Támadásifelület-csökkentési szabályok üzembe helyezése

  • Cikk

Érintett szolgáltatás:

A támadásifelület-csökkentési szabályok teljes körű üzembe helyezése után létfontosságú, hogy rendelkezzen az ASR-hez kapcsolódó tevékenységek monitorozására és az azokra való reagálásra vonatkozó folyamatokkal. A tevékenységek közé tartoznak a következők:

ASR-szabályok téves pozitívok kezelése

Hamis pozitív/negatív értékek bármilyen veszélyforrások elleni védelmi megoldás esetén előfordulhatnak. A téves riasztások olyan esetek, amikor egy entitást (például egy fájlt vagy folyamatot) észlelnek és rosszindulatúként azonosítanak, bár az entitás valójában nem fenyegetés. Ezzel szemben a hamis negatív egy olyan entitás, amelyet nem észleltek fenyegetésként, de rosszindulatúak. További információ a téves pozitívokról és a hamis negatívakról: A téves pozitívok/negatívok kezelése a Végponthoz készült Microsoft Defender

Az ASR-szabályok jelentéseinek naprakészen tartása

A jelentések konzisztens, rendszeres áttekintése alapvető szempont a támadásifelület-csökkentési szabályok üzembe helyezésének fenntartásában és az újonnan felmerülő fenyegetések fenntartásában. A szervezetnek olyan ütemezés szerint kell felülvizsgálnia a támadásifelület-csökkentési szabályok eseményeit, amelyek naprakészek maradnak a támadásifelület-csökkentési szabályok által jelentett eseményekkel. A szervezet méretétől függően a felülvizsgálatok lehetnek napi, óránkénti vagy folyamatos figyelés.

ASR-szabályok – Speciális veszélyforrás-keresés

A Microsoft Defender XDR egyik legerősebb jellemzője a fejlett vadászat. Ha nem ismeri a speciális veszélyforrás-keresést, tekintse meg a következő témakört: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

A Speciális veszélyforrás-keresés lap a Microsoft Defender portálon. Végponthoz készült Microsoft Defender speciális veszélyforrás-keresésben használt támadásifelület-csökkentési szabályok

A speciális veszélyforrás-keresés egy lekérdezésalapú (Kusto lekérdezésnyelv) veszélyforrás-keresési eszköz, amellyel akár 30 napnyi rögzített adat feltárható. A speciális veszélyforrás-kereséssel proaktívan megvizsgálhatja az eseményeket, hogy érdekes mutatókat és entitásokat találjon. Az adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és a potenciális fenyegetések korlátozás nélküli keresését.

A speciális veszélyforrás-kereséssel kinyerheti a támadásifelület-csökkentési szabályok adatait, jelentéseket hozhat létre, és részletes információkat kaphat egy adott támadásifelület-csökkentési szabály naplózásával vagy blokkolási eseményével kapcsolatban.

A támadásifelület-csökkentési szabályeseményeket a Microsoft Defender portál speciális veszélyforrás-keresés szakaszának DeviceEvents táblájából kérdezheti le. Az alábbi lekérdezés például bemutatja, hogyan jelentheti az összes olyan eseményt, amely a támadásifelület-csökkentési szabályokkal rendelkezik adatforrásként az elmúlt 30 napra vonatkozóan. A lekérdezés ezután az ActionType száma alapján összegzi a támadásifelület-csökkentési szabály nevét.

A támadásifelület-csökkentési események a keresési portálon óránként látható egyedi folyamatokra vannak szabályozva. A támadásifelület-csökkentési esemény időpontja az első alkalom, amikor az esemény az adott órán belül látható.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

A Speciális veszélyforrás-keresési lekérdezés eredménye a Microsoft Defender portálon

A fentiekben látható, hogy 187 esemény lett regisztrálva az AsrLsassCredentialTheft esetében:

  • 102 letiltva
  • 85 auditált
  • Két esemény az AsrOfficeChildProcess esetében (1 naplózva és 1 a blokkoláshoz)
  • Nyolc esemény az AsrPsexecWmiChildProcessAudited eseményhez

Ha az AsrOfficeChildProcess szabályra szeretne összpontosítani, és részletes információkat szeretne kapni az érintett fájlokról és folyamatokról, módosítsa az ActionType szűrőt, és cserélje le az összegző sort a kívánt mezők leképezésére (ebben az esetben DeviceName, FileName, FolderPath stb.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

A Speciális veszélyforrás-keresési lekérdezés a Microsoft Defender portálon

A speciális veszélyforrás-keresés igazi előnye, hogy a lekérdezéseket tetszése szerint alakíthatja. A lekérdezés alakításával pontosan láthatja, hogy mi történt, függetlenül attól, hogy egy adott gépen szeretne-e valamit kiemelni, vagy a teljes környezetből szeretne elemzéseket kinyerni.

További információ a veszélyforrás-keresési lehetőségekről: Támadásifelület-csökkentési szabályok demystifying – 3. rész.

Cikkek ebben az üzembe helyezési gyűjteményben

Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése

Támadásifelület-csökkentési szabályok üzembe helyezésének megtervezése

Támadásifelület-csökkentési szabályok tesztelése

Támadásifelület-csökkentési szabályok engedélyezése

Támadásifelület-csökkentési szabályok referenciája

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.