Támadásifelület-csökkentési szabályok jelentése

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Platformok:

• A Windows

A támadásifelület-csökkentési szabályokról szóló jelentés információt nyújt a szervezet eszközeire alkalmazott támadásifelület-csökkentési szabályokról . Ez a jelentés a következőket is tartalmazza:

• észlelt fenyegetések
• blokkolt fenyegetések
• eszközök, amelyek nincsenek konfigurálva a standard védelmi szabályok használatára a fenyegetések blokkolásához

Emellett ez a jelentés egy könnyen használható felületet biztosít, amely lehetővé teszi a következőket:

• Fenyegetésészlelések megtekintése
• Az ASR-szabályok konfigurációjának megtekintése
• Kizárások konfigurálása (hozzáadása)
• Részletes információk gyűjtéséhez részletezés

További információ az egyes támadásifelület-csökkentési szabályokról: Támadásifelület-csökkentési szabályok referenciája.

Előfeltételek

Fontos

A támadásifelület-csökkentési szabályok jelentésének eléréséhez olvasási engedélyek szükségesek a Microsoft Defender portálhoz. Ahhoz, hogy a Windows Server 2012 R2 és a Windows Server 2016 megjelenjen a támadásifelület-csökkentési szabályok jelentésében, ezeket az eszközöket a modern egységes megoldáscsomag használatával kell elővenni. További információ: Új funkciók a Windows Server 2012 R2 és 2016 modern egységes megoldásában.

Jelentéshozzáférés-engedélyek

A támadásifelület-csökkentési szabályok jelentésének a Microsoft Defender portálon való eléréséhez a következő engedélyek szükségesek:

Engedély típusa	Engedély	Engedély megjelenítendő neve
Alkalmazás	Machine.Read.All	Read all machine profiles
Delegált (munkahelyi vagy iskolai fiók)	Machine.Read	Read machine information

Engedélyeket a Microsoft Entra ID vagy a Microsoft Defender portál használatával rendelhet hozzá.

• A Microsoft Entra-azonosító használatához lásd: Microsoft Entra-szerepkörök hozzárendelése felhasználókhoz
• A Microsoft Defender portál használatához lásd: Felhasználói hozzáférés hozzárendelése.

Navigáljon a támadásifelület-csökkentési szabályok jelentéséhez

A támadásifelület-csökkentési szabályok jelentés összefoglaló kártyáinak navigálásához

1. Nyissa meg a Microsoft Defender XDR portált .
2. A bal oldali panelen kattintson aJelentések elemre, majd a fő szakasz Jelentések területén válassza a Biztonsági jelentés lehetőséget.
3. Görgessen le az Eszközök területre a támadásifelület-csökkentési szabályok összegző kártyáinak megkereséséhez.

Az ASR-szabályok összefoglaló jelentéskártyái az alábbi ábrán láthatók.

ASR-szabályok jelentésösszegző kártyái

Az ASR-szabályok jelentésének összegzése két kártyára van osztva:

• ASR-szabályészlelés összegző kártyája
• ASR-szabálykonfiguráció összegző kártyája

ASR-szabályok észlelésének összefoglaló kártyája

Az ASR-szabályok által blokkolt észlelt fenyegetések számának összegzését jeleníti meg.

Két "művelet" gombot biztosít:

• Észlelések megtekintése – megnyitja a Támadásifelület-csökkentési szabályok> fő Észlelések lapot
• Kizárások hozzáadása – Megnyitja a Támadásifelület-csökkentési szabályok> fő kizárásai lapot

A kártya tetején található ASR-szabályok észlelése hivatkozásra kattintva megnyílik a támadásifelület-csökkentési szabályok észlelésének fő lapja is.

ASR-szabályok konfigurációjának összefoglaló kártyája

A felső szakasz három ajánlott szabályra összpontosít, amelyek védelmet nyújtanak a gyakori támadási technikákkal szemben. Ez a kártya a szervezet azon számítógépeinek aktuális állapotadatait jeleníti meg, amelyeken a következő három (ASR) szabványos védelmi szabály van beállítva Letiltás módban, Naplózás módban vagy kikapcsolva (nincs konfigurálva). Az Eszközök védelme gomb csak a három szabály teljes konfigurációs adatait jeleníti meg; az ügyfelek gyorsan megtehetik a szükséges lépéseket a szabályok engedélyezéséhez.

Az alsó szakasz hat szabályt jelenít meg a nem védett eszközök szabályonkénti száma alapján. A "Konfiguráció megtekintése" gomb megjeleníti az összes ASR-szabály konfigurációs részleteit. A "Kizárás hozzáadása" gomb megjeleníti a Kizárás hozzáadása lapot, amelyen a Security Operation Center (SOC) kiértékelendő összes észlelt fájl-/folyamatneve megtalálható. A Kizárás hozzáadása oldal a Microsoft Intune-hoz van csatolva.

Két "művelet" gombot biztosít:

• Konfiguráció megtekintése – megnyitja a Támadásifelület-csökkentési szabályok> fő Észlelések lapját
• Kizárások hozzáadása – Megnyitja a Támadásifelület-csökkentési szabályok> fő kizárásai lapot

A kártya tetején található ASR-szabályok konfigurációs hivatkozására kattintva megnyílik a támadásifelület-csökkentési szabályok Konfiguráció lapja is.

Egyszerűsített szabványos védelmi lehetőség

A konfiguráció összegző kártyája egy gombot biztosít az Eszközök védelme a három szabványos védelmi szabmánnyal. A Microsoft legalább azt javasolja, hogy engedélyezze ezt a három támadásifelület-csökkentési szabványos védelmi szabályt:

• A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása
• A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása
• Adatmegőrzés letiltása a Windows Management Instrumentation (WMI) esemény-előfizetésen keresztül

A három szabványos védelmi szabály engedélyezése:

1. Válassza az Eszközök védelme lehetőséget. Megnyílik a fő Konfiguráció lap.
2. A Konfiguráció lapon az Alapszintű szabályok automatikusan a Minden szabály beállításról a Standard védelmi szabályokra váltanak.
3. Az Eszközök listában válassza ki azokat az eszközöket, amelyekre a szabványos védelmi szabályokat alkalmazni szeretné, majd válassza a Mentés lehetőséget.

A kártyán két másik navigációs gomb is található:

• Konfiguráció megtekintése – Megnyitja a Támadásifelület-csökkentési szabályok> fő Konfiguráció lapját.
• Kizárások hozzáadása – Megnyitja a Támadásifelület-csökkentési szabályok> fő Kizárások lapfülét .

A kártya tetején található ASR-szabályok konfigurációs hivatkozására kattintva megnyílik a támadásifelület-csökkentési szabályok Konfiguráció lapja is.

Támadásifelület-csökkentési szabályok fő lapjai

Bár az ASR-szabályok jelentésösszegző kártyái hasznosak az ASR-szabályok állapotának gyors összegzéséhez, a fő lapok részletesebb információkat nyújtanak a szűrési és konfigurációs képességekkel kapcsolatban:

• Detections tab
• Konfiguráció lap
• Kizárások lap

Keresési képességek

A keresési képesség hozzáadódik az Észlelés, a Konfiguráció és a Kizárás hozzáadása fő fülekhez. Ezzel a képességgel eszközazonosítóval, fájlnévvel vagy folyamatnévvel kereshet.

Szűrés

A szűréssel megadhatja, hogy milyen eredményeket ad vissza:

• A dátum lehetővé teszi, hogy dátumtartományt adjon meg az adateredményekhez.
• Szűrők

Megjegyzés:

Szabály szerinti szűrés esetén a jelentés alsó felében felsorolt egyes észlelt elemek száma jelenleg 200 szabályra korlátozódik. Az Exportálás funkcióval mentheti az észlelések teljes listáját az Excelbe.

Tipp

Mivel a szűrő jelenleg ebben a kiadásban működik, minden alkalommal, amikor "csoportosítást" szeretne végezni, először le kell görgetnie a lista utolsó észleléséhez a teljes adatkészlet betöltéséhez. Miután betöltötte a teljes adatkészletet, elindíthatja a "rendezés alapja" szűrést. Ha nem görget le a legutóbbi észlelésig, amelyet minden használatkor vagy a szűrési beállítások módosításakor (például az aktuális szűrőfuttatásra alkalmazott ASR-szabályok) módosít, akkor az eredmények helytelenek lesznek minden olyan eredmény esetén, amely a felsorolt észlelések egynél több megtekinthető oldalával rendelkezik.

Támadásifelület-csökkentési szabályok fő észlelési lapja

• Naplózási észlelések Azt mutatja, hogy a naplózási módban beállított szabályok hány fenyegetésészlelést rögzítettek.
• Letiltott észlelések Azt mutatja, hogy hány fenyegetésészlelést blokkoltak a letiltott módban beállított szabályok.
• Nagy, összevont grafikon Letiltott és naplózott észlelések megjelenítése.

A grafikonok észlelési adatokat biztosítanak a megjelenített dátumtartományon keresztül, és képesek rámutatni egy adott helyre a dátumspecifikus információk gyűjtéséhez.

A jelentés alsó szakasza az észlelt fenyegetéseket sorolja fel eszközönként az alábbi mezőkkel:

Mező neve	Definíció
Észlelt fájl	Lehetséges vagy ismert fenyegetést tartalmazó fájl
Észlelve:	A fenyegetés észlelésének dátuma
Letiltva/naplózva?	Azt jelzi, hogy az adott esemény észlelési szabálya Blokkolás vagy Naplózás módban volt-e
Szabály	Melyik szabály észlelte a fenyegetést?
Forrásalkalmazás	A jogsértő "észlelt fájl" hívását kezdeményező alkalmazás
Eszköz	Annak az eszköznek a neve, amelyen a naplózási vagy blokkolási esemény történt
Eszközcsoport	Az Active Directory-csoport, amelyhez az eszköz tartozik
Felhasználó	A hívásért felelős számítógépfiók
Publisher	Az adott .exe vagy alkalmazást kibocsátó vállalat

További információ az ASR-szabályok naplózásáról és blokkolási módjairól: Támadásifelület-csökkentési szabálymódok.

Végrehajtható úszó panel

Az "Észlelés" főoldal az elmúlt 30 napban észlelt összes észlelést (fájlt/folyamatot) tartalmazza. Válassza ki bármelyik észlelést a részletezési képességekkel való megnyitáshoz.

A Lehetséges kizárás és hatás szakasz a kijelölt fájl vagy folyamat hatását biztosítja. Képes vagy:

• Válassza a Go hunt lehetőséget , amely megnyitja a Speciális veszélyforrás-keresés lekérdezési oldalt
• A Fájl megnyitása lap megnyitja a Végponthoz készült Microsoft Defender észlelését
• A Kizárás hozzáadása gomb a Kizárás hozzáadása főoldalhoz van csatolva.

Az alábbi kép bemutatja, hogyan nyílik meg a Speciális veszélyforrás-keresés lekérdezési oldal a végrehajtható úszó panel hivatkozásából:

További információ a speciális veszélyforrás-keresésről: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel a Microsoft Defender XDR-ben

Támadásifelület-csökkentési szabályok fő konfigurációs lapja

Az ASR-szabályok fő Konfiguráció lapján összegző és eszközönkénti ASR-szabályok konfigurációs részletei találhatók. A Konfiguráció lapnak három fő szempontja van:

Alapszintű szabályok Az alapszintű szabályok és a Minden szabály közötti eredményváltás módszerét biztosítja. Alapértelmezés szerint az Alapszintű szabályok beállítás van kiválasztva.

Eszközkonfiguráció áttekintése Az eszközök aktuális pillanatképét adja meg az alábbi állapotok egyikében:

• Minden közzétett eszköz (hiányzó előfeltételekkel rendelkező eszközök, naplózási módban lévő szabályok, helytelenül konfigurált szabályok vagy nincsenek konfigurálva szabályok)
• Nem konfigurált szabályokkal rendelkező eszközök
• Szabályokkal rendelkező eszközök naplózási módban
• Letiltott módban lévő szabályokkal rendelkező eszközök

A Konfiguráció lap alsó, névtelen szakasza felsorolja az eszközök aktuális állapotát (eszközönként):

• Eszköz (név)
• Általános konfiguráció (azt jelzi, hogy valamelyik szabály be van-e kapcsolva, vagy az összes ki van-e kapcsolva)
• Letiltott módban lévő szabályok (az eszközönkénti szabályok száma letiltva)
• Szabályok naplózási módban (a szabályok száma naplózási módban)
• A szabályok ki vannak kapcsolva (ki vannak kapcsolva vagy nincsenek engedélyezve)
• Eszközazonosító (eszköz GUID azonosítója)

Ezek az elemek az alábbi ábrán láthatók.

ASR-szabályok engedélyezése:

1. Az Eszköz területen válassza ki azt az eszközt vagy eszközöket, amelyre ASR-szabályokat szeretne alkalmazni.
2. Az úszó ablakban ellenőrizze a beállításokat, majd válassza a Hozzáadás a szabályzathoz lehetőséget.

A Konfiguráció lap és a Szabály hozzáadása úszó panel az alábbi képen látható.

[MEGJEGYZÉS!] Ha olyan eszközökkel rendelkezik, amelyek különböző ASR-szabályokat igényelnek, ezeket az eszközöket egyenként kell konfigurálnia.

Támadásifelület-csökkentési szabályok Kizárások hozzáadása lap

A Kizárások hozzáadása lap az észlelések fájlnév szerinti rangsorolt listáját jeleníti meg, és egy metódust biztosít a kizárások konfigurálásához. Alapértelmezés szerint a Kizárások hozzáadása információ három mezőhöz van felsorolva:

• Fájlnév Az ASR-szabályeseményt kiváltó fájl neve.
• Nyomozás A megnevezett fájl észlelt eseményeinek teljes száma. Az egyes eszközök több ASR-szabályeseményt is aktiválhatnak.
• Eszközök Azon eszközök száma, amelyeken az észlelés történt.

Fontos

A fájlok vagy mappák kizárása súlyosan csökkentheti az ASR-szabályok által biztosított védelmet. A kizárt fájlok futtathatók, és a rendszer nem rögzít jelentést vagy eseményt. Ha az ASR-szabályok olyan fájlokat észlelnek, amelyekről úgy gondolja, hogy nem szabad észlelni, először a naplózási módot kell használnia a szabály teszteléséhez.

Amikor kiválaszt egy fájlt, megjelenik egy Összegzés & várható hatás , amely a következő típusú információkat jeleníti meg:

• Kijelölt fájlok A kizárásra kijelölt fájlok száma
• (hány) észlelés A kijelölt kizárás(ok) hozzáadása után várható csökkenést állapít meg az észlelésekben. Az észlelések számának csökkentése grafikusan jelenik meg a tényleges észlelések és a kizárások utáni észlelések esetében
• (az érintett eszközök száma) Azoknak az eszközöknek a várható csökkenését jelzi, amelyek a kijelölt kizárások észlelését jelentik.

A Kizárás hozzáadása lap két gombot tartalmaz az észlelt fájlokon (kijelölés után) használható műveletekhez. Képes vagy:

• Kizárás hozzáadása , amely megnyitja a Microsoft Intune ASR szabályzatoldalát. További információ: Intune az "ASR-szabályok alternatív konfigurációs módszereinek engedélyezése" című szakaszában.
• Kizárási útvonalak lekérése , amelyek csv formátumban töltik le a fájlelérési utakat

Lásd még

• Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése
• Támadásifelület-csökkentési szabályok üzembe helyezésének megtervezése
• Támadásifelület-csökkentési szabályok tesztelése
• Támadásifelület-csökkentési szabályok engedélyezése
• Támadásifelület-csökkentési szabályok üzembe helyezése
• Támadásifelület-csökkentési (ASR) szabályok jelentése
• Támadásifelület-csökkentési szabályok referenciája

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.