ידני. אזהרה מציינת שלא ניתן לערוך את השאילתה באמצעות הכרטיסיה מסנן בעת שימוש באפשרות XML. בחר כן.
הדבק את קוד ה- XML עבור התכונה שברצונך לסנן אירועים מתוך במקטע ה- XML.
בחר אישור. ציין שם עבור המסנן. התצוגה המותאמת אישית מסננת כדי להציג רק את האירועים הקשורים לתכונה זו.
תבניות XML מותאמות אישית עבור אירועי צמצום פני השטח של התקיפה
XML עבור אירועי כלל הפחתת פני השטח של התקיפה
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML עבור אירועים מבוקרים של גישה לתיקיה
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML עבור אירועי הגנה מפני ניצול לרעה
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML עבור אירועי הגנת רשת
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>