Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken
Van toepassing op:
Nadat u de regels voor het verminderen van kwetsbaarheid voor aanvallen volledig hebt geïmplementeerd, is het van essentieel belang dat u processen hebt ingesteld om ASR-gerelateerde activiteiten te bewaken en erop te reageren. Activiteiten zijn onder andere:
Fout-positieven van ASR-regels beheren
Fout-positieven/negatieven kunnen optreden bij elke bedreigingsbeveiligingsoplossing. Fout-positieven zijn gevallen waarin een entiteit (zoals een bestand of proces) wordt gedetecteerd en geïdentificeerd als schadelijk, hoewel de entiteit geen bedreiging is. Een fout-negatief is daarentegen een entiteit die niet is gedetecteerd als een bedreiging, maar wel schadelijk is. Zie voor meer informatie over fout-positieven en fout-negatieven: Fout-positieven/negatieven adres in Microsoft Defender voor Eindpunt
Asr-regelsrapporten bijhouden
Consistente, regelmatige beoordeling van rapporten is een essentieel aspect van het onderhouden van de implementatie van de regels voor het verminderen van aanvallen en het op de hoogte houden van nieuwe bedreigingen. Uw organisatie moet geplande beoordelingen hebben van regelgebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen op een frequentie die actueel blijft met gerapporteerde gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen. Afhankelijk van de grootte van uw organisatie kunnen beoordelingen dagelijks, per uur of doorlopend worden bewaakt.
ASR-regels Geavanceerde opsporing
Een van de krachtigste functies van Microsoft Defender XDR is geavanceerde opsporing. Als u niet bekend bent met geavanceerde opsporing, raadpleegt u: Proactief zoeken naar bedreigingen met geavanceerde opsporing.
Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's (Kusto-querytaal), waarmee u maximaal 30 dagen aan vastgelegde gegevens kunt verkennen. Door middel van geavanceerde opsporing kunt u proactief gebeurtenissen inspecteren om interessante indicatoren en entiteiten te vinden. De flexibele toegang tot gegevens vergemakkelijkt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen.
Door middel van geavanceerde opsporing is het mogelijk om informatie over regels voor het verminderen van kwetsbaarheid voor aanvallen te extraheren, rapporten te maken en gedetailleerde informatie te krijgen over de context van een bepaalde controle of blokkeringsgebeurtenis van een bepaalde regel voor het verminderen van het oppervlak van aanvallen.
U kunt in de tabel DeviceEvents in de sectie geavanceerde opsporing van de Microsoft Defender-portal query's uitvoeren op regel gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen. De volgende query laat bijvoorbeeld zien hoe u alle gebeurtenissen met regels voor het verminderen van kwetsbaarheid voor aanvallen rapporteert als gegevensbron, voor de afgelopen 30 dagen. De query vat vervolgens samen op basis van het ActionType-aantal met de naam van de regel voor het verminderen van de kwetsbaarheid voor aanvallen.
Gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen die worden weergegeven in de geavanceerde opsporingsportal, worden beperkt tot unieke processen die elk uur worden gezien. De tijd van de gebeurtenis voor het verminderen van de kwetsbaarheid voor aanvallen is de eerste keer dat de gebeurtenis binnen dat uur wordt gezien.
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType
Het bovenstaande laat zien dat er 187 gebeurtenissen zijn geregistreerd voor AsrLsassCredentialTheft:
- 102 voor Geblokkeerd
- 85 voor Gecontroleerd
- Twee gebeurtenissen voor AsrOfficeChildProcess (1 voor Gecontroleerd en 1 voor Blok)
- Acht gebeurtenissen voor AsrPsexecWmiChildProcessAudited
Als u zich wilt concentreren op de regel AsrOfficeChildProcess en meer wilt weten over de werkelijke bestanden en processen, wijzigt u het filter voor ActionType en vervangt u de samenvattingsregel door een projectie van de gewenste velden (in dit geval zijn dat DeviceName, FileName, FolderPath, enzovoort).
DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine
Het echte voordeel van geavanceerde opsporing is dat u de query's naar wens kunt vormgeven. Door uw query vorm te geven, kunt u het exacte verhaal zien van wat er is gebeurd, ongeacht of u iets wilt vastmaken op een afzonderlijke computer of inzichten wilt ophalen uit uw hele omgeving.
Zie voor meer informatie over opsporingsopties: Demystifying attack surface reduction rules - Part 3.
Artikelen in deze implementatieverzameling
Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen
Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen
Regels voor het verminderen van kwetsbaarheid voor aanvallen testen
Regels voor het verminderen van aanvalsoppervlakken inschakelen
Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.