Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken

  • Artikel

Van toepassing op:

Nadat u de regels voor het verminderen van kwetsbaarheid voor aanvallen volledig hebt geïmplementeerd, is het van essentieel belang dat u processen hebt ingesteld om ASR-gerelateerde activiteiten te bewaken en erop te reageren. Activiteiten zijn onder andere:

Fout-positieven van ASR-regels beheren

Fout-positieven/negatieven kunnen optreden bij elke bedreigingsbeveiligingsoplossing. Fout-positieven zijn gevallen waarin een entiteit (zoals een bestand of proces) wordt gedetecteerd en geïdentificeerd als schadelijk, hoewel de entiteit geen bedreiging is. Een fout-negatief is daarentegen een entiteit die niet is gedetecteerd als een bedreiging, maar wel schadelijk is. Zie voor meer informatie over fout-positieven en fout-negatieven: Fout-positieven/negatieven adres in Microsoft Defender voor Eindpunt

Asr-regelsrapporten bijhouden

Consistente, regelmatige beoordeling van rapporten is een essentieel aspect van het onderhouden van de implementatie van de regels voor het verminderen van aanvallen en het op de hoogte houden van nieuwe bedreigingen. Uw organisatie moet geplande beoordelingen hebben van regelgebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen op een frequentie die actueel blijft met gerapporteerde gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen. Afhankelijk van de grootte van uw organisatie kunnen beoordelingen dagelijks, per uur of doorlopend worden bewaakt.

ASR-regels Geavanceerde opsporing

Een van de krachtigste functies van Microsoft Defender XDR is geavanceerde opsporing. Als u niet bekend bent met geavanceerde opsporing, raadpleegt u: Proactief zoeken naar bedreigingen met geavanceerde opsporing.

De pagina Geavanceerde opsporing in de Microsoft Defender portal. Microsoft Defender voor Eindpunt regels voor het verminderen van kwetsbaarheid voor aanvallen die worden gebruikt bij geavanceerde opsporing

Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's (Kusto-querytaal), waarmee u maximaal 30 dagen aan vastgelegde gegevens kunt verkennen. Door middel van geavanceerde opsporing kunt u proactief gebeurtenissen inspecteren om interessante indicatoren en entiteiten te vinden. De flexibele toegang tot gegevens vergemakkelijkt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen.

Door middel van geavanceerde opsporing is het mogelijk om informatie over regels voor het verminderen van kwetsbaarheid voor aanvallen te extraheren, rapporten te maken en gedetailleerde informatie te krijgen over de context van een bepaalde controle of blokkeringsgebeurtenis van een bepaalde regel voor het verminderen van het oppervlak van aanvallen.

U kunt in de tabel DeviceEvents in de sectie geavanceerde opsporing van de Microsoft Defender-portal query's uitvoeren op regel gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen. De volgende query laat bijvoorbeeld zien hoe u alle gebeurtenissen met regels voor het verminderen van kwetsbaarheid voor aanvallen rapporteert als gegevensbron, voor de afgelopen 30 dagen. De query vat vervolgens samen op basis van het ActionType-aantal met de naam van de regel voor het verminderen van de kwetsbaarheid voor aanvallen.

Gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen die worden weergegeven in de geavanceerde opsporingsportal, worden beperkt tot unieke processen die elk uur worden gezien. De tijd van de gebeurtenis voor het verminderen van de kwetsbaarheid voor aanvallen is de eerste keer dat de gebeurtenis binnen dat uur wordt gezien.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

De geavanceerde opsporingsquery resulteert in de Microsoft Defender portal

Het bovenstaande laat zien dat er 187 gebeurtenissen zijn geregistreerd voor AsrLsassCredentialTheft:

  • 102 voor Geblokkeerd
  • 85 voor Gecontroleerd
  • Twee gebeurtenissen voor AsrOfficeChildProcess (1 voor Gecontroleerd en 1 voor Blok)
  • Acht gebeurtenissen voor AsrPsexecWmiChildProcessAudited

Als u zich wilt concentreren op de regel AsrOfficeChildProcess en meer wilt weten over de werkelijke bestanden en processen, wijzigt u het filter voor ActionType en vervangt u de samenvattingsregel door een projectie van de gewenste velden (in dit geval zijn dat DeviceName, FileName, FolderPath, enzovoort).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

De geavanceerde opsporingsquery-gerichte resultaten in de Microsoft Defender-portal

Het echte voordeel van geavanceerde opsporing is dat u de query's naar wens kunt vormgeven. Door uw query vorm te geven, kunt u het exacte verhaal zien van wat er is gebeurd, ongeacht of u iets wilt vastmaken op een afzonderlijke computer of inzichten wilt ophalen uit uw hele omgeving.

Zie voor meer informatie over opsporingsopties: Demystifying attack surface reduction rules - Part 3.

Artikelen in deze implementatieverzameling

Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen

Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen

Regels voor het verminderen van kwetsbaarheid voor aanvallen testen

Regels voor het verminderen van aanvalsoppervlakken inschakelen

Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.