Oversikt over reduksjonsregler for angrepsoverflaten
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformer
- Windows
Tips
Som en følgesvenn til denne artikkelen, kan du se vår konfigurasjonsveiledning for Sikkerhetsanalyse for å gjennomgå anbefalte fremgangsmåter og lære å styrke forsvar, forbedre overholdelse og navigere i cybersikkerhetslandskapet med selvtillit. Hvis du vil ha en tilpasset opplevelse basert på miljøet ditt, kan du få tilgang til den automatiske konfigurasjonsveiledningen for Sikkerhetsanalyse i Administrasjonssenter for Microsoft 365.
Hvorfor regler for reduksjon av angrepsoverflater er viktige
Organisasjonens angrepsoverflate omfatter alle stedene der en angriper kan kompromittere organisasjonens enheter eller nettverk. Å redusere angrepsoverflaten betyr å beskytte organisasjonens enheter og nettverk, noe som gjør at angripere får færre måter å utføre angrep på. Konfigurering av regler for reduksjon av angrepsoverflater i Microsoft Defender for endepunkt kan hjelpe!
Regler for reduksjon av angrepsoverflater retter seg mot visse programvareatferder, for eksempel:
- Starter kjørbare filer og skript som prøver å laste ned eller kjøre filer
- Kjører obfuscated eller på annen måte mistenkelige skript
- Utføre virkemåter som apper vanligvis ikke starter under vanlig daglig arbeid
Slike programvareatferder er noen ganger sett i legitime programmer. Disse atferdene anses imidlertid ofte som risikable fordi de ofte misbruker angripere gjennom skadelig programvare. Regler for reduksjon av angrepsoverflater kan begrense programvarebasert risikabel atferd og bidra til å holde organisasjonen trygg.
Hvis du vil ha en sekvensiell, ende-til-ende-prosess for hvordan du administrerer regler for reduksjon av angrepsoverflaten, kan du se:
- Distribusjonsoversikt over angrepsoverflatereduksjonsregler
- Planlegg distribusjon av regler for reduksjon av angrepsoverflate
- Regler for reduksjon av angrepsoverflate
- Aktiver regler for reduksjon av angrepsoverflate
- Operasjonalisere regler for reduksjon av angrepsoverflate
Vurdere regler før distribusjon
Du kan vurdere hvordan en regel for reduksjon av angrepsoverflaten kan påvirke nettverket ved å åpne sikkerhetsanbefalingen for denne regelen i Microsoft Defender Vulnerability Management.
Se etter brukerpåvirkning i detaljruten for anbefaling for å finne ut hvilken prosentandel av enhetene dine som kan godta en ny policy som aktiverer regelen i blokkeringsmodus uten negativ innvirkning på produktiviteten.
Se kravene i artikkelen «Aktiver regler for reduksjon av angrepsoverflate» for informasjon om støttede operativsystemer og annen kravinformasjon.
Overvåkingsmodus for evaluering
Overvåkingsmodus
Bruk overvåkingsmodus til å evaluere hvordan regler for reduksjon av angrepsoverflaten vil påvirke organisasjonen hvis dette er aktivert. Kjør alle regler i overvåkingsmodus først, slik at du kan forstå hvordan de påvirker bransjeprogrammene dine. Mange bransjeprogrammer er skrevet med begrensede sikkerhetsproblemer, og de kan utføre oppgaver på måter som ligner på skadelig programvare.
Utelatelser
Ved å overvåke overvåkingsdata og legge til utelukkelser for nødvendige programmer, kan du distribuere regler for reduksjon av angrepsoverflaten uten å redusere produktiviteten.
Utelukkelser per regel
Hvis du vil ha informasjon om hvordan du konfigurerer utelukkelser per regel, kan du se delen «Konfigurer regler for reduksjon av angrepsoverflate per regel » i artikkelen Test angrepsoverflatereduksjonsregler.
Varslingsmodus for brukere
(NY!) Før varslingsmodusfunksjoner kan regler for reduksjon av angrepsoverflate som er aktivert, settes til enten overvåkingsmodus eller blokkmodus. Når innholdet blokkeres av en regel for reduksjon av angrepsoverflaten i den nye varslingsmodusen, ser brukerne en dialogboks som angir at innholdet er blokkert. Dialogboksen gir også brukeren et alternativ for å oppheve blokkeringen av innholdet. Brukeren kan deretter prøve handlingen på nytt, og operasjonen fullføres. Når en bruker opphever blokkeringen av innhold, forblir innholdet ublokkert i 24 timer, og blokkerer deretter CV-er.
Varslingsmodus hjelper organisasjonen med å få på plass regler for reduksjon av angrepsoverflater uten å hindre brukere i å få tilgang til innholdet de trenger for å utføre oppgavene sine.
Krav for at varslingsmodus skal fungere
Varslingsmodus støttes på enheter som kjører følgende versjoner av Windows:
- Windows 10, versjon 1809 eller nyere
- Windows 11
- Windows Server, versjon 1809 eller nyere
Microsoft Defender Antivirus må kjøre med sanntidsbeskyttelse i aktiv modus.
Kontroller også at Microsoft Defender antivirus- og beskyttelsesoppdateringer er installert.
- Minimumskrav for plattformutgivelse:
4.18.2008.9 - Minimumskrav for motorutgivelse:
1.1.17400.5
Hvis du vil ha mer informasjon og få oppdateringene dine, kan du se Oppdater for Microsoft Defender plattform for beskyttelse mot skadelig programvare.
Tilfeller der varslingsmodus ikke støttes
Varslingsmodus støttes ikke for tre regler for reduksjon av angrepsoverflater når du konfigurerer dem i Microsoft Intune. (Hvis du bruker gruppepolicy til å konfigurere reglene for reduksjon av angrepsoverflaten, støttes varslingsmodus.) De tre reglene som ikke støtter varslingsmodus når du konfigurerer dem i Microsoft Intune, er som følger:
-
Blokkere JavaScript eller VBScript fra å starte nedlastet kjørbart innhold (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) -
Blokker utholdenhet gjennom WMI-hendelsesabonnement (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) -
Bruk avansert beskyttelse mot løsepengevirus (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
Advarselsmodus støttes heller ikke på enheter som kjører eldre versjoner av Windows. I slike tilfeller kjører angrepsregler for overflatereduksjon som er konfigurert til å kjøre i varslingsmodus, i blokkmodus.
Varsler og varsler
Når en regel for reduksjon av angrepsoverflaten utløses, vises et varsel på enheten. Du kan tilpasse varselet med firmadetaljer og kontaktinformasjon.
Når visse regler for reduksjon av angrepsoverflaten utløses, genereres også varsler.
Varsler og eventuelle varsler som genereres, kan vises i Microsoft Defender-portalen.
Hvis du vil ha spesifikke detaljer om varslings- og varslingsfunksjonalitet, kan du se: Varsel- og varslingsdetaljer per regel, i artikkelen Referanse for regler for reduksjon av angrepsoverflate.
Avanserte jakt- og angrepshendelser for overflatereduksjon
Du kan bruke avansert jakt for å vise angrepsoverflatereduksjonshendelser. For å effektivisere volumet av innkommende data kan bare unike prosesser for hver time vises med avansert jakt. Tidspunktet for en angrepsoverflatereduksjonshendelse er første gang hendelsen blir sett i løpet av timen.
Anta for eksempel at en angrepsoverflatereduksjonshendelse forekommer på 10 enheter i løpet av 14:00-timen. La oss si at den første hendelsen oppstod klokken 02.15, og den siste klokken 02.45. Med avansert jakt ser du én forekomst av denne hendelsen (selv om den faktisk oppstod på 10 enheter), og tidsstempelet vil være 14:15.
For mer informasjon om avansert jakt, se Proaktivt jakten på trusler med avansert jakt.
Funksjoner for reduksjon av angrepsoverflater på tvers av Windows-versjoner
Du kan angi regler for reduksjon av angrepsoverflaten for enheter som kjører følgende versjoner og versjoner av Windows:
Windows 10 Pro, versjon 1709 eller nyere
Windows 10 Enterprise, versjon 1709 eller nyere
Windows Server, versjon 1803 (halvårskanal) eller nyere
-
Obs!
Windows Server 2016 og Windows Server 2012 R2 må være pålastet ved hjelp av instruksjonene i Windows-servere på bord for at denne funksjonen skal fungere.
Selv om regler for reduksjon av angrepsoverflaten ikke krever en Windows E5-lisens, får du avanserte administrasjonsfunksjoner hvis du har Windows E5. De avanserte funksjonene – bare tilgjengelig i Windows E5 – omfatter:
- Overvåking, analyse og arbeidsflyter som er tilgjengelige i Defender for Endpoint
- Funksjonene for rapportering og konfigurasjon i Microsoft Defender XDR.
Disse avanserte funksjonene er ikke tilgjengelige med en Windows Professional- eller Windows E3-lisens. Hvis du har disse lisensene, kan du imidlertid bruke Hendelsesliste og Microsoft Defender antiviruslogger til å se gjennom regelhendelsene for angrepsoverflatereduksjon.
Se gjennom angrepsoverflatereduksjonshendelser i Microsoft Defender-portalen
Defender for Endpoint gir detaljert rapportering for hendelser og blokker som en del av scenarioer for varslingsundersøkelser.
Du kan spørre Defender etter endepunktdata i Microsoft Defender XDR ved hjelp av avansert jakt.
Her er en eksempelspørring:
DeviceEvents
| where ActionType startswith 'Asr'
Se gjennom angrepsoverflatereduksjonshendelser i Windows Hendelsesliste
Du kan se gjennom hendelsesloggen i Windows for å vise hendelser som genereres av regler for reduksjon av angrepsoverflaten:
Last ned evalueringspakken , og pakk ut filen cfa-events.xml til en lett tilgjengelig plassering på enheten.
Skriv inn ordene, Hendelsesliste, i Start-menyen for å åpne Windows Hendelsesliste.
Velg Importer egendefinert visning under Handlinger...
Velg filen cfa-events.xml der den ble pakket ut. Du kan også kopiere XML-filen direkte.
Velg OK.
Du kan opprette en egendefinert visning som filtrerer hendelser for å bare vise følgende hendelser, som alle er relatert til kontrollert mappetilgang:
| Hendelses-ID | Beskrivelse |
|---|---|
| 5007 | Hendelse når innstillingene endres |
| 1121 | Hendelse når regelen utløses i blokkmodus |
| 1122 | Hendelse når regelen utløses i overvåkingsmodus |
«Motorversjonen» som er oppført for angrepsoverflatereduksjonshendelser i hendelsesloggen, genereres av Defender for Endpoint, ikke av operativsystemet. Defender for Endpoint er integrert med Windows 10 og Windows 11, så denne funksjonen fungerer på alle enheter med Windows 10 eller Windows 11 installert.
Se også
- Distribusjonsoversikt over angrepsoverflatereduksjonsregler
- Planlegg distribusjon av regler for reduksjon av angrepsoverflate
- Regler for reduksjon av angrepsoverflate
- Aktiver regler for reduksjon av angrepsoverflate
- Operasjonalisere regler for reduksjon av angrepsoverflate
- Rapport om reduksjon av angrepsoverflate
- Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus
Tips
Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:
- Angi innstillinger for Microsoft Defender for endepunkt på macOS
- Microsoft Defender for endepunkt på Mac
- Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
- Angi innstillinger for Microsoft Defender for endepunkt på Linux
- Microsoft Defender for endepunkt på Linux
- Konfigurer Defender for endepunkt på Android-funksjoner
- Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.