Condividi tramite

Report delle regole di riduzione della superficie di attacco

  • Si applica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Il report Regole di riduzione della superficie di attacco fornisce informazioni dettagliate sulle regole applicate ai dispositivi all'interno dell'organizzazione. Inoltre, questo report offre informazioni su:

  • Minacce rilevate
  • Minacce bloccate
  • Dispositivi non configurati per l'uso delle regole di protezione standard per bloccare le minacce

Inoltre, il report offre un'interfaccia facile da usare che consente di:

  • Visualizzare i rilevamenti delle minacce
  • Visualizzare la configurazione delle regole asr
  • Configurare (aggiungere) esclusioni
  • Drill-down per raccogliere informazioni dettagliate

Per visualizzare i report, sono disponibili le opzioni seguenti:

Per altre informazioni sulle singole regole di riduzione della superficie di attacco, vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco.

Prerequisiti

  • Per accedere al report sulle regole di riduzione della superficie di attacco, sono necessarie autorizzazioni di lettura per il portale di Microsoft Defender.
  • Per visualizzare Windows Server 2012 R2 e Windows Server 2016 nel report delle regole di riduzione della superficie di attacco, è necessario eseguire l'onboarding di questi dispositivi usando il pacchetto di soluzione unificata moderno. Per altre informazioni, vedere Nuove funzionalità nella soluzione unificata moderna per Windows Server 2012 R2 e 2016.

Sistemi operativi supportati

  • Windows

Autorizzazioni di accesso al report

Per accedere al report sulle regole di riduzione della superficie di attacco nel portale di Microsoft Defender, sono necessarie le autorizzazioni seguenti:

Nome autorizzazione Tipo di autorizzazione
Visualizzare i dati Operazioni di sicurezza

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per assegnare queste autorizzazioni:

  1. Accedere al portale di Microsoft Defender.

  2. Nel riquadro di spostamento selezionare Impostazioni>Ruoliendpoint> (in Autorizzazioni).

  3. Selezionare il ruolo da modificare e quindi selezionare Modifica.

  4. In Modifica ruolo, nella scheda Generale , in Nome ruolo digitare un nome per il ruolo.

  5. In Descrizione digitare un breve riepilogo del ruolo.

  6. In Autorizzazioni selezionare Visualizza dati e in Visualizza dati selezionare Operazioni di sicurezza.

<a name='navigate-to-the-attack-surface-reduction-rules-report>

Schede di riepilogo del report asr nella sezione Dispositivi del report sicurezza

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Report>generaliReport sulla sicurezza. In alternativa, per passare direttamente alla pagina dei report di sicurezza, usare https://security.microsoft.com/reports.

  2. Nella pagina Report di sicurezza individuare la sezione Dispositivi che contiene le schede di riepilogo del report delle regole asr:

Mostra le schede di riepilogo del report delle regole asr

Il riepilogo del report delle regole asr è suddiviso in due schede:

Scheda di riepilogo dei rilevamenti delle regole asr

La scheda di riepilogo dei rilevamenti delle regole asr mostra un riepilogo del numero di minacce rilevate bloccate dalle regole asr. Questa scheda include due pulsanti di azione:

  • Visualizza rilevamenti: apre la scheda Rilevamenti
  • Aggiungi esclusioni: apre la scheda Esclusioni

Screenshot che mostra la scheda rilevamenti riepilogativi del report delle regole asr.

Selezionando il collegamento Rilevamenti regole ASR nella parte superiore della scheda viene aperta anche la scheda Rilevamenti delle regole di riduzione della superficie di attacco principale.

Scheda di riepilogo della configurazione delle regole asr

La sezione superiore è incentrata su tre regole consigliate, che proteggono dalle tecniche di attacco comuni. Questa scheda mostra le informazioni sullo stato corrente dei computer dell'organizzazione che hanno le seguenti regole di protezione standard three (ASR) impostate in modalità blocco, modalità di controllo o disattivata (non configurata). Il pulsante Proteggi dispositivi mostra i dettagli completi della configurazione solo per le tre regole; i clienti possono intervenire rapidamente per abilitare queste regole.

La sezione inferiore presenta sei regole in base al numero di dispositivi non protetti per regola. Il pulsante Visualizza configurazione visualizza tutti i dettagli di configurazione per tutte le regole asr. Il pulsante Aggiungi esclusioni mostra la pagina aggiungi esclusione con tutti i nomi di file/processi rilevati elencati per il Centro operativo di sicurezza (SOC) da valutare.The Add exclusions button shows the add exclusion page with all detected file/process names listed for Security Operation Center (SOC) to evaluate. La pagina Aggiungi esclusione è collegata a Microsoft Intune.

La scheda include anche due pulsanti di azione:

  • Visualizza configurazione: apre la scheda Rilevamenti
  • Aggiungi esclusioni: apre la scheda Esclusioni

Mostra la scheda di configurazione di riepilogo del report delle regole asr.

Selezionando il collegamento di configurazione delle regole asr nella parte superiore della scheda viene aperta anche la scheda Configurazione delle regole di riduzione della superficie di attacco principale.

Opzione di protezione standard semplificata

La scheda di riepilogo della configurazione fornisce un pulsante per proteggere i dispositivi con le tre regole di protezione standard. Come minimo, Microsoft consiglia di abilitare queste tre regole di protezione standard per la riduzione della superficie di attacco:

Per abilitare le tre regole di protezione standard:

  1. Selezionare Proteggi dispositivi. Verrà visualizzata la scheda Configurazione principale.

  2. Nella scheda Configurazioneregole di base passa automaticamente da Tutte le regole per Standard regole di protezione abilitate.

  3. Nell'elenco Dispositivi selezionare i dispositivi per i quali si desidera applicare le regole di protezione standard e quindi selezionare Salva.

Questa scheda ha altri due pulsanti di spostamento:

  • Visualizza configurazione: apre la scheda Configurazione .
  • Aggiungi esclusioni: apre la scheda Esclusioni .

Selezionando il collegamento di configurazione delle regole asr nella parte superiore della scheda viene aperta anche la scheda Configurazione delle regole di riduzione della superficie di attacco principale.

Pagina del report Regole di riduzione della superficie di attacco

Anche se le schede di riepilogo dei report delle regole asr sono utili per ottenere un riepilogo rapido dello stato delle regole asr, le schede principali forniscono informazioni più approfondite con funzionalità di filtro e configurazione:

Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Endpoint report>Regole di riduzione della superficiedi attacco. In alternativa, per passare direttamente al report delle regole di riduzione della superficie di attacco, usare https://security.microsoft.com/asr

Nella pagina del report Regole di riduzione della superficie di attacco sono disponibili le schede seguenti:

Scheda Rilevamenti principali regole di riduzione della superficie di attacco

Per accedere direttamente alla scheda Rilevamenti del report Regole di riduzione della superficie di attacco, usare https://security.microsoft.com/asr?viewid=detections.

La scheda Rilevamenti contiene le informazioni seguenti:

  • Rilevamenti di controllo: mostra il numero di rilevamenti di minacce acquisiti dalle regole impostate in modalità di controllo .

  • Rilevamenti bloccati: mostra il numero di rilevamenti di minacce bloccati dalle regole impostate in modalità blocco .

  • Grafico consolidato di grandi dimensioni: mostra i rilevamenti bloccati e controllati.

    Mostra la scheda rilevamenti principali del report delle regole del servizio app, con _Audit detections_ e _Blocked detections_ evidenziati.

I grafici forniscono dati di rilevamento nell'intervallo di date visualizzato, con la possibilità di passare il puntatore su una posizione specifica per raccogliere informazioni specifiche della data.

La tabella dei dettagli elenca le minacce rilevate, in base al dispositivo, con i campi seguenti:

Nome del campo Definizione
File rilevato Il file determinato per contenere una minaccia possibile o nota
Rilevato in Data in cui è stata rilevata la minaccia
Bloccato/controllato? Indica se la regola di rilevamento per l'evento specifico era in modalità blocco o controllo
Regola Quale regola ha rilevato la minaccia
App di origine L'applicazione che ha effettuato la chiamata al "file rilevato" offensivo
Dispositivo Nome del dispositivo in cui si è verificato l'evento Audit o Block
Gruppo di dispositivi Gruppo di Active Directory a cui appartiene il dispositivo
Utente L'account del computer responsabile della chiamata
Autore La società che ha rilasciato la particolare .exe o applicazione

Per altre informazioni sulle modalità di controllo e blocco delle regole asr, vedere Modalità regola di riduzione della superficie di attacco.

La casella di ricerca è disponibile per le voci di ricerca in base all'ID dispositivo, al nome file o al nome del processo.

È possibile filtrare le informazioni nella scheda selezionando Aggiungi filtro e quindi selezionando tra le opzioni disponibili. Dopo aver visualizzato il filtro nella parte superiore della scheda, è possibile configurare le selezioni per il filtro:

  • Regole: selezionare Standard protezione o Tutti.

  • Data: selezionare una data di inizio fino a 30 giorni prima.

  • Selezionare le regole: selezionare una o più delle regole seguenti:

    • Bloccare la persistenza tramite la sottoscrizione di eventi WMI
    • Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
    • Bloccare l'abuso di driver firmati vulnerabili sfruttati

    Consiglio

    Per visualizzare tutte le regole attivate, usare la tabella DeviceEvents nella ricerca avanzata.

    Attualmente, il numero di singoli elementi rilevati elencati nella tabella dei dettagli è limitato a 200 regole. Usare Esporta per salvare l'elenco completo dei rilevamenti in un file CSV.

  • Gruppo di dispositivi: selezionare un gruppo di dispositivi disponibile.

  • Bloccato/controllato?: selezionare Controllato o bloccato.

GroupBy è disponibile nella tabella dei dettagli con le opzioni seguenti:

  • Nessun raggruppamento
  • File rilevato
  • Controllo o blocco
  • Regola
  • App di origine
  • Dispositivo
  • Gruppo di dispositivi
  • Utente
  • Server Editore

Consiglio

Attualmente, per usare GroupBy, è necessario scorrere fino all'ultima voce di rilevamento nell'elenco per caricare il set di dati completo. È quindi possibile usare GroupBy. In caso contrario, i risultati non sono corretti per qualsiasi risultato con più pagine visualizzabili di rilevamenti elencati.

Riquadro a comparsa interattivo

La pagina principale "Rilevamento" contiene un elenco di tutti i rilevamenti (file/processi) degli ultimi 30 giorni. Selezionare uno dei rilevamenti da aprire con le funzionalità di drill-down.

Mostra il riquadro a comparsa della scheda Rilevamenti principali del report delle regole asr

La sezione Possibili esclusioni e impatto fornisce l'effetto del file o del processo selezionato. È possibile:

  • Selezionare Vai a caccia , che apre la pagina Query di ricerca avanzata.
  • Verrà visualizzata la pagina Apri file Microsoft Defender per endpoint rilevamento.
  • Il pulsante Aggiungi esclusione è collegato alla pagina aggiungi esclusione principale.

L'immagine seguente illustra l'apertura della pagina query ricerca avanzata dal collegamento nel riquadro a comparsa interattivo:

Mostra le regole di riduzione della superficie di attacco segnalano il collegamento a comparsa della scheda Rilevamenti principali aprendo Ricerca avanzata

Per altre informazioni sulla ricerca avanzata, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR

Regole di riduzione della superficie di attacco scheda configurazione principale

Per accedere direttamente alla scheda Configurazione del report Regole di riduzione della superficie di attacco, usare https://security.microsoft.com/asr?viewid=configuration.

La scheda Configurazione fornisce informazioni di riepilogo e di configurazione delle regole asr per dispositivo. La scheda Configurazione contiene tre aspetti principali:

  • Regole di base Fornisce un metodo per alternare i risultati tra regole di base e tutte le regole. Per impostazione predefinita, è selezionata l'opzione Regole di base .
  • Panoramica della configurazione del dispositivo Fornisce uno snapshot corrente dei dispositivi in uno degli stati seguenti:
    • Tutti i dispositivi esposti (dispositivi con prerequisiti mancanti, regole in modalità di controllo, regole non configurate correttamente o regole non configurate)
    • Dispositivi con regole non configurate
    • Dispositivi con regole in modalità di controllo
    • Dispositivi con regole in modalità blocco
  • La sezione inferiore senza nome della scheda Configurazione fornisce un elenco dello stato corrente dei dispositivi (in base al dispositivo):
    • Dispositivo (nome)
    • Configurazione complessiva (indipendentemente dal fatto che le regole siano attivate o tutte disattivate)
    • Regole in modalità blocco (numero di regole per dispositivo impostate su blocco)
    • Regole in modalità di controllo (numero di regole in modalità di controllo)
    • Regole disattivate (regole disattivate o non abilitate)
    • ID dispositivo (GUID dispositivo)

Mostra la scheda di configurazione principale del report delle regole asr

Per abilitare le regole asr:

  1. In Dispositivo selezionare il dispositivo o i dispositivi per cui si vogliono applicare le regole asr.

  2. Nella finestra a comparsa verificare le selezioni e quindi selezionare Aggiungi ai criteri. La scheda Configurazione e il riquadro a comparsa Aggiungi regola vengono visualizzati nell'immagine seguente.

    Mostra il fly-out delle regole asr per aggiungere regole asr ai dispositivi

[NOTA.] Se si dispone di dispositivi che richiedono l'applicazione di regole asr diverse, è necessario configurare tali dispositivi singolarmente.

La casella di ricerca è disponibile per le voci di ricerca in base all'ID dispositivo, al nome file o al nome del processo.

Nella parte superiore della scheda è possibile filtrare le regole in base alla protezione Standard o All.

Regole di riduzione della superficie di attacco - Scheda Aggiungi esclusioni

Per accedere direttamente alla scheda Aggiungi esclusioni del report Regole di riduzione della superficie di attacco, usare https://security.microsoft.com/asr?viewid=exclusions.

La scheda Aggiungi esclusioni presenta un elenco classificato di rilevamenti in base al nome file e fornisce un metodo per configurare le esclusioni. Per impostazione predefinita, aggiungere informazioni sulle esclusioni è elencato per tre campi:

  • Nome file: nome del file che ha attivato l'evento delle regole asr.
  • Rilevamenti: numero totale di eventi rilevati per il file denominato. I singoli dispositivi possono attivare più eventi delle regole asr.
  • Dispositivi: numero di dispositivi in cui si è verificato il rilevamento.

Mostra la scheda Aggiungi esclusioni del report regole asr.

Importante

L'esclusione di file o cartelle può ridurre notevolmente la protezione fornita dalle regole asr. I file esclusi possono essere eseguiti e non viene registrato alcun report o evento. Se le regole asr rilevano file che si ritiene non debbano essere rilevati, è necessario usare prima la modalità di controllo per testare la regola.

Quando si seleziona un file, viene visualizzato un riquadro a comparsa Riepilogo & impatto previsto , che presenta i tipi di informazioni seguenti:

  • File selezionati : numero di file selezionati per l'esclusione
  • (numero di) rilevamenti : indica la riduzione prevista dei rilevamenti dopo l'aggiunta delle esclusioni selezionate. La riduzione dei rilevamenti è rappresentata graficamente per i rilevamenti effettivi e i rilevamenti dopo le esclusioni.
  • (numero di) dispositivi interessati : indica la riduzione prevista nei dispositivi che segnalano i rilevamenti per le esclusioni selezionate.

La pagina Aggiungi esclusione include due pulsanti per le azioni che possono essere usate in tutti i file rilevati (dopo la selezione). È possibile:

  • Aggiungere l'esclusione che apre Microsoft Intune pagina dei criteri del servizio app. Per altre informazioni, vedere Intune in "Enable ASR rules alternate configuration methods".

  • Ottenere i percorsi di esclusione che scaricano i percorsi di file in formato CSV.

    Mostra il report sulle regole asr aggiungere il riepilogo dell'impatto del riquadro a comparsa della scheda esclusioni.

La casella di ricerca è disponibile per le voci di ricerca in base all'ID dispositivo, al nome file o al nome del processo.

Selezionare Filtra per filtrare le regole in base alla protezione Standard o All.

Vedere anche

Consiglio

Per saperne di più, Interagisci con la community Microsoft Security nella Community Tech: Community Tech di Microsoft Defender per endpoint.

  • Last updated on