Megosztás a következőn keresztül:

Támadásifelület-csökkentési szabályok jelentése

  • Cikk

Érintett szolgáltatás:

Platformok:

  • A Windows

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A támadásifelület-csökkentési szabályokról szóló jelentés információt nyújt a szervezet eszközeire alkalmazott támadásifelület-csökkentési szabályokról . Ez a jelentés a következőket is tartalmazza:

  • észlelt fenyegetések
  • blokkolt fenyegetések
  • eszközök, amelyek nincsenek konfigurálva a standard védelmi szabályok használatára a fenyegetések blokkolásához

Emellett ez a jelentés egy könnyen használható felületet biztosít, amely lehetővé teszi a következőket:

  • Fenyegetésészlelések megtekintése
  • Az ASR-szabályok konfigurációjának megtekintése
  • Kizárások konfigurálása (hozzáadása)
  • Egyszerű védelem aktiválása a három ajánlott ASR-szabály egyetlen kapcsolóval történő engedélyezésével
  • Részletes információk gyűjtéséhez részletezés

További információ az egyes támadásifelület-csökkentési szabályokról: Támadásifelület-csökkentési szabályok referenciája.

Előfeltételek

Fontos

A támadásifelület-csökkentési szabályok jelentésének eléréséhez olvasási engedélyekre van szükség a Microsoft Defender portálon. A Microsoft Entra szerepkörök, például a Biztonsági globális Rendszergazda vagy a Biztonsági szerepkör által biztosított jelentéshez való hozzáférés elavult, és 2023 áprilisában el lesz távolítva. Ahhoz, hogy Windows Server 2012 R2 és Windows Server 2016 megjelenjenek a Támadásifelület-csökkentési szabályok jelentésben, ezeket az eszközöket a modern egyesített megoldáscsomag használatával kell elővenni. További információ: Új funkciók az Windows Server 2012 R2 és 2016 modern egységes megoldásában.

Jelentéshozzáférés-engedélyek

A Támadásifelület-csökkentési szabályok jelentés a Microsoft 365 Biztonság irányítópultján való eléréséhez a következő engedélyek szükségesek:

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás Machine.Read.All "Az összes gépprofil olvasása"
Delegált (munkahelyi vagy iskolai fiók) Machine.Read "Gépi információk olvasása"

Az engedélyek hozzárendelése:

  1. Jelentkezzen be a Microsoft Defender XDR a biztonsági rendszergazdai fiókkal vagy globális rendszergazda szerepkörrel.
  2. A navigációs panelen válassza a Beállítások>Végpontok szerepkörök> elemet (az Engedélyek területen).
  3. Válassza ki a szerkeszteni kívánt szerepkört.
  4. Válassza a Szerkesztés lehetőséget.
  5. A Szerepkör szerkesztése lap Általános lapján, a Szerepkör neve területen adja meg a szerepkör nevét.
  6. A Leírás mezőbe írja be a szerepkör rövid összefoglalását.
  7. Az Engedélyek területen válassza az Adatok megtekintése lehetőséget, majd az Adatok megtekintése területen válassza a Támadási felület csökkentése lehetőséget.

A felhasználói szerepkörök kezelésével kapcsolatos további információkért lásd: szerepköralapú hozzáférés-vezérlés szerepköreinek Létrehozás és kezelése.

A támadásifelület-csökkentési szabályok jelentés összefoglaló kártyáinak navigálásához

  1. Nyissa meg Microsoft Defender XDR portált.
  2. A bal oldali panelen kattintson aJelentések elemre, majd a fő szakasz Jelentések területén válassza a Biztonsági jelentés lehetőséget.
  3. Görgessen le az Eszközök területre a támadásifelület-csökkentési szabályok összegző kártyáinak megkereséséhez.

Az ASR-szabályok összefoglaló jelentéskártyái az alábbi ábrán láthatók.

Az ASR-szabályok jelentésösszegző kártyáinak megjelenítése

ASR-szabályok jelentésösszegző kártyái

Az ASR-szabályok jelentésének összegzése két kártyára van osztva:

ASR-szabályok észlelésének összefoglaló kártyája

Az ASR-szabályok által blokkolt észlelt fenyegetések számának összegzését jeleníti meg.

Két "művelet" gombot biztosít:

  • Észlelések megtekintése – megnyitja a Támadásifelület-csökkentési szabályok> fő Észlelések lapot
  • Kizárások hozzáadása – Megnyitja a Támadásifelület-csökkentési szabályok> fő kizárásai lapot

Képernyőkép az ASR-szabályok jelentésösszegzési észlelési kártyáról.

A kártya tetején található ASR-szabályok észlelése hivatkozásra kattintva megnyílik a támadásifelület-csökkentési szabályok észlelésének fő lapja is.

ASR-szabályok konfigurációjának összefoglaló kártyája

A felső szakasz három ajánlott szabályra összpontosít, amelyek védelmet nyújtanak a gyakori támadási technikákkal szemben. Ez a kártya a szervezet azon számítógépeinek aktuális állapotadatait jeleníti meg, amelyeken a következő három (ASR) szabványos védelmi szabály van beállítva Letiltás módban, Naplózás módban vagy kikapcsolva (nincs konfigurálva). Az Eszközök védelme gomb csak a három szabály teljes konfigurációs adatait jeleníti meg; az ügyfelek gyorsan megtehetik a szükséges lépéseket a szabályok engedélyezéséhez.

Az alsó szakasz hat szabályt jelenít meg a nem védett eszközök szabályonkénti száma alapján. A "Konfiguráció megtekintése" gomb megjeleníti az összes ASR-szabály konfigurációs részleteit. A "Kizárás hozzáadása" gomb megjeleníti a Kizárás hozzáadása lapot, amelyen a Security Operation Center (SOC) kiértékelendő összes észlelt fájl-/folyamatneve megtalálható. A Kizárás hozzáadása lap Microsoft Intune van csatolva.

Két "művelet" gombot biztosít:

  • Konfiguráció megtekintése – megnyitja a Támadásifelület-csökkentési szabályok> fő Észlelések lapját
  • Kizárások hozzáadása – Megnyitja a Támadásifelület-csökkentési szabályok> fő kizárásai lapot

Az ASR-szabályok jelentésösszesítő konfigurációs kártyáját jeleníti meg.

A kártya tetején található ASR-szabályok konfigurációs hivatkozására kattintva megnyílik a támadásifelület-csökkentési szabályok Konfiguráció lapja is.

Egyszerűsített szabványos védelmi lehetőség

A konfiguráció összegző kártyája egy gombot biztosít az Eszközök védelme a három szabványos védelmi szabmánnyal. A Microsoft legalább azt javasolja, hogy engedélyezze ezt a három támadásifelület-csökkentési szabványos védelmi szabályt:

A három szabványos védelmi szabály engedélyezése:

  1. Válassza az Eszközök védelme lehetőséget. Megnyílik a fő Konfiguráció lap.
  2. A Konfiguráció lapon az Alapszintű szabályok automatikusan a Minden szabály beállításról a Standard védelmi szabályokra váltanak.
  3. Az Eszközök listában válassza ki azokat az eszközöket, amelyekre a szabványos védelmi szabályokat alkalmazni szeretné, majd válassza a Mentés lehetőséget.

A kártyán két másik navigációs gomb is található:

  • Konfiguráció megtekintése – Megnyitja a Támadásifelület-csökkentési szabályok> fő Konfiguráció lapját.
  • Kizárások hozzáadása – Megnyitja a Támadásifelület-csökkentési szabályok> fő Kizárások lapfülét .

A kártya tetején található ASR-szabályok konfigurációs hivatkozására kattintva megnyílik a támadásifelület-csökkentési szabályok Konfiguráció lapja is.

Támadásifelület-csökkentési szabályok fő lapjai

Bár az ASR-szabályok jelentésösszegző kártyái hasznosak az ASR-szabályok állapotának gyors összegzéséhez, a fő lapok részletesebb információkat nyújtanak a szűrési és konfigurációs képességekkel kapcsolatban:

Keresési képességek

A keresési képesség hozzáadódik az Észlelés, a Konfiguráció és a Kizárás hozzáadása fő fülekhez. Ezzel a képességgel eszközazonosítóval, fájlnévvel vagy folyamatnévvel kereshet.

Az ASR-szabályok jelentéskeresési funkcióját jeleníti meg.

Szűrés

A szűréssel megadhatja, hogy milyen eredményeket ad vissza:

  • A dátum lehetővé teszi, hogy dátumtartományt adjon meg az adateredményekhez.
  • Szűrők

Megjegyzés:

Szabály szerinti szűrés esetén a jelentés alsó felében felsorolt egyes észlelt elemek száma jelenleg 200 szabályra korlátozódik. Az Exportálás funkcióval mentheti az észlelések teljes listáját az Excelbe.

Tipp

Mivel a szűrő jelenleg ebben a kiadásban működik, minden alkalommal, amikor "csoportosítást" szeretne végezni, először le kell görgetnie a lista utolsó észleléséhez a teljes adatkészlet betöltéséhez. Miután betöltötte a teljes adatkészletet, elindíthatja a "rendezés alapja" szűrést. Ha nem görget le a legutóbbi észlelésig, amelyet minden használatkor vagy a szűrési beállítások módosításakor (például az aktuális szűrőfuttatásra alkalmazott ASR-szabályok) módosít, akkor az eredmények helytelenek lesznek minden olyan eredmény esetén, amely a felsorolt észlelések egynél több megtekinthető oldalával rendelkezik.

Képernyőkép az ASR-szabályok jelentéskeresési funkciójáról a konfiguráció lapon.

Képernyőkép a támadásifelület-csökkentési szabályok szabályszűrési szűrőiről.

Támadásifelület-csökkentési szabályok fő észlelési lapja

  • Naplózási észlelések Azt mutatja, hogy a naplózási módban beállított szabályok hány fenyegetésészlelést rögzítettek.
  • Letiltott észlelések Azt mutatja, hogy hány fenyegetésészlelést blokkoltak a letiltott módban beállított szabályok.
  • Nagy, összevont grafikon Letiltott és naplózott észlelések megjelenítése.

Az ASR-szabályok jelentés fő észlelési lapjának megjelenítése _Audit detections_ és _Blocked detections_ tagolásával.

A grafikonok észlelési adatokat biztosítanak a megjelenített dátumtartományon keresztül, és képesek rámutatni egy adott helyre a dátumspecifikus információk gyűjtéséhez.

A jelentés alsó szakasza az észlelt fenyegetéseket sorolja fel eszközönként az alábbi mezőkkel:

Mező neve Definíció
Észlelt fájl Lehetséges vagy ismert fenyegetést tartalmazó fájl
Észlelve: A fenyegetés észlelésének dátuma
Letiltva/naplózva? Azt jelzi, hogy az adott esemény észlelési szabálya Blokkolás vagy Naplózás módban volt-e
Szabály Melyik szabály észlelte a fenyegetést?
Forrásalkalmazás A jogsértő "észlelt fájl" hívását kezdeményező alkalmazás
Eszköz Annak az eszköznek a neve, amelyen a naplózási vagy blokkolási esemény történt
Eszközcsoport Az Active Directory-csoport, amelyhez az eszköz tartozik
Felhasználó A hívásért felelős számítógépfiók
Publisher Az adott .exe vagy alkalmazást kibocsátó vállalat

További információ az ASR-szabályok naplózásáról és blokkolási módjairól: Támadásifelület-csökkentési szabálymódok.

Végrehajtható úszó panel

Az "Észlelés" főoldal az elmúlt 30 napban észlelt összes észlelést (fájlt/folyamatot) tartalmazza. Válassza ki bármelyik észlelést a részletezési képességekkel való megnyitáshoz.

Az ASR-szabályok jelentés fő észlelései lap úszó panelje

A Lehetséges kizárás és hatás szakasz a kijelölt fájl vagy folyamat hatását biztosítja. Képes vagy:

  • Válassza a Go hunt lehetőséget , amely megnyitja a Speciális veszélyforrás-keresés lekérdezési oldalt
  • A Fájl megnyitása lap megnyílik Végponthoz készült Microsoft Defender észlelés
  • A Kizárás hozzáadása gomb a Kizárás hozzáadása főoldalhoz van csatolva.

Az alábbi kép bemutatja, hogyan nyílik meg a Speciális veszélyforrás-keresés lekérdezési oldal a végrehajtható úszó panel hivatkozásából:

A támadásifelület-csökkentési szabályok jelentés fő észlelései lap úszó panel hivatkozásának megnyitása Speciális veszélyforrás-keresés

További információ a speciális veszélyforrás-keresésről: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel Microsoft Defender XDR

Támadásifelület-csökkentési szabályok fő konfigurációs lapja

Az ASR-szabályok fő Konfiguráció lapján összegző és eszközönkénti ASR-szabályok konfigurációs részletei találhatók. A Konfiguráció lapnak három fő szempontja van:

Alapszintű szabályok Az alapszintű szabályok és a Minden szabály közötti eredményváltás módszerét biztosítja. Alapértelmezés szerint az Alapszintű szabályok beállítás van kiválasztva.

Eszközkonfiguráció áttekintése Az eszközök aktuális pillanatképét adja meg az alábbi állapotok egyikében:

  • Minden közzétett eszköz (hiányzó előfeltételekkel rendelkező eszközök, naplózási módban lévő szabályok, helytelenül konfigurált szabályok vagy nincsenek konfigurálva szabályok)
  • Nem konfigurált szabályokkal rendelkező eszközök
  • Szabályokkal rendelkező eszközök naplózási módban
  • Letiltott módban lévő szabályokkal rendelkező eszközök

A Konfiguráció lap alsó, névtelen szakasza felsorolja az eszközök aktuális állapotát (eszközönként):

  • Eszköz (név)
  • Általános konfiguráció (azt jelzi, hogy valamelyik szabály be van-e kapcsolva, vagy az összes ki van-e kapcsolva)
  • Letiltott módban lévő szabályok (az eszközönkénti szabályok száma letiltva)
  • Szabályok naplózási módban (a szabályok száma naplózási módban)
  • A szabályok ki vannak kapcsolva (ki vannak kapcsolva vagy nincsenek engedélyezve)
  • Eszközazonosító (eszköz GUID azonosítója)

Ezek az elemek az alábbi ábrán láthatók.

Az ASR-szabályok jelentés fő konfigurációs lapjának megjelenítése

ASR-szabályok engedélyezése:

  1. Az Eszköz területen válassza ki azt az eszközt vagy eszközöket, amelyre ASR-szabályokat szeretne alkalmazni.
  2. Az úszó ablakban ellenőrizze a beállításokat, majd válassza a Hozzáadás a szabályzathoz lehetőséget.

A Konfiguráció lap és a Szabály hozzáadása úszó panel az alábbi képen látható.

[MEGJEGYZÉS!] Ha olyan eszközökkel rendelkezik, amelyek különböző ASR-szabályokat igényelnek, ezeket az eszközöket egyenként kell konfigurálnia.

Az ASR-szabályok úszó panelje ASR-szabályok eszközökhöz való hozzáadásához

Támadásifelület-csökkentési szabályok Kizárások hozzáadása lap

A Kizárások hozzáadása lap az észlelések fájlnév szerinti rangsorolt listáját jeleníti meg, és egy metódust biztosít a kizárások konfigurálásához. Alapértelmezés szerint a Kizárások hozzáadása információ három mezőhöz van felsorolva:

  • Fájlnév Az ASR-szabályeseményt kiváltó fájl neve.
  • Nyomozás A megnevezett fájl észlelt eseményeinek teljes száma. Az egyes eszközök több ASR-szabályeseményt is aktiválhatnak.
  • Eszközök Azon eszközök száma, amelyeken az észlelés történt.

Az ASR-szabályok jelentés kizárások hozzáadása lapjának megjelenítése

Fontos

A fájlok vagy mappák kizárása súlyosan csökkentheti az ASR-szabályok által biztosított védelmet. A kizárt fájlok futtathatók, és a rendszer nem rögzít jelentést vagy eseményt. Ha az ASR-szabályok olyan fájlokat észlelnek, amelyekről úgy gondolja, hogy nem szabad észlelni, először a naplózási módot kell használnia a szabály teszteléséhez.

Amikor kiválaszt egy fájlt, megjelenik egy Összegzés & várható hatás , amely a következő típusú információkat jeleníti meg:

  • Kijelölt fájlok A kizárásra kijelölt fájlok száma
  • (hány) észlelés A kijelölt kizárás(ok) hozzáadása után várható csökkenést állapít meg az észlelésekben. Az észlelések számának csökkentése grafikusan jelenik meg a tényleges észlelések és a kizárások utáni észlelések esetében
  • (az érintett eszközök száma) Azoknak az eszközöknek a várható csökkenését jelzi, amelyek a kijelölt kizárások észlelését jelentik.

A Kizárás hozzáadása lap két gombot tartalmaz az észlelt fájlokon (kijelölés után) használható műveletekhez. Képes vagy:

  • Adja hozzá a kizárást, amely megnyitja Microsoft Intune ASR-szabályzat oldalát. További információ: Intune az "ASR-szabályok alternatív konfigurációs módszereinek engedélyezése" című témakörben.
  • Kizárási útvonalak lekérése , amelyek csv formátumban töltik le a fájlelérési utakat

Az ASR-szabályok kizárások hozzáadása lap úszó panel hatásának összefoglalását jeleníti meg

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.