Támadásifelület-csökkentési szabályok tesztelése
Érintett szolgáltatás:
A Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályok tesztelésével megállapíthatja, hogy a szabályok akadályozzák-e az üzletági műveleteket a szabályok engedélyezése előtt. Egy kisebb, ellenőrzött csoporttal kezdve korlátozhatja a lehetséges munkakimaradásokat, miközben kibővíti az üzemelő példányt a teljes szervezetben.
A támadásifelület-csökkentési szabályok üzembehelyezési útmutatójának ebben a szakaszában a következő lépéseket sajátíthatja el:
- szabályok konfigurálása a Microsoft Intune használatával
- Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályok jelentéseinek használata
- támadásifelület-csökkentési szabályok kizárásainak konfigurálása
- támadásifelület-csökkentési szabályok engedélyezése a PowerShell használatával
- eseménymegtekintő használata támadásifelület-csökkentési szabályok eseményeihez
Megjegyzés:
A támadásifelület-csökkentési szabályok tesztelésének megkezdése előtt javasoljuk, hogy először tiltsa le az összes olyan szabályt, amelyet korábban naplózásra vagy engedélyezésre állított be (ha van). A támadásifelület-csökkentési szabályok letiltásáról a Támadásifelület-csökkentési szabályok jelentéssel kapcsolatos információkért lásd: Támadásifelület-csökkentési szabályok jelentése.
Indítsa el a támadásifelület-csökkentési szabályok üzembe helyezését az 1. körrel.
1. lépés: Támadásifelület-csökkentési szabályok tesztelése naplózással
Kezdje a tesztelési fázist úgy, hogy bekapcsolja a támadásifelület-csökkentési szabályokat a Naplózás beállítással, kezdve a bajnok felhasználókkal vagy az 1. körben lévő eszközökkel. Általában azt javasoljuk, hogy engedélyezze az összes szabályt (a naplózásban), hogy megállapíthassa, mely szabályok aktiválódnak a tesztelési fázisban. A Naplózás beállítású szabályok általában nem befolyásolják annak az entitásnak vagy entitásnak a működését, amelyre a szabály vonatkozik, de naplózott eseményeket hoznak létre a kiértékeléshez; nincs hatása a végfelhasználókra.
Támadásifelület-csökkentési szabályok konfigurálása Intune
A Microsoft Intune Endpoint Security használatával egyéni támadásifelület-csökkentési szabályokat konfigurálhat.
Nyissa meg a Microsoft Intune Felügyeleti központot.
Lépjen az Endpoint Security>támadási felületének csökkentésére.
Válassza Létrehozás Házirend lehetőséget.
A Platform területen válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget, majd a Profil területen válassza a Támadásifelület-csökkentési szabályok lehetőséget.
Válassza a Létrehozás lehetőséget.
A Létrehozás profilpanelAlapvető beállítások lapján, a Név területen adjon nevet a szabályzatnak. A Leírás területen adja meg a támadásifelület-csökkentési szabályok szabályzatának leírását.
A Konfigurációs beállítások lap Támadásifelület-csökkentési szabályok területén állítsa az összes szabályt Naplózás módra.
Megjegyzés:
Egyes támadásifelület-csökkentési szabályok módlistáiban vannak eltérések; A Letiltva és az Engedélyezve ugyanazt a funkciót biztosítja.
[Nem kötelező] A Hatókörcímkék panelen címkeinformációkat adhat hozzá adott eszközökhöz. Szerepköralapú hozzáférés-vezérlési és hatókörcímkék használatával gondoskodhat arról, hogy a megfelelő rendszergazdák a megfelelő hozzáféréssel és láthatóságmal rendelkezzenek a megfelelő Intune objektumokhoz. További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz Intune.
A Hozzárendelések panelen telepítheti vagy "hozzárendelheti" a profilt a felhasználói vagy eszközcsoportjaihoz. További információ: Eszközprofilok hozzárendelése a Microsoft Intune
Megjegyzés:
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
Tekintse át a beállításokat a Felülvizsgálat + létrehozás panelen. Kattintson Létrehozás a szabályok alkalmazásához.
A támadásifelület-csökkentési szabályokra vonatkozó új támadásifelület-csökkentési szabályzat a Végpontbiztonság | Támadási felület csökkentése.
2. lépés: A támadásifelület-csökkentési szabályok jelentési oldalának megismerése a Microsoft Defender portálon
A támadásifelület-csökkentési szabályok jelentési oldala a Microsoft Defender portál>Támadásifelület-csökkentési szabályokjelentésében> található. Ennek a lapnak három lapja van:
- Nyomozás
- Konfiguráció
- Kizárások hozzáadása
Detections tab
30 napos ütemtervet biztosít az észlelt naplózási és letiltott eseményekről.
A támadásifelület-csökkentési szabályok panelen szabályonként tekintheti át az észlelt eseményeket.
Megjegyzés:
A támadásifelület-csökkentési szabályok jelentéseiben van néhány eltérés. A Microsoft folyamatosan frissíti a támadásifelület-csökkentési szabályok jelentéseinek viselkedését, hogy egységes élményt nyújtson.
Válassza az Észlelések megtekintése lehetőséget az Észlelések lap megnyitásához.
A GroupBy és a Filter panel a következő lehetőségeket biztosítja:
A GroupBy a következő csoportokra állítva adja vissza az eredményeket:
- Nincs csoportosítás
- Észlelt fájl
- Naplózás vagy letiltás
- Szabály
- Forrásalkalmazás
- Eszköz
- Felhasználó
- Publisher
Megjegyzés:
Szabály szerinti szűrés esetén a jelentés alsó felében felsorolt egyes észlelt elemek száma jelenleg 200 szabályra korlátozódik. Az Exportálás funkcióval mentheti az észlelések teljes listáját az Excelbe.
A Szűrő megnyitja a Szűrés szabályokon lapot, amely lehetővé teszi, hogy az eredményeket csak a kiválasztott támadásifelület-csökkentési szabályokra terjedjen ki:
Megjegyzés:
Ha Microsoft Microsoft 365 Security E5 vagy A5, Windows E5 vagy A5 licenccel rendelkezik, az alábbi hivatkozás megnyitja a Microsoft Defender 365-jelentések >Támadásifelület-csökkentés> észlelések lapját.
Konfiguráció lap
Listák – számítógépenként – a támadásifelület-csökkentési szabályok összesített állapotát: Off, Audit, Block.
A Konfigurációk lapon eszközönként ellenőrizheti, hogy mely támadásifelület-csökkentési szabályok vannak engedélyezve, és milyen módban, ha kiválasztja azt az eszközt, amelyre vonatkozóan ellenőrizni szeretné a támadásifelület-csökkentési szabályokat.
Az Első lépések hivatkozás megnyitja a Microsoft Intune Felügyeleti központot, ahol végpontvédelmi szabályzatot hozhat létre vagy módosíthat a támadási felület csökkentéséhez:
Végpontbiztonság | Áttekintés, válassza a Támadási felület csökkentése lehetőséget:
Az Endpoint Security | Megnyílik a Támadási felület csökkentése panel:
Megjegyzés:
Ha Microsoft Defender 365 E5 (vagy Windows E5?) licenccel rendelkezik, ez a hivatkozás megnyitja a Microsoft Defender 365 Reports > Attack surface reductions Configurations (Támadásifelület-csökkentési konfigurációk>) lapot.
Kizárások hozzáadása
Ez a lap egy metódust biztosít az észlelt entitások (például hamis pozitívak) kizárásra való kiválasztásához. Kizárások hozzáadásakor a jelentés összefoglalja a várható hatást.
Megjegyzés:
Microsoft Defender víruskereső AV-kizárásait a támadásifelület-csökkentési szabályok betartják. Lásd: Kizárások konfigurálása és érvényesítése bővítmény, név vagy hely alapján.
Megjegyzés:
Ha Microsoft Defender 365 E5 (vagy Windows E5?) licenccel rendelkezik, ez a hivatkozás megnyitja a Microsoft Defender 365 Reports > Attack surface reductions Exclusions (Támadásifelület-csökkentési kizárások>) lapot.
A támadásifelület-csökkentési szabályok jelentésének használatával kapcsolatos további információkért lásd: Támadásifelület-csökkentési szabályok jelentései.
Támadásifelület-csökkentés szabályonkénti kizárásainak konfigurálása
A támadásifelület-csökkentési szabályok mostantól lehetővé teszik a szabályspecifikus kizárások konfigurálását, más néven "szabálykizárásonként".
Megjegyzés:
A szabályonkénti kizárások jelenleg nem konfigurálhatók PowerShell vagy Csoportházirend használatával.
Adott szabálykizárások konfigurálása:
Nyissa meg a Microsoft Intune Felügyeleti központot, és lépjen az Otthoni>végpont biztonsági>támadási felületének csökkentése elemre.
Ha még nincs konfigurálva, állítsa be a szabályt, amelynek kizárásait Naplózás vagy Letiltás értékre szeretné állítani.
Az ASR csak szabálykizárásonként területen kattintson a kapcsolóra a Nincs konfigurálva értékről a Konfigurálva értékre való váltáshoz.
Adja meg a kizárni kívánt fájlok vagy alkalmazások nevét.
A Létrehozás profil varázsló alján válassza a Tovább gombot, és kövesse a varázsló utasításait.
Tipp
A kizárási bejegyzések listája melletti jelölőnégyzetekkel jelölje ki a Törlés, Rendezés, Importálás vagy Exportálás elemet.
Támadásifelület-csökkentési szabályok engedélyezése a PowerShell alternatív módszereként
A PowerShellt – a Intune alternatívaként – használhatja a támadásifelület-csökkentési szabályok naplózási módban való engedélyezéséhez, hogy megtekintse azokat az alkalmazásokat, amelyek blokkolva lettek volna, ha a funkció teljes mértékben engedélyezve lett volna. Azt is megtudhatja, hogy a szabályok milyen gyakran aktiválódnak a normál használat során.
A támadásifelület-csökkentési szabály naplózási módban való engedélyezéséhez használja a következő PowerShell-parancsmagot:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Ahol <rule ID>
a támadásifelület-csökkentési szabály GUID-értéke.
Az összes hozzáadott támadásifelület-csökkentési szabály naplózási módban való engedélyezéséhez használja a következő PowerShell-parancsmagot:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
Tipp
Ha teljes körűen szeretné naplózni a támadásifelület-csökkentési szabályok működését a szervezetben, egy felügyeleti eszközzel kell üzembe helyeznie ezt a beállítást a hálózat(ok) eszközein.
A beállítás konfigurálásához és üzembe helyezéséhez Csoportházirend, Intune vagy mobileszköz-kezelési (MDM) konfigurációs szolgáltatókat (CSP-ket) is használhat. További információt a támadásifelület-csökkentési szabályokról szóló fő cikkben talál.
A Windows eseménymegtekintő Review használata a támadásifelület-csökkentési szabályok jelentési oldalának alternatívaként a Microsoft Defender portálon
A letiltott alkalmazások áttekintéséhez nyissa meg a eseménymegtekintő, és szűrjön az 1121-as eseményazonosítóra a Microsoft-Windows-Windows Defender/Operational naplóban. Az alábbi táblázat felsorolja az összes hálózatvédelmi eseményt.
Eseményazonosító | Leírás |
---|---|
5007 | A beállítások módosításának eseménye |
1121 | Esemény, amikor egy támadásifelület-csökkentési szabály blokk módban aktiválódik |
1122 | Esemény, amikor egy támadásifelület-csökkentési szabály naplózási módban aktiválódik |
Az üzembe helyezési gyűjtemény további cikkei
Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése
Támadásifelület-csökkentési szabályok üzembe helyezésének megtervezése
Támadásifelület-csökkentési szabályok engedélyezése
Támadásifelület-csökkentési szabályok üzembe helyezése
Támadásifelület-csökkentési szabályok referenciája
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.