Rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen

  • Artikel

Van toepassing op:

Platforms:

  • Windows

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Het rapport regels voor het verminderen van kwetsbaarheid voor aanvallen bevat informatie over de regels voor het verminderen van kwetsbaarheid voor aanvallen die worden toegepast op apparaten in uw organisatie. Dit rapport bevat ook informatie over:

  • gedetecteerde bedreigingen
  • geblokkeerde bedreigingen
  • apparaten die niet zijn geconfigureerd voor het gebruik van de standaardbeveiligingsregels om bedreigingen te blokkeren

Daarnaast biedt dit rapport een gebruiksvriendelijke interface waarmee u het volgende kunt doen:

  • Detecties van bedreigingen weergeven
  • De configuratie van de ASR-regels weergeven
  • Uitsluitingen configureren (toevoegen)
  • Eenvoudig basisbeveiliging activeren door de drie meest aanbevolen ASR-regels in te schakelen met één wisselknop
  • Inzoomen om gedetailleerde informatie te verzamelen

Zie Naslaginformatie over regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie over regels voor het verminderen van kwetsbaarheid voor afzonderlijke aanvallen.

Vereisten

Belangrijk

Voor toegang tot het rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn leesmachtigingen vereist voor de Microsoft Defender portal. Toegang tot dit rapport dat is verleend door Microsoft Entra-rollen, zoals security global Beheer of beveiligingsrol, wordt afgeschaft en wordt in april 2023 verwijderd. Windows Server 2012 R2 en Windows Server 2016 worden alleen weergegeven in het rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen, als deze apparaten worden toegevoegd met behulp van het moderne geïntegreerde oplossingspakket. Zie Nieuwe functionaliteit in de moderne geïntegreerde oplossing voor Windows Server 2012 R2 en 2016 voor meer informatie.

Toegangsmachtigingen voor rapporten

Voor toegang tot het rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen in het Microsoft 365-beveiligingsdashboard zijn de volgende machtigingen vereist:

Machtigingstype Machtiging Weergavenaam van machtiging
Toepassing Machine.Read.All 'Alle machineprofielen lezen'
Gedelegeerd (werk- of schoolaccount) Machine.Read 'Machinegegevens lezen'

Ga als volgt te werk om deze machtigingen toe te wijzen:

  1. Meld u aan bij Microsoft Defender XDR met een account waaraan beveiligingsbeheerder of Globale beheerder rol is toegewezen.
  2. Selecteer in het navigatiedeelvenster Instellingen>Eindpuntrollen>(onderMachtigingen).
  3. Selecteer de rol die u wilt bewerken.
  4. Selecteer Bewerken.
  5. Typ in Rol bewerken op het tabblad Algemeen in Rolnaam een naam voor de rol.
  6. Typ in Beschrijving een korte samenvatting van de rol.
  7. Selecteer in Machtigingen de optie Gegevens weergeven en selecteer onder Gegevens weergevende optie Kwetsbaarheid voor aanvallen verminderen.

Zie rollen Creatie en beheren voor op rollen gebaseerd toegangsbeheer voor meer informatie over gebruikersrolbeheer.

Naar de overzichtskaarten voor het rapport Kwetsbaarheidsbeperkingsregels voor aanvallen navigeren

  1. Open Microsoft Defender XDR portal.
  2. Klik in het linkerdeelvenster opRapporten en selecteer in de hoofdsectie onder Rapportende optie Beveiligingsrapport.
  3. Schuif omlaag naar Apparaten om de overzichtskaarten voor regels voor het verminderen van kwetsbaarheid voor aanvallen te vinden.

De overzichtsrapportkaarten voor ASR-regels worden weergegeven in de volgende afbeelding.

Toont de overzichtskaarten van het ASR-regelsrapport

Overzichtskaarten voor ASR-regels

De samenvatting van het ASR-regelsrapport is onderverdeeld in twee kaarten:

Overzichtskaart detecties van ASR-regels

Toont een samenvatting van het aantal gedetecteerde bedreigingen dat wordt geblokkeerd door ASR-regels.

Biedt twee actieknoppen:

  • Detecties weergeven: hiermee opent u het hoofdtabblad Detecties van regels voor het verminderen van> kwetsbaarheid voor aanvallen
  • Uitsluitingen toevoegen: hiermee opent u het hoofdtabblad Regels voor het verminderen van> kwetsbaarheid voor aanvallen

Schermopname van de kaart overzichtsdetecties van asr-regels.

Als u op de koppeling ASR-regelsdetectie boven aan de kaart klikt, wordt ook het tabblad Detecties van kwetsbaarheidsdetecties geopend.

Overzichtskaart configuratie van ASR-regels

De bovenste sectie is gericht op drie aanbevolen regels, die bescherming bieden tegen veelvoorkomende aanvalstechnieken. Deze kaart bevat informatie over de huidige status van de computers in uw organisatie waarvoor de volgende standaardbeveiligingsregels voor drie (ASR) zijn ingesteld in de blokmodus, controlemodus of uit (niet geconfigureerd). De knop Apparaten beveiligen geeft volledige configuratiegegevens weer voor alleen de drie regels; klanten kunnen snel actie ondernemen om deze regels in te schakelen.

In de onderste sectie worden zes regels weergegeven op basis van het aantal niet-beveiligde apparaten per regel. Met de knop Configuratie weergeven worden alle configuratiegegevens voor alle ASR-regels weergegeven. De knop 'Uitsluiting toevoegen' toont de pagina Uitsluiting toevoegen met alle gedetecteerde bestands-/procesnamen die worden vermeld voor Security Operation Center (SOC) om te evalueren. De pagina Uitsluiting toevoegen is gekoppeld aan Microsoft Intune.

Biedt twee actieknoppen:

  • Configuratie weergeven: het hoofdtabblad Detecties van regels voor het verminderen van> kwetsbaarheid voor aanvallen openen
  • Uitsluitingen toevoegen: hiermee opent u het hoofdtabblad Regels voor het verminderen van> kwetsbaarheid voor aanvallen

Toont de overzichtskaart van het ASR-regelsrapport.

Als u op de koppeling ASR-regelsconfiguratie bovenaan de kaart klikt, wordt ook het hoofdtabblad Configuratie van regels voor het verminderen van het kwetsbaarheidsoppervlak geopend.

Vereenvoudigde standaardbeveiligingsoptie

De configuratieoverzichtskaart biedt een knop om apparaten te beveiligen met de drie standaardbeveiligingsregels. Microsoft raadt u ten minste aan deze drie standaardbeveiligingsregels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen:

De drie standaardbeveiligingsregels inschakelen:

  1. Selecteer Apparaten beveiligen. Het hoofdtabblad Configuratie wordt geopend.
  2. Op het tabblad Configuratie schakelt basisregels automatisch van Alle regels naar Standaardbeveiligingsregels ingeschakeld.
  3. Selecteer in de lijst Apparaten de apparaten waarop u de standaardbeveiligingsregels wilt toepassen en selecteer vervolgens Opslaan.

Deze kaart heeft twee andere navigatieknoppen:

  • Configuratie weergeven: hiermee opent u het hoofdtabblad Configuratie van regels> voor het verminderen van kwetsbaarheid voor aanvallen.
  • Uitsluitingen toevoegen : hiermee opent u het hoofdtabblad Kwetsbaarheidsbeperkingsregels>voor aanvallen .

Als u op de koppeling ASR-regelsconfiguratie bovenaan de kaart klikt, wordt ook het hoofdtabblad Configuratie van regels voor het verminderen van het kwetsbaarheidsoppervlak geopend.

Hoofdtabbladen voor regels voor het verminderen van kwetsbaarheid voor aanvallen

Hoewel de overzichtskaarten van het ASR-regelrapport handig zijn om een snel overzicht te krijgen van de status van uw ASR-regels, bieden de belangrijkste tabbladen uitgebreidere informatie met filter- en configuratiemogelijkheden:

Search mogelijkheden

Search mogelijkheid wordt toegevoegd aan de hoofdtabbladen Detectie, Configuratie en Uitsluiting toevoegen. Met deze mogelijkheid kunt u zoeken op basis van apparaat-id, bestandsnaam of procesnaam.

Toont de zoekfunctie voor ASR-regels voor rapporten.

Filteren

Met filteren kunt u opgeven welke resultaten worden geretourneerd:

  • Met datum kunt u een datumbereik opgeven voor gegevensresultaten.
  • Filters

Opmerking

Bij het filteren op regel is het aantal afzonderlijke gedetecteerde items in de onderste helft van het rapport momenteel beperkt tot 200 regels. U kunt Exporteren gebruiken om de volledige lijst met detecties op te slaan in Excel.

Tip

Omdat het filter momenteel werkt in deze release, moet u elke keer dat u 'groeperen op', eerst omlaag schuiven naar de laatste detectie in de lijst om de volledige gegevensset te laden. Nadat u de volledige gegevensset hebt geladen, kunt u het filteren 'sorteren op' starten. Als u niet omlaag schuift naar de laatste detectie die wordt vermeld bij elk gebruik of bij het wijzigen van filteropties (bijvoorbeeld de ASR-regels die zijn toegepast op de huidige filteruitvoering), zijn de resultaten onjuist voor elk resultaat met meer dan één pagina met weergegeven detecties.

Schermopname van de zoekfunctie voor ASR-regels op het tabblad Configuratie.

Schermopname van het filter voor detectie van regels voor het verminderen van aanvallen op regels.

Hoofdtabblad detecties van regels voor het verminderen van kwetsbaarheid voor aanvallen

  • Detecties controleren Toont hoeveel bedreigingsdetecties zijn vastgelegd door regels die zijn ingesteld in de controlemodus .
  • Geblokkeerde detecties Toont hoeveel bedreigingsdetecties zijn geblokkeerd door regels die zijn ingesteld in de blokmodus .
  • Grote, geconsolideerde grafiek Toont geblokkeerde en gecontroleerde detecties.

Toont het tabblad Hoofddetecties van het ASR-regelrapport, met _Audit detections_ en _Blocked detections_ beschreven.

De grafieken bevatten detectiegegevens over het weergegeven datumbereik, met de mogelijkheid om de muisaanwijzer over een specifieke locatie te bewegen om datumspecifieke informatie te verzamelen.

De onderste sectie van het rapport bevat gedetecteerde bedreigingen per apparaat, met de volgende velden:

Veldnaam Definitie
Bestand gedetecteerd Het bestand dat een mogelijke of bekende bedreiging bevat
Gedetecteerd op De datum waarop de bedreiging is gedetecteerd
Geblokkeerd/gecontroleerd? Of de detectieregel voor de specifieke gebeurtenis zich in de modus Blokkeren of Audit bevindt
Regel Welke regel heeft de bedreiging gedetecteerd
Bron-app De toepassing die de aanroep heeft uitgevoerd naar het 'gedetecteerde bestand'
Apparaat De naam van het apparaat waarop de controle- of blokkeringsgebeurtenis heeft plaatsgevonden
Apparaatgroep De Active Directory-groep waartoe het apparaat behoort
Gebruiker Het computeraccount dat verantwoordelijk is voor de aanroep
Publisher Het bedrijf dat de specifieke .exe of toepassing heeft uitgebracht

Zie Regelmodi voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie over asr-regelcontrole en blokmodi.

Flyout met actie

De hoofdpagina Detectie bevat een lijst met alle detecties (bestanden/processen) in de afgelopen 30 dagen. Selecteer een van de detecties die u wilt openen met inzoommogelijkheden.

Toont het tabblad Hoofddetecties van het ASR-regelsrapport

De sectie Mogelijke uitsluiting en impact bevat de impact van het geselecteerde bestand of proces. U kunt:

  • Selecteer Go hunt , waarmee de pagina Geavanceerde opsporingsquery wordt geopend
  • Bestandspagina openen opent Microsoft Defender voor Eindpunt detectie
  • De knop Uitsluiting toevoegen is gekoppeld aan de hoofdpagina uitsluiting toevoegen.

In de volgende afbeelding ziet u hoe de querypagina Geavanceerde opsporing wordt geopend via de koppeling in de flyout waarvoor actie kan worden ondernomen:

Toont de flyoutkoppeling van het tabblad Belangrijkste detecties voor het rapport regels voor het verminderen van het kwetsbaarheidsrisico voor aanvallen openen geavanceerde opsporing

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie over geavanceerde opsporing

Hoofdtabblad Configuratie van regels voor het verminderen van kwetsbaarheid voor aanvallen

Het hoofdtabblad Configuratie van ASR-regels bevat een overzicht en configuratiegegevens voor ASR-regels per apparaat. Het tabblad Configuratie heeft drie belangrijke aspecten:

Basisregels Biedt een methode om resultaten te schakelen tussen Basisregels en Alle regels. Standaard is Basisregels geselecteerd.

Overzicht van apparaatconfiguratie Biedt een actuele momentopname van apparaten in een van de volgende statussen:

  • Alle blootgestelde apparaten (apparaten met ontbrekende vereisten, regels in de controlemodus, onjuist geconfigureerde regels of regels die niet zijn geconfigureerd)
  • Apparaten waarvoor regels niet zijn geconfigureerd
  • Apparaten met regels in de controlemodus
  • Apparaten met regels in blokmodus

De onderste, naamloze sectie van het tabblad Configuratie bevat een lijst met de huidige status van uw apparaten (per apparaat):

  • Apparaat (naam)
  • Algemene configuratie (of regels zijn ingeschakeld of allemaal zijn uitgeschakeld)
  • Regels in de blokmodus (het aantal regels per apparaat dat is ingesteld op blokkeren)
  • Regels in de controlemodus (het aantal regels in de controlemodus)
  • Regels uitgeschakeld (regels die zijn uitgeschakeld of niet zijn ingeschakeld)
  • Apparaat-id (apparaat-GUID)

Deze elementen worden weergegeven in de volgende afbeelding.

Toont het hoofdconfiguratietabblad van het ASR-regelsrapport

ASR-regels inschakelen:

  1. Selecteer onder Apparaat het apparaat of de apparaten waarop u ASR-regels wilt toepassen.
  2. Controleer uw selecties in het flyoutvenster en selecteer vervolgens Toevoegen aan beleid.

Het tabblad Configuratie en regel-flyout toevoegen worden weergegeven in de volgende afbeelding.

[NOTE!] Als u apparaten hebt waarvoor verschillende ASR-regels moeten worden toegepast, moet u deze apparaten afzonderlijk configureren.

Toont de fly-out met ASR-regels om ASR-regels toe te voegen aan apparaten

Regels voor het verminderen van kwetsbaarheid voor aanvallen Tabblad Uitsluitingen toevoegen

Het tabblad Uitsluitingen toevoegen bevat een gerangschikte lijst met detecties op bestandsnaam en biedt een methode voor het configureren van uitsluitingen. Standaard wordt uitsluitingsgegevens toevoegen weergegeven voor drie velden:

  • Bestandsnaam De naam van het bestand dat de ASR-regelgebeurtenis heeft geactiveerd.
  • Detecties Het totale aantal gedetecteerde gebeurtenissen voor benoemd bestand. Afzonderlijke apparaten kunnen meerdere ASR-regels activeren.
  • Apparaten Het aantal apparaten waarop de detectie heeft plaatsgevonden.

Toont het tabblad Uitsluitingen toevoegen voor ASR-regelsrapport

Belangrijk

Het uitsluiten van bestanden of mappen kan de beveiliging van ASR-regels aanzienlijk verminderen. Uitgesloten bestanden mogen worden uitgevoerd en er wordt geen rapport of gebeurtenis vastgelegd. Als ASR-regels bestanden detecteren waarvan u denkt dat ze niet moeten worden gedetecteerd, moet u eerst de controlemodus gebruiken om de regel te testen.

Wanneer u een bestand selecteert, wordt een overzicht & verwachte impact-fly-out geopend, met de volgende typen informatie:

  • Bestanden geselecteerd Het aantal bestanden dat u hebt geselecteerd voor uitsluiting
  • (aantal) detecties Geeft de verwachte vermindering van detecties aan na het toevoegen van de geselecteerde uitsluiting(en). De vermindering van detecties wordt grafisch weergegeven voor werkelijke detecties en detecties na uitsluitingen
  • (aantal) betrokken apparaten Vermeldt de verwachte vermindering van apparaten die detecties rapporteren voor de geselecteerde uitsluitingen.

De pagina Uitsluiting toevoegen bevat twee knoppen voor acties die kunnen worden gebruikt voor gedetecteerde bestanden (na selectie). U kunt:

  • Voeg uitsluiting toe waarmee Microsoft Intune PAGINA ASR-beleid wordt geopend. Zie voor meer informatie: Intune in 'Alternatieve configuratiemethoden voor ASR-regels inschakelen'.
  • Uitsluitingspaden ophalen waarmee bestandspaden in csv-indeling worden gedownload

Toont het overzicht van de impact van het rapport ASR-regels op het tabblad Uitsluitingen toevoegen

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.