Feilsøke regler for reduksjon av angrepsoverflate

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Når du bruker regler for reduksjon av angrepsoverflater , kan det oppstå problemer, for eksempel:

• En regel blokkerer en fil, behandler eller utfører en annen handling som den ikke skal (falsk positiv)
• En regel fungerer ikke som beskrevet, eller blokkerer ikke en fil eller prosess som den skal (usann negativ)

Det er fire trinn for å feilsøke disse problemene:

1. Bekreft forutsetninger
2. Bruke overvåkingsmodus til å teste regelen
3. Legg til utelatelser for den angitte regelen (for falske positiver)
4. Send inn støttelogger

Bekreft forutsetninger

Regler for reduksjon av angrepsoverflate fungerer bare på enheter med følgende betingelser:

• Endepunktene kjører Windows 10 Enterprise eller nyere.

• Endepunkter bruker Microsoft Defender Antivirus som eneste antivirusbeskyttelsesapp. Hvis du bruker en annen antivirusapp, deaktiveres Microsoft Defender Antivirus.

• Sanntidsbeskyttelse er aktivert.

• Overvåkingsmodus er ikke aktivert. Bruk gruppepolicy til å sette regelen til Deaktivert (verdi: 0) som beskrevet i Aktiver regler for reduksjon av angrepsoverflate.

Hvis disse forutsetningene er oppfylt, går du videre til neste trinn for å teste regelen i overvåkingsmodus.

Bruke overvåkingsmodus til å teste regelen

Følg disse instruksjonene i Bruk demonstrasjonsverktøyet for å se hvordan regler for reduksjon av angrepsoverflater fungerer for å teste den bestemte regelen du støter på problemer med.

1. Aktiver overvåkingsmodus for den bestemte regelen du vil teste. Bruk gruppepolicy til å sette regelen til overvåkingsmodus (verdi: 2) som beskrevet i Aktiver regler for reduksjon av angrepsoverflate. Overvåkingsmodus gjør det mulig for regelen å rapportere filen eller prosessen, men tillater den å kjøre.

2. Utfør aktiviteten som forårsaker et problem (for eksempel åpne eller kjøre filen eller prosessen som skal blokkeres, men som er tillatt).

3. Se gjennom hendelsesloggene for angrepsoverflatereduksjonsregler for å se om regelen ville blokkere filen eller prosessen hvis regelen ble satt til Aktivert.

Hvis en regel ikke blokkerer en fil eller prosess som du forventer at den skal blokkere, må du først kontrollere om overvåkingsmodus er aktivert.

Overvåkingsmodus kan være aktivert for testing av en annen funksjon, eller av et automatisert PowerShell-skript, og kan ikke deaktiveres etter at testene er fullført.

Hvis du har testet regelen med demonstrasjonsverktøyet og med overvåkingsmodus, og regler for reduksjon av angrepsoverflaten fungerer på forhåndskonfigurerte scenarioer, men regelen ikke fungerer som forventet, går du videre til en av følgende deler basert på situasjonen din:

1. Hvis regelen for reduksjon av angrepsoverflaten blokkerer noe som den ikke bør blokkere (også kjent som en falsk positiv), kan du først legge til utelukkelse av en regel for reduksjon av angrepsoverflaten.

2. Hvis regelen for reduksjon av angrepsoverflaten ikke blokkerer noe den skal blokkere (også kjent som en falsk negativ), kan du fortsette umiddelbart til det siste trinnet, samle inn diagnosedata og sende inn problemet til oss.

Legge til utelatelser for en falsk positiv

Hvis regelen for reduksjon av angrepsoverflaten blokkerer noe som den ikke bør blokkere (også kalt en falsk positiv), kan du legge til utelatelser for å hindre at regler for reduksjon av angrepsoverflater evaluerer de utelatte filene eller mappene.

Hvis du vil legge til en utelatelse, kan du se Tilpasse reduksjon av angrepsoverflate.

Viktig

Du kan angi individuelle filer og mapper som skal utelates, men du kan ikke angi individuelle regler. Dette betyr at alle filer eller mapper som utelates, utelates fra alle ASR-regler.

Rapportere en falsk positiv eller usann negativ

Bruk det Microsoft Sikkerhetsintelligens nettbaserte innsendingsskjemaet til å rapportere en falsk negativ eller usann positiv for nettverksbeskyttelse. Med et Windows E5-abonnement kan du også gi en kobling til alle tilknyttede varsler.

Samle inn diagnosedata for filinnsendinger

Når du rapporterer et problem med regler for reduksjon av angrepsoverflaten, blir du bedt om å samle inn og sende inn diagnosedata som kan brukes av Microsofts støtte- og ingeniørteam for å feilsøke problemer.

1. Åpne en hevet ledetekst og endre til Windows Defender-katalogen:

   cd "c:\program files\Windows Defender"
   

2. Kjør denne kommandoen for å generere diagnoseloggene:

   mpcmdrun -getfiles
   

3. Som standard lagres de i C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Legg ved filen i innsendingsskjemaet.

Relaterte artikler

• Regler for reduksjon av angrepsoverflaten
• Aktiver regler for reduksjon av angrepsoverflate
• Evaluer regler for reduksjon av angrepsoverflate

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.