Report delle regole di riduzione della superficie di attacco (ASR) nel portale di Microsoft Defender

  • Si applica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Il report sulle regole di riduzione della superficie di attacco (ASR) fornisce informazioni dettagliate sulle regole applicate ai dispositivi all'interno dell'organizzazione. Ad esempio:

Il report offre un'interfaccia facile da usare che consente di completare le attività seguenti:

  • Visualizzare i rilevamenti delle minacce.
  • Visualizzare la configurazione delle regole asr.
  • Aggiungere e gestire le esclusioni.
  • Raccogliere informazioni dettagliate.

Per altre informazioni sulle regole asr, vedere Panoramica delle regole di riduzione della superficie di attacco .

Prerequisiti

Sistemi operativi supportati

Autorizzazioni di accesso al report

Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato: operazioni di sicurezza \ Dati di sicurezza \ Nozioni di base sui dati di sicurezza (lettura).Microsoft Defender XDR Unified role based access control (RBAC): Security operations \ Security data \ Security data basics (read).

  • Autorizzazioni di Defender per endpoint (disponibili nelle organizzazioni create prima di febbraio 2025): visualizzarele operazioni di sicurezza deidati>.

  • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

    Importante

    Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Pagina del report Regole di riduzione della superficie di attacco

Nel portale di Microsoft Defender in https://security.microsoft.compassare alla scheda >Report>endpointregole di riduzione della superficie di attacco. In alternativa, per passare direttamente alla pagina del report Regole di riduzione della superficie di attacco, usare .https://security.microsoft.com/asr

Nella pagina del report Regole di riduzione della superficie di attacco sono disponibili le schede seguenti:

Scheda Rilevamenti

La scheda Rilevamenti è la scheda predefinita della pagina. Per passare direttamente alla scheda Rilevamenti del report sulle regole di riduzione della superficie di attacco, usare https://security.microsoft.com/asr o .https://security.microsoft.com/asr?viewid=detections

Screenshot che mostra la pagina del report Regole di riduzione della superficie di attacco nel portale di Microsoft Defender.

Per impostazione predefinita, le informazioni sulla regola ASR nella pagina usano i filtri seguenti:

  • Regole: il valore Standard protezione è selezionato per impostazione predefinita per visualizzare solo i dati per le regole di protezione standard, ma è possibile modificare il valore in Tutti per visualizzare i dati per tutte le regole asr.

  • Data: l'intervallo di date degli ultimi 30 giorni è selezionato per impostazione predefinita, ma è possibile modificare i valori ora di inizio e ora di fine in un intervallo negli ultimi 30 giorni.

  • Selezionare le regole*: il valore Any è selezionato per impostazione predefinita, ma è possibile modificare il valore in base al valore di filtro Regole :

    • Standard protezione: selezionare una o più regole di protezione standard nell'elenco a discesa.
    • Tutto: selezionare una o più regole asr (incluse le regole di protezione standard) nell'elenco a discesa.

È possibile usare i filtri aggiuntivi seguenti che non sono configurati per impostazione predefinita selezionando Aggiungi filtro e quindi selezionando tra le opzioni disponibili. Dopo aver visualizzato il filtro nella parte superiore della scheda, è possibile configurare le selezioni per il filtro:

  • Gruppo di dispositivi*: selezionare uno o più gruppi di dispositivi disponibili.
  • Bloccato/controllato?: selezionare Controllato o bloccato.

* Se si selezionano tutti i valori disponibili o nessun valore per questo filtro, vengono visualizzati gli stessi risultati.

Per rimuovere un filtro, selezionare Cancella. Per reimpostare tutti i filtri, selezionare Reimposta tutto.

Sotto i filtri e sopra il grafico vengono visualizzate le informazioni seguenti:

  • Rilevamenti di controllo: numero di rilevamenti di minacce da parte delle regole asr in modalità di controllo usando i filtri specificati.

  • Rilevamenti bloccati: numero di rilevamenti di minacce da parte delle regole asr in modalità blocco usando i filtri specificati.

    Per altre informazioni sulla modalità di controllo e la modalità blocco , vedere Modalità regola ASR.

Il grafico mostra i rilevamenti controllati e bloccati al giorno nell'intervallo di date selezionato. Passare il puntatore dei dati per un giorno specifico per visualizzare i conteggi di controllo o blocco in base ai filtri correnti.

La tabella dei dettagli sotto il grafico contiene le informazioni seguenti:

  • File rilevato: il file ha determinato che contiene una minaccia possibile o nota.
  • Rilevato in: data in cui è stata rilevata la minaccia.
  • Blocked/Audited?: indica se la regola di rilevamento per l'evento specifico è in modalità Blocco o Controllo .
  • Regola: regola che ha rilevato la minaccia.
  • App di origine: l'applicazione che ha effettuato la chiamata al file rilevato.
  • Dispositivo: nome del dispositivo in cui si è verificato l'evento Audit o Block .
  • Gruppo di dispositivi: gruppo di dispositivi a cui appartiene il dispositivo.
  • Utente: account responsabile dell'app di origine che apre il file rilevato , SYSTEM ad esempio per l'account NT AUTHORITY\SYSTEM.
  • Server di pubblicazione: società che ha pubblicato l'app.

Selezionare un'intestazione di colonna da ordinare in base a tale valore.

La casella Di ricerca è disponibile per cercare le voci nella tabella dei dettagli in base all'ID dispositivo, al nome file o al nome del processo.

GroupBy è disponibile per raggruppare le informazioni nella tabella dei dettagli con le opzioni seguenti:

  • Nessun raggruppamento (impostazione predefinita)
  • File rilevato
  • Controllo o blocco
  • Regola
  • App di origine
  • Dispositivo
  • Gruppo di dispositivi
  • Utente
  • Server Editore

Consiglio

Attualmente, per usare GroupBy, è necessario scorrere fino all'ultima voce di rilevamento nell'elenco per caricare il set di dati completo. È quindi possibile usare GroupBy. In caso contrario, i risultati non sono corretti per qualsiasi risultato con più pagine visualizzabili di rilevamenti elencati.

Attualmente, il numero di singoli elementi rilevati elencati nella tabella dei dettagli è limitato a 200 regole. Usare Esporta per salvare l'elenco completo dei rilevamenti in un file CSV.

Per visualizzare tutte le regole asr attivate in Defender per endpoint Piano 2, usare la tabella DeviceEvents nella ricerca avanzata.

Dettagli del file rilevato

Quando si seleziona un evento di rilevamento dalla tabella dei dettagli nella scheda Rilevamenti della pagina del report Regole di riduzione della superficie di attacco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al valore del file rilevato , viene aperto un riquadro a comparsa Dettagli informazioni file con le informazioni seguenti:

  • Sezione Rilevamenti :

    Questa sezione mostra una versione più piccola del grafico nella pagina principale filtrata in base al rilevamento delle regole asr per il file.

    In questa sezione sono disponibili le azioni seguenti:

    • Vai a caccia: in Defender per Endpoint Piano 2 questa azione apre la pagina query di ricerca avanzata con il nome file rilevato specificato nella query. Ad esempio, per il file conhost.exe, la query è simile alla seguente:

      DeviceEvents
    | where Timestamp >= ago(1d)
    | where FileName == 'conhost.exe'
    | where ActionType startswith 'Asr'
    | extend ParsedFields=parse_json(AdditionalFields)
    | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
    | take 1000

      Per altre informazioni sulla ricerca avanzata, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.

    • Aprire la pagina del file: apre il file nella pagina dell'entità file per il file rilevato in Defender per endpoint.

  • Sezione Possibili esclusioni e impatto : mostra i dettagli sui rilevamenti del file in base alle regole asr negli ultimi 30 giorni (il numero totale di rilevamenti e la percentuale).

  • Aggiungere esclusioni nella parte inferiore del riquadro a comparsa apre l'interfaccia di amministrazione Microsoft Intune. Per altre informazioni sulla configurazione delle esclusioni per le regole asr, vedere Configurare le regole di riduzione della superficie di attacco e le esclusioni.

Screenshot che mostra il riquadro a comparsa Dettagli informazioni file dopo aver selezionato una voce nella tabella dei dettagli nella scheda Rilevamenti del report Regole di riduzione della superficie di attacco.

Scheda Configurazione

Per passare direttamente alla scheda Configurazione della pagina del report Regole di riduzione della superficie di attacco, usare .https://security.microsoft.com/asr?viewid=configuration

Screenshot della scheda Configurazione della pagina del report Regole di riduzione della superficie di attacco nel portale di Microsoft Defender.

La scheda Configurazione fornisce informazioni di riepilogo e di configurazione della regola ASR per dispositivo.

Le regole consentono di filtrare i risultati nella sezione Panoramica della configurazione del dispositivo . Per impostazione predefinita, Standard protezione è selezionata per visualizzare solo i dati per le regole di protezione standard, ma è possibile passare a Tutto per visualizzare i dati per tutte le regole asr.

La sezione Panoramica della configurazione del dispositivo mostra i totali per gli stati delle regole asr in base alla protezione Standard o al filtro Tutti:

  • Tutti i dispositivi esposti: numero di dispositivi con regole asr non configurate.
  • Numero di dispositivi con regole non configurate
  • Numero di dispositivi con regole in modalità di controllo
  • Numero di dispositivi con regole in modalità blocco

La tabella dei dettagli mostra le informazioni seguenti per ogni dispositivo interessato:

  • Dispositivo: nome del dispositivo.

  • Configurazione complessiva: riepiloga la condizione di tutte le regole asr nel dispositivo. Ad esempio:

    • Regole in modalità blocco: alcune regole nel dispositivo sono in modalità blocco .
    • Regole disattivate: alcune regole nel dispositivo sono disattivate.

  • Regole in modalità blocco

  • Regole in modalità di controllo

  • Regole in modalità di avviso

    Per altre informazioni sulle diverse modalità delle regole asr, vedere Modalità regola ASR.

  • Regole disattivate

  • Regole non applicabili: ad esempio, la regola Blocca la creazione di WebShell per server nelle workstation client.

  • Unknown

  • ID dispositivo: identificatore univoco del valore hash SHA-1 per il dispositivo in Microsoft Defender per endpoint. Per altre informazioni, vedere Tipo di risorsa computer.

Selezionare un'intestazione di colonna da ordinare in base a tale valore.

Usare la casella di ricerca per trovare un dispositivo specifico nella tabella dei dettagli in base al valore Device o Device ID .Use the Search box to find a specific device in the details table by Device or Device ID value. Sono supportate corrispondenze parziali.

Dettagli del dispositivo

Quando si seleziona una voce del dispositivo nella tabella dei dettagli nella scheda Configurazione della pagina del report Regole di riduzione della superficie di attacco facendo clic in un punto qualsiasi della riga, viene aperto un riquadro a comparsa dei dettagli del dispositivo con le informazioni seguenti:

  • Elenco di tutte le regole asr disponibili e dei relativi stati nel dispositivo:

  • Disattivato

  • Audit

  • Blocca

  • Avvertire

  • Non applicabile

  • Aggiungi ai criteri nella parte inferiore del riquadro a comparsa apre l'interfaccia di amministrazione Microsoft Intune. Per altre informazioni sui diversi modi per configurare le regole asr, vedere Metodi di distribuzione e configurazione per le regole asr.

Screenshot del riquadro a comparsa dei dettagli dei dispositivi per un dispositivo dalla scheda Configurazione della pagina del report Regole di riduzione della superficie di attacco.

Scheda Aggiungi esclusioni

Importante

L'esclusione di file o cartelle può ridurre notevolmente la protezione fornita dalle regole asr. I file esclusi possono essere eseguiti e non viene registrato alcun report o evento.

Se le regole asr rilevano file che si ritiene non debbano essere rilevati, è consigliabile passare alla modalità di controllo per l'analisi.

Per passare direttamente alla scheda Aggiungi esclusioni della pagina del report Regole di riduzione della superficie di attacco, usare .https://security.microsoft.com/asr?viewid=exclusions

Screenshot della scheda Aggiungi esclusioni della pagina del report Regole di riduzione della superficie di attacco nel portale di Microsoft Defender.

La scheda Aggiungi esclusioni elenca i rilevamenti di file in base alle regole asr in tutti i dispositivi.

Filtro > Regole o filtro consente di filtrare i risultati nella pagina. Per impostazione predefinita, Standard protezione è selezionata per visualizzare solo i dati per le regole di protezione standard, ma è possibile passare a Tutto per visualizzare i dati per tutte le regole asr.

La tabella dei dettagli mostra le informazioni seguenti:

  • Nome file: nome del file che ha attivato l'evento della regola asr.
  • Rilevamenti: numero totale di eventi rilevati per il file. I singoli dispositivi possono attivare più eventi della regola asr.
  • Dispositivi: numero di dispositivi in cui si è verificato il rilevamento.

Selezionare un'intestazione di colonna da ordinare in base a tale valore.

Utilizzare la casella di ricerca per trovare le voci in base al nome file.

Riepilogo & riquadro di impatto previsto

Quando si selezionano una o più voci di file nella tabella dei dettagli nella scheda Aggiungi esclusioni del report Regole di riduzione della superficie di attacco selezionando le caselle di controllo accanto alla colonna Nome file , il riquadro Riepilogo & impatto previsto contiene informazioni e azioni per i file selezionati:

  • Sezione riepilogo : numero di file selezionati.

  • <Sezione n> rilevamenti : cosa accadrà ai rilevamenti delle regole asr per i file selezionati se li escludi dalle regole asr:

    • Numero di rilevamenti di regole esclusi (<n> rilevamenti inferiori dopo le esclusioni)
    • Grafico che mostra il numero di rilevamenti e rilevamenti effettividopo le esclusioni.

  • <Sezione n> dispositivi interessati: cosa accadrà ai rilevamenti delle regole asr nei dispositivi se si escludono i file selezionati dalle regole asr:

    • <n> dispositivi interessati: numero di dispositivi interessati (<n> meno dispositivi dopo esclusioni)
    • Grafico che mostra il numero di dispositivi che continuano ad avere rilevamenti e non hanno più rilevamenti.

  • Nella parte inferiore del riquadro Riepilogo & impatto previsto sono disponibili le azioni seguenti:

    • Aggiungi esclusioni: apre l'interfaccia di amministrazione Microsoft Intune. Per altre informazioni sui diversi modi per escludere file e cartelle dalle regole asr, vedere Esclusioni di file e cartelle per le regole asr.

    • Ottenere i percorsi di esclusione selezionati: genera un AsrExclusionPaths.csv file con i percorsi completi dei file interessati per il download.

Screenshot che mostra la scheda Aggiungi esclusioni della pagina del report Regole di riduzione della superficie di attacco con le voci di file selezionate.

Contenuto correlato

  • Last updated on