Támadásifelület-csökkentési szabályok tesztelése

  • Cikk

Érintett szolgáltatás:

A Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályok tesztelésével megállapíthatja, hogy a szabályok akadályozzák-e az üzletági műveleteket a szabályok engedélyezése előtt. Egy kisebb, ellenőrzött csoporttal kezdve korlátozhatja a lehetséges munkakimaradásokat, miközben kibővíti az üzemelő példányt a teljes szervezetben.

A támadásifelület-csökkentési szabályok üzembehelyezési útmutatójának ebben a szakaszában a következő lépéseket sajátíthatja el:

  • szabályok konfigurálása a Microsoft Intune használatával
  • Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályok jelentéseinek használata
  • támadásifelület-csökkentési szabályok kizárásainak konfigurálása
  • támadásifelület-csökkentési szabályok engedélyezése a PowerShell használatával
  • eseménymegtekintő használata támadásifelület-csökkentési szabályok eseményeihez

Megjegyzés:

A támadásifelület-csökkentési szabályok tesztelésének megkezdése előtt javasoljuk, hogy először tiltsa le az összes olyan szabályt, amelyet korábban naplózásra vagy engedélyezésre állított be (ha van). A támadásifelület-csökkentési szabályok letiltásáról a Támadásifelület-csökkentési szabályok jelentéssel kapcsolatos információkért lásd: Támadásifelület-csökkentési szabályok jelentése.

Indítsa el a támadásifelület-csökkentési szabályok üzembe helyezését az 1. körrel.

A támadási felület csökkentésének (ASR-szabályok) Végponthoz készült Microsoft Defender tesztelési lépései. Támadásifelület-csökkentési szabályok naplózása, ASR-szabályok kizárásainak konfigurálása. ASR-szabályok konfigurálása Intune. ASR-szabályok kizárásai. ASR-szabályok eseménynaplója.

1. lépés: Támadásifelület-csökkentési szabályok tesztelése naplózással

Kezdje a tesztelési fázist úgy, hogy bekapcsolja a támadásifelület-csökkentési szabályokat a Naplózás beállítással, kezdve a bajnok felhasználókkal vagy az 1. körben lévő eszközökkel. Általában azt javasoljuk, hogy engedélyezze az összes szabályt (a naplózásban), hogy megállapíthassa, mely szabályok aktiválódnak a tesztelési fázisban. A Naplózás beállítású szabályok általában nem befolyásolják annak az entitásnak vagy entitásnak a működését, amelyre a szabály vonatkozik, de naplózott eseményeket hoznak létre a kiértékeléshez; nincs hatása a végfelhasználókra.

Támadásifelület-csökkentési szabályok konfigurálása Intune

A Microsoft Intune Endpoint Security használatával egyéni támadásifelület-csökkentési szabályokat konfigurálhat.

  1. Nyissa meg a Microsoft Intune Felügyeleti központot.

  2. Lépjen az Endpoint Security>támadási felületének csökkentésére.

  3. Válassza Létrehozás Házirend lehetőséget.

  4. A Platform területen válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget, majd a Profil területen válassza a Támadásifelület-csökkentési szabályok lehetőséget.

    Az ASR-szabályok profillétrehozás lapja

  5. Válassza a Létrehozás lehetőséget.

  6. A Létrehozás profilpanelAlapvető beállítások lapján, a Név területen adjon nevet a szabályzatnak. A Leírás területen adja meg a támadásifelület-csökkentési szabályok szabályzatának leírását.

  7. A Konfigurációs beállítások lap Támadásifelület-csökkentési szabályok területén állítsa az összes szabályt Naplózás módra.

    A támadásifelület-csökkentési szabályok konfigurálása naplózási módba

    Megjegyzés:

    Egyes támadásifelület-csökkentési szabályok módlistáiban vannak eltérések; A Letiltva és az Engedélyezve ugyanazt a funkciót biztosítja.

  8. [Nem kötelező] A Hatókörcímkék panelen címkeinformációkat adhat hozzá adott eszközökhöz. Szerepköralapú hozzáférés-vezérlési és hatókörcímkék használatával gondoskodhat arról, hogy a megfelelő rendszergazdák a megfelelő hozzáféréssel és láthatóságmal rendelkezzenek a megfelelő Intune objektumokhoz. További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz Intune.

  9. A Hozzárendelések panelen telepítheti vagy "hozzárendelheti" a profilt a felhasználói vagy eszközcsoportjaihoz. További információ: Eszközprofilok hozzárendelése a Microsoft Intune

    Megjegyzés:

    Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

  10. Tekintse át a beállításokat a Felülvizsgálat + létrehozás panelen. Kattintson Létrehozás a szabályok alkalmazásához.

    A Létrehozás profillap

A támadásifelület-csökkentési szabályokra vonatkozó új támadásifelület-csökkentési szabályzat a Végpontbiztonság | Támadási felület csökkentése.

A Támadási felület csökkentése oldal

2. lépés: A támadásifelület-csökkentési szabályok jelentési oldalának megismerése a Microsoft Defender portálon

A támadásifelület-csökkentési szabályok jelentési oldala a Microsoft Defender portál>Támadásifelület-csökkentési szabályokjelentésében> található. Ennek a lapnak három lapja van:

  • Nyomozás
  • Konfiguráció
  • Kizárások hozzáadása

Detections tab

30 napos ütemtervet biztosít az észlelt naplózási és letiltott eseményekről.

A támadásifelület-csökkentési szabályokat megjelenítő grafikon összegző észlelési kártyát jelenít meg.

A támadásifelület-csökkentési szabályok panelen szabályonként tekintheti át az észlelt eseményeket.

Megjegyzés:

A támadásifelület-csökkentési szabályok jelentéseiben van néhány eltérés. A Microsoft folyamatosan frissíti a támadásifelület-csökkentési szabályok jelentéseinek viselkedését, hogy egységes élményt nyújtson.

A támadásifelület-csökkentési szabályokat megjelenítő grafikon összegző konfigurációs kártyát jelenít meg.

Válassza az Észlelések megtekintése lehetőséget az Észlelések lap megnyitásához.

Képernyőkép a támadásifelület-csökkentési szabályok jelentés keresési funkcióról.

A GroupBy és a Filter panel a következő lehetőségeket biztosítja:

A GroupBy a következő csoportokra állítva adja vissza az eredményeket:

  • Nincs csoportosítás
  • Észlelt fájl
  • Naplózás vagy letiltás
  • Szabály
  • Forrásalkalmazás
  • Eszköz
  • Felhasználó
  • Publisher

Megjegyzés:

Szabály szerinti szűrés esetén a jelentés alsó felében felsorolt egyes észlelt elemek száma jelenleg 200 szabályra korlátozódik. Az Exportálás funkcióval mentheti az észlelések teljes listáját az Excelbe.

Képernyőkép az ASR-szabályok jelentéskeresési funkciójáról a konfiguráció lapon.

A Szűrő megnyitja a Szűrés szabályokon lapot, amely lehetővé teszi, hogy az eredményeket csak a kiválasztott támadásifelület-csökkentési szabályokra terjedjen ki:

A támadásifelület-csökkentési szabályok észlelési szűrője a szabályokra

Megjegyzés:

Ha Microsoft Microsoft 365 Security E5 vagy A5, Windows E5 vagy A5 licenccel rendelkezik, az alábbi hivatkozás megnyitja a Microsoft Defender 365-jelentések >Támadásifelület-csökkentés> észlelések lapját.

Konfiguráció lap

Listák – számítógépenként – a támadásifelület-csökkentési szabályok összesített állapotát: Off, Audit, Block.

Képernyőkép a támadásifelület-csökkentési szabályok jelentés fő konfigurációs lapjáról.

A Konfigurációk lapon eszközönként ellenőrizheti, hogy mely támadásifelület-csökkentési szabályok vannak engedélyezve, és milyen módban, ha kiválasztja azt az eszközt, amelyre vonatkozóan ellenőrizni szeretné a támadásifelület-csökkentési szabályokat.

Az ASR-szabályok eszközökhöz való hozzáadására vonatkozó ASR-szabályok úszó paneljének képernyőképe.

Az Első lépések hivatkozás megnyitja a Microsoft Intune Felügyeleti központot, ahol végpontvédelmi szabályzatot hozhat létre vagy módosíthat a támadási felület csökkentéséhez:

A *Végpontbiztonság menüelem az Áttekintés lapon

Végpontbiztonság | Áttekintés, válassza a Támadási felület csökkentése lehetőséget:

A támadási felület csökkentése Intune

Az Endpoint Security | Megnyílik a Támadási felület csökkentése panel:

A Végpontbiztonság támadási felületének csökkentése panel

Megjegyzés:

Ha Microsoft Defender 365 E5 (vagy Windows E5?) licenccel rendelkezik, ez a hivatkozás megnyitja a Microsoft Defender 365 Reports > Attack surface reductions Configurations (Támadásifelület-csökkentési konfigurációk>) lapot.

Kizárások hozzáadása

Ez a lap egy metódust biztosít az észlelt entitások (például hamis pozitívak) kizárásra való kiválasztásához. Kizárások hozzáadásakor a jelentés összefoglalja a várható hatást.

Megjegyzés:

Microsoft Defender víruskereső AV-kizárásait a támadásifelület-csökkentési szabályok betartják. Lásd: Kizárások konfigurálása és érvényesítése bővítmény, név vagy hely alapján.

Az észlelt fájl kizárására szolgáló panel

Megjegyzés:

Ha Microsoft Defender 365 E5 (vagy Windows E5?) licenccel rendelkezik, ez a hivatkozás megnyitja a Microsoft Defender 365 Reports > Attack surface reductions Exclusions (Támadásifelület-csökkentési kizárások>) lapot.

A támadásifelület-csökkentési szabályok jelentésének használatával kapcsolatos további információkért lásd: Támadásifelület-csökkentési szabályok jelentései.

Támadásifelület-csökkentés szabályonkénti kizárásainak konfigurálása

A támadásifelület-csökkentési szabályok mostantól lehetővé teszik a szabályspecifikus kizárások konfigurálását, más néven "szabálykizárásonként".

Megjegyzés:

A szabályonkénti kizárások jelenleg nem konfigurálhatók PowerShell vagy Csoportházirend használatával.

Adott szabálykizárások konfigurálása:

  1. Nyissa meg a Microsoft Intune Felügyeleti központot, és lépjen az Otthoni>végpont biztonsági>támadási felületének csökkentése elemre.

  2. Ha még nincs konfigurálva, állítsa be a szabályt, amelynek kizárásait Naplózás vagy Letiltás értékre szeretné állítani.

  3. Az ASR csak szabálykizárásonként területen kattintson a kapcsolóra a Nincs konfigurálva értékről a Konfigurálva értékre való váltáshoz.

  4. Adja meg a kizárni kívánt fájlok vagy alkalmazások nevét.

  5. A Létrehozás profil varázsló alján válassza a Tovább gombot, és kövesse a varázsló utasításait.

Képernyőkép a szabályonkénti ASR-kizárások hozzáadásának konfigurációs beállításairól.

Tipp

A kizárási bejegyzések listája melletti jelölőnégyzetekkel jelölje ki a Törlés, Rendezés, Importálás vagy Exportálás elemet.

Támadásifelület-csökkentési szabályok engedélyezése a PowerShell alternatív módszereként

A PowerShellt – a Intune alternatívaként – használhatja a támadásifelület-csökkentési szabályok naplózási módban való engedélyezéséhez, hogy megtekintse azokat az alkalmazásokat, amelyek blokkolva lettek volna, ha a funkció teljes mértékben engedélyezve lett volna. Azt is megtudhatja, hogy a szabályok milyen gyakran aktiválódnak a normál használat során.

A támadásifelület-csökkentési szabály naplózási módban való engedélyezéséhez használja a következő PowerShell-parancsmagot:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Ahol <rule ID> a támadásifelület-csökkentési szabály GUID-értéke.

Az összes hozzáadott támadásifelület-csökkentési szabály naplózási módban való engedélyezéséhez használja a következő PowerShell-parancsmagot:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Tipp

Ha teljes körűen szeretné naplózni a támadásifelület-csökkentési szabályok működését a szervezetben, egy felügyeleti eszközzel kell üzembe helyeznie ezt a beállítást a hálózat(ok) eszközein.

A beállítás konfigurálásához és üzembe helyezéséhez Csoportházirend, Intune vagy mobileszköz-kezelési (MDM) konfigurációs szolgáltatókat (CSP-ket) is használhat. További információt a támadásifelület-csökkentési szabályokról szóló fő cikkben talál.

A Windows eseménymegtekintő Review használata a támadásifelület-csökkentési szabályok jelentési oldalának alternatívaként a Microsoft Defender portálon

A letiltott alkalmazások áttekintéséhez nyissa meg a eseménymegtekintő, és szűrjön az 1121-as eseményazonosítóra a Microsoft-Windows-Windows Defender/Operational naplóban. Az alábbi táblázat felsorolja az összes hálózatvédelmi eseményt.

Eseményazonosító Leírás
5007 A beállítások módosításának eseménye
1121 Esemény, amikor egy támadásifelület-csökkentési szabály blokk módban aktiválódik
1122 Esemény, amikor egy támadásifelület-csökkentési szabály naplózási módban aktiválódik

Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése

Támadásifelület-csökkentési szabályok üzembe helyezésének megtervezése

Támadásifelület-csökkentési szabályok engedélyezése

Támadásifelület-csökkentési szabályok üzembe helyezése

Támadásifelület-csökkentési szabályok referenciája

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.