Regels voor het verminderen van kwetsbaarheid voor aanvallen testen

  • Artikel

Van toepassing op:

Door Microsoft Defender voor Eindpunt regels voor het verminderen van kwetsbaarheid voor aanvallen te testen, kunt u bepalen of regels line-of-business-bewerkingen belemmeren voordat u een regel inschakelt. Door te beginnen met een kleine, gecontroleerde groep, kunt u potentiƫle werkonderbrekingen beperken wanneer u uw implementatie in uw organisatie uitbreidt.

In deze sectie van de implementatiehandleiding voor regels voor het verminderen van kwetsbaarheid voor aanvallen leert u het volgende:

  • regels configureren met behulp van Microsoft Intune
  • gebruik Microsoft Defender voor Eindpunt rapporten met regels voor het verminderen van kwetsbaarheid voor aanvallen
  • uitsluitingen van regels voor het verminderen van kwetsbaarheid voor aanvallen configureren
  • regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen met Behulp van PowerShell
  • gebruik Logboeken voor gebeurtenissen met regels voor het verminderen van kwetsbaarheid voor aanvallen

Opmerking

Voordat u begint met het testen van regels voor het verminderen van kwetsbaarheid voor aanvallen, wordt u aangeraden eerst alle regels uit te schakelen die u eerder hebt ingesteld op controleren of inschakelen (indien van toepassing). Zie Rapporten van regels voor het verminderen van kwetsbaarheid voor aanvallen voor informatie over het gebruik van het rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen om regels voor het verminderen van kwetsbaarheid voor aanvallen uit te schakelen.

Begin de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen met ring 1.

De teststappen Microsoft Defender voor Eindpunt attack surface reduction (ASR-regels). Controleer regels voor het verminderen van kwetsbaarheid voor aanvallen, configureer uitsluitingen van ASR-regels. Asr-regels configureren Intune. Uitsluitingen van ASR-regels. Logboeken voor ASR-regels.

Stap 1: Regels voor het verminderen van kwetsbaarheid voor aanvallen testen met behulp van Audit

Begin de testfase door de regels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen met de regels die zijn ingesteld op Audit, te beginnen met uw kampioensgebruikers of apparaten in ring 1. Doorgaans wordt u aangeraden alle regels in te schakelen (in Audit), zodat u kunt bepalen welke regels tijdens de testfase worden geactiveerd. Regels die zijn ingesteld op Audit, hebben over het algemeen geen invloed op de functionaliteit van de entiteit of entiteiten waarop de regel wordt toegepast, maar genereren wel logboekgebeurtenissen voor de evaluatie; er geen effect is op eindgebruikers.

Regels voor het verminderen van kwetsbaarheid voor aanvallen configureren met behulp van Intune

U kunt Microsoft Intune Endpoint Security gebruiken om aangepaste regels voor het verminderen van kwetsbaarheid voor aanvallen te configureren.

  1. Open het Microsoft Intune-beheercentrum.

  2. Ga naar Eindpuntbeveiliging>Kwetsbaarheid voor aanvallen verminderen.

  3. Selecteer Creatie Beleid.

  4. Selecteer in PlatformWindows 10, Windows 11 en Windows Server en selecteer in Profielde optie Regels voor het verminderen van kwetsbaarheid voor aanvallen.

    De pagina voor het maken van een profiel voor ASR-regels

  5. Selecteer Maken.

  6. Voeg op het tabblad Basisbeginselen van het deelvenster Creatie profiel in Naam een naam toe voor uw beleid. Voeg in Beschrijving een beschrijving toe voor het beleid voor het verminderen van kwetsbaarheid voor aanvallen.

  7. Stel op het tabblad Configuratie-instellingen onder Regels voor het verminderen van kwetsbaarheid voor aanvallen alle regels in op Controlemodus.

    De configuratie van regels voor het verminderen van kwetsbaarheid voor aanvallen in de controlemodus

    Opmerking

    Er zijn variaties in sommige vermeldingen van regels voor het verminderen van kwetsbaarheid voor aanvallen; Geblokkeerd en Ingeschakeld bieden dezelfde functionaliteit.

  8. [Optioneel] In het deelvenster Bereiktags kunt u taggegevens toevoegen aan specifieke apparaten. U kunt ook op rollen gebaseerd toegangsbeheer en bereiktags gebruiken om ervoor te zorgen dat de juiste beheerders de juiste toegang en zichtbaarheid hebben tot de juiste Intune objecten. Meer informatie: Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT in Intune.

  9. In het deelvenster Toewijzingen kunt u het profiel implementeren of 'toewijzen' aan uw gebruikers- of apparaatgroepen. Meer informatie: Apparaatprofielen toewijzen in Microsoft Intune

    Opmerking

    Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

  10. Controleer uw instellingen in het deelvenster Controleren en maken . Klik op Creatie om de regels toe te passen.

    De Creatie profielpagina

Uw nieuwe beleid voor het verminderen van kwetsbaarheid voor aanvallen wordt vermeld in Eindpuntbeveiliging | Kwetsbaarheid voor aanvallen verminderen.

De pagina Kwetsbaarheid voor aanvallen verminderen

Stap 2: inzicht in de rapportagepagina van regels voor het verminderen van kwetsbaarheid voor aanvallen in de Microsoft Defender-portal

De pagina voor het verminderen van kwetsbaarheidsregels voor aanvallen is te vinden in Microsoft Defender portal>Rapporten>Regels voor het verminderen van kwetsbaarheid voor aanvallen. Deze pagina heeft drie tabbladen:

  • Detecties
  • Configuratie
  • Uitsluitingen toevoegen

Tabblad Detecties

Biedt een tijdlijn van 30 dagen met gedetecteerde audit- en geblokkeerde gebeurtenissen.

Grafiek met de rapportkaart voor detectie van detecties van aanvallen met regels voor het verminderen van kwetsbaarheid voor aanvallen.

Het deelvenster Regels voor het verminderen van kwetsbaarheid voor aanvallen biedt een overzicht van gedetecteerde gebeurtenissen per regel.

Opmerking

Er zijn enkele variaties in rapporten over regels voor het verminderen van kwetsbaarheid voor aanvallen. Microsoft is bezig met het bijwerken van het gedrag van de rapporten voor het verminderen van de kwetsbaarheid voor aanvallen om een consistente ervaring te bieden.

Grafiek met de overzichtsconfiguratiekaart van de regels voor het verminderen van kwetsbaarheid voor aanvallen.

Selecteer Detecties weergeven om het tabblad Detecties te openen.

Schermopname van de rapportzoekfunctie voor regels voor het verminderen van het aantal aanvallen.

Het deelvenster GroupBy en Filter bevat de volgende opties:

GroupBy retourneert resultaten die zijn ingesteld op de volgende groepen:

  • Geen groepering
  • Bestand gedetecteerd
  • Controleren of blokkeren
  • Regel
  • Bron-app
  • Apparaat
  • Gebruiker
  • Publisher

Opmerking

Bij het filteren op regel is het aantal afzonderlijke gedetecteerde items in de onderste helft van het rapport momenteel beperkt tot 200 regels. U kunt Exporteren gebruiken om de volledige lijst met detecties op te slaan in Excel.

Schermopname van de zoekfunctie voor ASR-regels op het tabblad Configuratie.

Met Filter wordt de pagina Filteren op regels geopend, waarmee u de resultaten kunt beperken tot alleen de geselecteerde regels voor het verminderen van kwetsbaarheid voor aanvallen:

Het filter Detectie van regels voor kwetsbaarheid voor aanvallen verminderen op regels

Opmerking

Als u een Microsoft Microsoft 365 Security E5- of A5-, Windows E5- of A5-licentie hebt, opent u met de volgende koppeling het tabblad Microsoft Defender 365 rapporten >Detecties van kwetsbaarheid voor aanvallen>.

Tabblad Configuratie

Lijsten per computer de geaggregeerde status van regels voor het verminderen van kwetsbaarheid voor aanvallen: Uit, Audit, Blokkeren.

Schermopname van het rapport voor het verminderen van het aantal kwetsbaarheidsregels voor aanvallen.

Op het tabblad Configuraties kunt u per apparaat controleren welke regels voor het verminderen van kwetsbaarheid voor aanvallen zijn ingeschakeld en in welke modus, door het apparaat te selecteren waarvoor u regels voor het verminderen van kwetsbaarheid voor aanvallen wilt controleren.

Schermopname van de fly-out met ASR-regels om ASR-regels toe te voegen aan apparaten.

Met de koppeling Aan de slag wordt het Microsoft Intune-beheercentrum geopend, waar u een beleid voor eindpuntbeveiliging kunt maken of wijzigen voor het verminderen van kwetsbaarheid voor aanvallen:

Het menu-item *Eindpuntbeveiliging op de pagina Overzicht

In Eindpuntbeveiliging | Overzicht selecteert u Kwetsbaarheid voor aanvallen verminderen:

De kwetsbaarheid voor aanvallen verminderen in Intune

Eindpuntbeveiliging | Het deelvenster Kwetsbaarheid voor aanvallen verminderen wordt geopend:

Het deelvenster Kwetsbaarheid voor aanvallen verminderen voor eindpuntbeveiliging

Opmerking

Als u een licentie voor Microsoft Defender 365 E5 (of Windows E5?) hebt, wordt met deze koppeling het tabblad Configuraties van Microsoft Defender 365-rapporten >kwetsbaarheidsbeperking> voor aanvallen geopend.

Uitsluitingen toevoegen

Dit tabblad biedt een methode voor het selecteren van gedetecteerde entiteiten (bijvoorbeeld fout-positieven) voor uitsluiting. Wanneer uitsluitingen worden toegevoegd, geeft het rapport een overzicht van de verwachte impact.

Opmerking

Microsoft Defender Antivirus AV-uitsluitingen worden gehonoreerd door regels voor het verminderen van kwetsbaarheid voor aanvallen. Zie Uitsluitingen configureren en valideren op basis van extensie, naam of locatie.

Het deelvenster voor uitsluiting van het gedetecteerde bestand

Opmerking

Als u een licentie voor Microsoft Defender 365 E5 (of Windows E5?) hebt, wordt met deze koppeling het tabblad Microsoft Defender 365 Rapporten > Kwetsbaarheid van aanvallen verminderen > geopend.

Zie Voor meer informatie over het gebruik van het rapport regels voor het verminderen van kwetsbaarheid voor aanvallen, rapporten over het verminderen van kwetsbaarheid voor aanvallen.

Uitsluitingen voor kwetsbaarheid voor aanvallen per regel configureren

Regels voor het verminderen van kwetsbaarheid voor aanvallen bieden nu de mogelijkheid om regelspecifieke uitsluitingen te configureren, ook wel 'Per regeluitsluitingen' genoemd.

Opmerking

Uitsluitingen per regel kunnen momenteel niet worden geconfigureerd met behulp van PowerShell of groepsbeleid.

Ga als volgt te werk om specifieke regeluitsluitingen te configureren:

  1. Open het Microsoft Intune-beheercentrum en navigeer naar Beveiliging> vanthuiseindpunt>Kwetsbaarheid voor aanvallen verminderen.

  2. Als deze nog niet is geconfigureerd, stelt u de regel waarvoor u uitsluitingen wilt configureren in op Controleren of Blokkeren.

  3. Klik in ASR Only Per Rule Exclusion op de wisselknop om te wijzigen van Niet geconfigureerd in Geconfigureerd.

  4. Voer de namen in van de bestanden of toepassingen die u wilt uitsluiten.

  5. Selecteer onder aan de wizard Creatie profielde optie Volgende en volg de instructies van de wizard.

Schermopname van de configuratie-instellingen voor het toevoegen van ASR-uitsluitingen per regel.

Tip

Gebruik de selectievakjes naast de lijst met uitsluitingsvermeldingen om items te selecteren die u wilt verwijderen, sorteren, importeren of exporteren.

PowerShell gebruiken als een alternatieve methode om regels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen

U kunt PowerShell als alternatief voor Intune gebruiken om regels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen in de controlemodus om een record weer te geven van apps die zouden zijn geblokkeerd als de functie volledig was ingeschakeld. U kunt ook een idee krijgen van hoe vaak de regels worden geactiveerd tijdens normaal gebruik.

Gebruik de volgende PowerShell-cmdlet om een regel voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen in de controlemodus:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Waarbij <rule ID> is een GUID-waarde van de regel voor het verminderen van kwetsbaarheid voor aanvallen.

Gebruik de volgende PowerShell-cmdlet om alle toegevoegde regels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen in de controlemodus:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Tip

Als u volledig wilt controleren hoe regels voor het verminderen van kwetsbaarheid voor aanvallen in uw organisatie werken, moet u een beheerprogramma gebruiken om deze instelling te implementeren op apparaten in uw netwerk(en).

U kunt ook groepsbeleid, Intune of MDM-configuratieserviceproviders (MDM) gebruiken om de instelling te configureren en te implementeren. Meer informatie in het hoofdartikel Regels voor het verminderen van kwetsbaarheid voor aanvallen .

Windows Logboeken Review gebruiken als alternatief voor de rapportagepagina voor regels voor het verminderen van kwetsbaarheid voor aanvallen in de Microsoft Defender-portal

Als u apps wilt controleren die zouden zijn geblokkeerd, opent u Logboeken en filtert u op gebeurtenis-id 1121 in het logboek Microsoft-Windows-Windows Defender/Operationeel. De volgende tabel bevat alle netwerkbeveiligingsevenementen.

Gebeurtenis-id Omschrijving
5007 Gebeurtenis wanneer instellingen worden gewijzigd
1121 Gebeurtenis wanneer een regel voor het verminderen van de kwetsbaarheid voor aanvallen wordt geactiveerd in de blokmodus
1122 Gebeurtenis wanneer een regel voor het verminderen van kwetsbaarheid voor aanvallen wordt geactiveerd in de controlemodus

Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen

Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen

Regels voor het verminderen van aanvalsoppervlakken inschakelen

Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken

Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.