Rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen

Artikel
06/25/2024

Van toepassing op:

Platforms:

Windows

Het rapport regels voor het verminderen van kwetsbaarheid voor aanvallen bevat informatie over de regels voor het verminderen van kwetsbaarheid voor aanvallen die worden toegepast op apparaten in uw organisatie. Dit rapport bevat ook informatie over:

gedetecteerde bedreigingen
geblokkeerde bedreigingen
apparaten die niet zijn geconfigureerd voor het gebruik van de standaardbeveiligingsregels om bedreigingen te blokkeren

Daarnaast biedt dit rapport een gebruiksvriendelijke interface waarmee u het volgende kunt doen:

Detecties van bedreigingen weergeven
De configuratie van de ASR-regels weergeven
Uitsluitingen configureren (toevoegen)
Inzoomen om gedetailleerde informatie te verzamelen

Zie Naslaginformatie over regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie over regels voor het verminderen van kwetsbaarheid voor afzonderlijke aanvallen.

Vereisten

Belangrijk

Voor toegang tot het rapport Kwetsbaarheidsbeperkingsregels voor aanvallen zijn leesmachtigingen vereist voor de Microsoft Defender-portal. Windows Server 2012 R2 en Windows Server 2016 worden alleen weergegeven in het rapport regels voor het verminderen van kwetsbaarheid voor aanvallen als deze apparaten worden toegevoegd met behulp van het moderne geïntegreerde oplossingspakket. Zie Nieuwe functionaliteit in de moderne geïntegreerde oplossing voor Windows Server 2012 R2 en 2016 voor meer informatie.

Toegangsmachtigingen voor rapporten

Voor toegang tot het rapport Kwetsbaarheidsbeperkingsregels voor aanvallen in de Microsoft Defender-portal zijn de volgende machtigingen vereist:

Machtigingstype	Machtiging	Weergavenaam van machtiging
Toepassing	`Machine.Read.All`	`Read all machine profiles`
Gedelegeerd (werk- of schoolaccount)	`Machine.Read`	`Read machine information`

U kunt machtigingen toewijzen met behulp van Microsoft Entra ID of de Microsoft Defender-portal.

Zie Microsoft Entra-rollen toewijzen aan gebruikers als u Microsoft Entra ID wilt gebruiken
Zie Gebruikerstoegang toewijzen als u de Microsoft Defender-portal wilt gebruiken.

Navigeer naar het rapport Kwetsbaarheidsbeperkingsregels voor aanvallen

Naar de overzichtskaarten voor het rapport Kwetsbaarheidsbeperkingsregels voor aanvallen navigeren

Open de Microsoft Defender XDR-portal .
Klik in het linkerdeelvenster opRapporten en selecteer in de hoofdsectie onder Rapportende optie Beveiligingsrapport.
Schuif omlaag naar Apparaten om de overzichtskaarten voor regels voor het verminderen van kwetsbaarheid voor aanvallen te vinden.

De overzichtsrapportkaarten voor ASR-regels worden weergegeven in de volgende afbeelding.

Overzichtskaarten voor ASR-regels

De samenvatting van het ASR-regelsrapport is onderverdeeld in twee kaarten:

Overzichtskaart voor detecties van ASR-regels
Overzichtskaart asr-regelconfiguratie

Overzichtskaart detecties van ASR-regels

Toont een samenvatting van het aantal gedetecteerde bedreigingen dat wordt geblokkeerd door ASR-regels.

Biedt twee actieknoppen:

Detecties weergeven: hiermee opent u het hoofdtabblad Detecties van regels voor het verminderen van> kwetsbaarheid voor aanvallen
Uitsluitingen toevoegen: hiermee opent u het hoofdtabblad Regels voor het verminderen van> kwetsbaarheid voor aanvallen

Als u op de koppeling ASR-regelsdetectie boven aan de kaart klikt, wordt ook het tabblad Detecties van kwetsbaarheidsdetecties geopend.

Overzichtskaart configuratie van ASR-regels

De bovenste sectie is gericht op drie aanbevolen regels, die bescherming bieden tegen veelvoorkomende aanvalstechnieken. Deze kaart bevat informatie over de huidige status van de computers in uw organisatie waarvoor de volgende standaardbeveiligingsregels voor drie (ASR) zijn ingesteld in de blokmodus, controlemodus of uit (niet geconfigureerd). De knop Apparaten beveiligen geeft volledige configuratiegegevens weer voor alleen de drie regels; klanten kunnen snel actie ondernemen om deze regels in te schakelen.

In de onderste sectie worden zes regels weergegeven op basis van het aantal niet-beveiligde apparaten per regel. Met de knop Configuratie weergeven worden alle configuratiegegevens voor alle ASR-regels weergegeven. De knop 'Uitsluiting toevoegen' toont de pagina Uitsluiting toevoegen met alle gedetecteerde bestands-/procesnamen die worden vermeld voor Security Operation Center (SOC) om te evalueren. De pagina Uitsluiting toevoegen is gekoppeld aan Microsoft Intune.

Biedt twee actieknoppen:

Configuratie weergeven: het hoofdtabblad Detecties van regels voor het verminderen van> kwetsbaarheid voor aanvallen openen
Uitsluitingen toevoegen: hiermee opent u het hoofdtabblad Regels voor het verminderen van> kwetsbaarheid voor aanvallen

Als u op de koppeling ASR-regelsconfiguratie bovenaan de kaart klikt, wordt ook het hoofdtabblad Configuratie van regels voor het verminderen van het kwetsbaarheidsoppervlak geopend.

Vereenvoudigde standaardbeveiligingsoptie

De configuratieoverzichtskaart biedt een knop om apparaten te beveiligen met de drie standaardbeveiligingsregels. Microsoft raadt u ten minste aan deze drie standaardbeveiligingsregels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen:

De drie standaardbeveiligingsregels inschakelen:

Selecteer Apparaten beveiligen. Het hoofdtabblad Configuratie wordt geopend.
Op het tabblad Configuratie schakelt basisregels automatisch van Alle regels naar Standaardbeveiligingsregels ingeschakeld.
Selecteer in de lijst Apparaten de apparaten waarop u de standaardbeveiligingsregels wilt toepassen en selecteer vervolgens Opslaan.

Deze kaart heeft twee andere navigatieknoppen:

Configuratie weergeven: hiermee opent u het hoofdtabblad Configuratie van regels> voor het verminderen van kwetsbaarheid voor aanvallen.
Uitsluitingen toevoegen : hiermee opent u het hoofdtabblad Kwetsbaarheidsbeperkingsregels>voor aanvallen .

Als u op de koppeling ASR-regelsconfiguratie bovenaan de kaart klikt, wordt ook het hoofdtabblad Configuratie van regels voor het verminderen van het kwetsbaarheidsoppervlak geopend.

Hoofdtabbladen voor regels voor het verminderen van kwetsbaarheid voor aanvallen

Hoewel de overzichtskaarten van het ASR-regelrapport handig zijn om een snel overzicht te krijgen van de status van uw ASR-regels, bieden de belangrijkste tabbladen uitgebreidere informatie met filter- en configuratiemogelijkheden:

Tabblad Detecties
Tabblad Configuratie
Tabblad Uitsluitingen

Zoekmogelijkheden

De zoekfunctie wordt toegevoegd aan de hoofdtabbladen Detectie, Configuratie en Uitsluiting toevoegen . Met deze mogelijkheid kunt u zoeken op basis van apparaat-id, bestandsnaam of procesnaam.

Filtering

Met filteren kunt u opgeven welke resultaten worden geretourneerd:

Met datum kunt u een datumbereik opgeven voor gegevensresultaten.
Filters

Opmerking

Bij het filteren op regel is het aantal afzonderlijke gedetecteerde items in de onderste helft van het rapport momenteel beperkt tot 200 regels. U kunt Exporteren gebruiken om de volledige lijst met detecties op te slaan in Excel.

Tip

Omdat het filter momenteel werkt in deze release, moet u elke keer dat u 'groeperen op', eerst omlaag schuiven naar de laatste detectie in de lijst om de volledige gegevensset te laden. Nadat u de volledige gegevensset hebt geladen, kunt u het filteren 'sorteren op' starten. Als u niet omlaag schuift naar de laatste detectie die wordt vermeld bij elk gebruik of bij het wijzigen van filteropties (bijvoorbeeld de ASR-regels die zijn toegepast op de huidige filteruitvoering), zijn de resultaten onjuist voor elk resultaat met meer dan één pagina met weergegeven detecties.

Hoofdtabblad detecties van regels voor het verminderen van kwetsbaarheid voor aanvallen

Detecties controleren Toont hoeveel bedreigingsdetecties zijn vastgelegd door regels die zijn ingesteld in de controlemodus .
Geblokkeerde detecties Toont hoeveel bedreigingsdetecties zijn geblokkeerd door regels die zijn ingesteld in de blokmodus .
Grote, geconsolideerde grafiek Toont geblokkeerde en gecontroleerde detecties.

De grafieken bevatten detectiegegevens over het weergegeven datumbereik, met de mogelijkheid om de muisaanwijzer over een specifieke locatie te bewegen om datumspecifieke informatie te verzamelen.

De onderste sectie van het rapport bevat gedetecteerde bedreigingen per apparaat, met de volgende velden:

Veldnaam	Definitie
Bestand gedetecteerd	Het bestand dat een mogelijke of bekende bedreiging bevat
Gedetecteerd op	De datum waarop de bedreiging is gedetecteerd
Geblokkeerd/gecontroleerd?	Of de detectieregel voor de specifieke gebeurtenis zich in de modus Blokkeren of Audit bevindt
Regel	Welke regel heeft de bedreiging gedetecteerd
Bron-app	De toepassing die de aanroep heeft uitgevoerd naar het 'gedetecteerde bestand'
Apparaat	De naam van het apparaat waarop de controle- of blokkeringsgebeurtenis heeft plaatsgevonden
Apparaatgroep	De Active Directory-groep waartoe het apparaat behoort
Gebruiker	Het computeraccount dat verantwoordelijk is voor de aanroep
Publisher	Het bedrijf dat de specifieke .exe of toepassing heeft uitgebracht

Zie Regelmodi voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie over asr-regelcontrole en blokmodi.

De hoofdpagina Detectie bevat een lijst met alle detecties (bestanden/processen) in de afgelopen 30 dagen. Selecteer een van de detecties die u wilt openen met inzoommogelijkheden.

De sectie Mogelijke uitsluiting en impact bevat de impact van het geselecteerde bestand of proces. U kunt:

Selecteer Go hunt , waarmee de pagina Geavanceerde opsporingsquery wordt geopend
Open de bestandspagina opent Detectie van Microsoft Defender voor Eindpunt
De knop Uitsluiting toevoegen is gekoppeld aan de hoofdpagina uitsluiting toevoegen.

In de volgende afbeelding ziet u hoe de querypagina Geavanceerde opsporing wordt geopend via de koppeling in de flyout waarvoor actie kan worden ondernomen:

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie over geavanceerde opsporing

Hoofdtabblad Configuratie van regels voor het verminderen van kwetsbaarheid voor aanvallen

Het hoofdtabblad Configuratie van ASR-regels bevat een overzicht en configuratiegegevens voor ASR-regels per apparaat. Het tabblad Configuratie heeft drie belangrijke aspecten:

Basisregels Biedt een methode om resultaten te schakelen tussen Basisregels en Alle regels. Standaard is Basisregels geselecteerd.

Overzicht van apparaatconfiguratie Biedt een actuele momentopname van apparaten in een van de volgende statussen:

Alle blootgestelde apparaten (apparaten met ontbrekende vereisten, regels in de controlemodus, onjuist geconfigureerde regels of regels die niet zijn geconfigureerd)
Apparaten waarvoor regels niet zijn geconfigureerd
Apparaten met regels in de controlemodus
Apparaten met regels in blokmodus

De onderste, naamloze sectie van het tabblad Configuratie bevat een lijst met de huidige status van uw apparaten (per apparaat):

Apparaat (naam)
Algemene configuratie (of regels zijn ingeschakeld of allemaal zijn uitgeschakeld)
Regels in de blokmodus (het aantal regels per apparaat dat is ingesteld op blokkeren)
Regels in de controlemodus (het aantal regels in de controlemodus)
Regels uitgeschakeld (regels die zijn uitgeschakeld of niet zijn ingeschakeld)
Apparaat-id (apparaat-GUID)

Deze elementen worden weergegeven in de volgende afbeelding.

ASR-regels inschakelen:

Selecteer onder Apparaat het apparaat of de apparaten waarop u ASR-regels wilt toepassen.
Controleer uw selecties in het flyoutvenster en selecteer vervolgens Toevoegen aan beleid.

Het tabblad Configuratie en regel-flyout toevoegen worden weergegeven in de volgende afbeelding.

[NOTE!] Als u apparaten hebt waarvoor verschillende ASR-regels moeten worden toegepast, moet u deze apparaten afzonderlijk configureren.

Regels voor het verminderen van kwetsbaarheid voor aanvallen Tabblad Uitsluitingen toevoegen

Het tabblad Uitsluitingen toevoegen bevat een gerangschikte lijst met detecties op bestandsnaam en biedt een methode voor het configureren van uitsluitingen. Standaard wordt uitsluitingsgegevens toevoegen weergegeven voor drie velden:

Bestandsnaam De naam van het bestand dat de ASR-regelgebeurtenis heeft geactiveerd.
Detecties Het totale aantal gedetecteerde gebeurtenissen voor benoemd bestand. Afzonderlijke apparaten kunnen meerdere ASR-regels activeren.
Apparaten Het aantal apparaten waarop de detectie heeft plaatsgevonden.

Belangrijk

Het uitsluiten van bestanden of mappen kan de beveiliging van ASR-regels aanzienlijk verminderen. Uitgesloten bestanden mogen worden uitgevoerd en er wordt geen rapport of gebeurtenis vastgelegd. Als ASR-regels bestanden detecteren waarvan u denkt dat ze niet moeten worden gedetecteerd, moet u eerst de controlemodus gebruiken om de regel te testen.

Wanneer u een bestand selecteert, wordt een overzicht & verwachte impact-fly-out geopend, met de volgende typen informatie:

Bestanden geselecteerd Het aantal bestanden dat u hebt geselecteerd voor uitsluiting
(aantal) detecties Geeft de verwachte vermindering van detecties aan na het toevoegen van de geselecteerde uitsluiting(en). De vermindering van detecties wordt grafisch weergegeven voor werkelijke detecties en detecties na uitsluitingen
(aantal) betrokken apparaten Vermeldt de verwachte vermindering van apparaten die detecties rapporteren voor de geselecteerde uitsluitingen.

De pagina Uitsluiting toevoegen bevat twee knoppen voor acties die kunnen worden gebruikt voor gedetecteerde bestanden (na selectie). U kunt:

Voeg uitsluiting toe om de pagina Microsoft Intune ASR-beleid te openen. Zie Intune in Alternatieve configuratiemethoden voor ASR-regels inschakelen voor meer informatie.
Uitsluitingspaden ophalen waarmee bestandspaden in csv-indeling worden gedownload

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.

Share via