Delen via


Overzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen

Van toepassing op:

Platforms

  • Windows

Tip

Als aanvulling op dit artikel raadpleegt u de installatiehandleiding voor Security Analyzer om best practices te bekijken en te leren hoe u de beveiliging versterkt, de naleving verbetert en met vertrouwen door het cyberbeveiligingslandschap navigeert. Voor een aangepaste ervaring op basis van uw omgeving hebt u toegang tot de handleiding voor automatische installatie van Security Analyzer in het Microsoft 365-beheercentrum.

Waarom regels voor het verminderen van kwetsbaarheid voor aanvallen belangrijk zijn

De kwetsbaarheid voor aanvallen van uw organisatie bevat alle plaatsen waar een aanvaller de apparaten of netwerken van uw organisatie kan in gevaar komen. Het verminderen van uw kwetsbaarheid voor aanvallen betekent dat u de apparaten en het netwerk van uw organisatie beschermt, waardoor aanvallers minder manieren hebben om aanvallen uit te voeren. Het configureren van regels voor het verminderen van kwetsbaarheid voor aanvallen in Microsoft Defender voor Eindpunt kan helpen.

Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn gericht op bepaald softwaregedrag, zoals:

  • Uitvoerbare bestanden en scripts starten die proberen bestanden te downloaden of uit te voeren
  • Verborgen of anderszins verdachte scripts uitvoeren
  • Gedrag uitvoeren dat apps meestal niet initiëren tijdens normaal dagelijks werk

Dergelijk softwaregedrag wordt soms gezien in legitieme toepassingen. Dit gedrag wordt echter vaak als riskant beschouwd omdat ze vaak worden misbruikt door aanvallers via malware. Regels voor het verminderen van kwetsbaarheid voor aanvallen kunnen risicovol gedrag op basis van software beperken en uw organisatie veilig houden.

Zie voor een sequentieel, end-to-end-proces voor het beheren van regels voor het verminderen van kwetsbaarheid voor aanvallen:

Regels evalueren vóór implementatie

U kunt beoordelen hoe een regel voor het verminderen van kwetsbaarheid voor aanvallen van invloed kan zijn op uw netwerk door de beveiligingsaanbeveling voor die regel te openen in Microsoft Defender Vulnerability Management.

De aanbeveling voor het verminderen van kwetsbaarheid voor aanvallen

Controleer in het deelvenster met aanbevelingsdetails op gebruikersimpact om te bepalen welk percentage van uw apparaten een nieuw beleid kan accepteren dat de regel in de blokkeringsmodus inschakelt zonder de productiviteit te beïnvloeden.

Zie Vereisten in het artikel 'Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen' voor informatie over ondersteunde besturingssystemen en andere informatie over vereisten.

Controlemodus voor evaluatie

Controlemodus

Gebruik de controlemodus om te evalueren hoe regels voor het verminderen van kwetsbaarheid voor aanvallen van invloed zijn op uw organisatie als deze is ingeschakeld. Voer eerst alle regels uit in de controlemodus, zodat u begrijpt hoe deze van invloed zijn op uw Line-Of-Business-toepassingen. Veel Line-Of-Business-toepassingen zijn geschreven met beperkte beveiligingsproblemen en kunnen taken uitvoeren op manieren die lijken op malware.

Uitsluitingen

Door controlegegevens te bewaken en uitsluitingen toe te voegen voor de benodigde toepassingen, kunt u regels voor het verminderen van kwetsbaarheid voor aanvallen implementeren zonder de productiviteit te verlagen.

Uitsluitingen per regel

Voor meer informatie over het configureren van uitsluitingen per regel raadpleegt u de sectie Regels voor het verminderen van kwetsbaarheid voor aanvallen per regel configureren in het artikel Regels voor het verminderen van kwetsbaarheid voor aanvallen testen.

Waarschuwingsmodus voor gebruikers

(NIEUW!) Voordat de mogelijkheden van de waarschuwingsmodus worden gebruikt, kunnen regels voor het verminderen van kwetsbaarheid voor aanvallen die zijn ingeschakeld, worden ingesteld op de controlemodus of de blokmodus. In de nieuwe waarschuwingsmodus zien gebruikers, wanneer inhoud wordt geblokkeerd door een regel voor het verminderen van kwetsbaarheid voor aanvallen, een dialoogvenster dat aangeeft dat de inhoud is geblokkeerd. Het dialoogvenster biedt de gebruiker ook een optie om de blokkering van de inhoud op te heffen. De gebruiker kan vervolgens de actie opnieuw proberen en de bewerking wordt voltooid. Wanneer een gebruiker de blokkering van inhoud opheft, blijft de blokkering 24 uur ongedaan en wordt de blokkering hervat.

Met de waarschuwingsmodus beschikt uw organisatie over regels voor het verminderen van kwetsbaarheid voor aanvallen zonder dat gebruikers toegang hebben tot de inhoud die ze nodig hebben om hun taken uit te voeren.

Vereisten voor de werking van de waarschuwingsmodus

Waarschuwingsmodus wordt ondersteund op apparaten met de volgende versies van Windows:

Microsoft Defender Antivirus moet worden uitgevoerd met realtime-beveiliging in de actieve modus.

Zorg er ook voor dat Microsoft Defender Antivirus- en antimalware-updates zijn geïnstalleerd.

  • Minimale vereiste voor platformrelease: 4.18.2008.9
  • Minimale vereiste voor het vrijgeven van de motor: 1.1.17400.5

Zie Update for Microsoft Defender antimalware platform (Update voor Microsoft Defender-antimalwareplatform) voor meer informatie en om uw updates te downloaden.

Gevallen waarin de waarschuwingsmodus niet wordt ondersteund

Waarschuwingsmodus wordt niet ondersteund voor drie regels voor het verminderen van kwetsbaarheid voor aanvallen wanneer u deze configureert in Microsoft Intune. (Als u Groepsbeleid gebruikt om uw regels voor het verminderen van kwetsbaarheid voor aanvallen te configureren, wordt de waarschuwingsmodus ondersteund.) De drie regels die geen ondersteuning bieden voor de waarschuwingsmodus wanneer u deze configureert in Microsoft Intune zijn als volgt:

De waarschuwingsmodus wordt ook niet ondersteund op apparaten met oudere versies van Windows. In die gevallen worden regels voor het verminderen van kwetsbaarheid voor aanvallen die zijn geconfigureerd om te worden uitgevoerd in de waarschuwingsmodus uitgevoerd in de blokmodus.

Meldingen en waarschuwingen

Wanneer een regel voor het verminderen van kwetsbaarheid voor aanvallen wordt geactiveerd, wordt er een melding weergegeven op het apparaat. U kunt de melding aanpassen met uw bedrijfs- en contactgegevens.

Wanneer bepaalde regels voor het verminderen van kwetsbaarheid voor aanvallen worden geactiveerd, worden er ook waarschuwingen gegenereerd.

Meldingen en gegenereerde waarschuwingen kunnen worden weergegeven in de Microsoft Defender-portal.

Zie per regel waarschuwings- en meldingsdetails in het artikel Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen voor specifieke informatie over de functionaliteit van meldingen en waarschuwingen.

Geavanceerde opsporings- en aanvalsoppervlakreductie-gebeurtenissen

U kunt geavanceerde opsporing gebruiken om gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen te bekijken. Om het volume van binnenkomende gegevens te stroomlijnen, zijn alleen unieke processen voor elk uur zichtbaar met geavanceerde opsporing. De tijd van een gebeurtenis voor het verminderen van de kwetsbaarheid voor aanvallen is de eerste keer dat deze gebeurtenis binnen een uur wordt gezien.

Stel dat er een gebeurtenis voor het verminderen van kwetsbaarheid voor aanvallen plaatsvindt op 10 apparaten tijdens het uur van 14:00 uur. Stel dat de eerste gebeurtenis plaatsvond om 14:15 uur en de laatste om 14:45 uur. Bij geavanceerde opsporing ziet u één exemplaar van die gebeurtenis (hoewel deze daadwerkelijk op 10 apparaten is opgetreden), en is de tijdstempel 14:15 uur.

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing voor meer informatie over geavanceerde opsporing.

Functies voor het verminderen van kwetsbaarheid voor aanvallen in windows-versies

U kunt regels voor het verminderen van kwetsbaarheid voor aanvallen instellen voor apparaten waarop een van de volgende edities en versies van Windows wordt uitgevoerd:

Hoewel regels voor het verminderen van kwetsbaarheid voor aanvallen geen Windows E5-licentie vereisen, krijgt u geavanceerde beheermogelijkheden als u Windows E5 hebt. De geavanceerde mogelijkheden - alleen beschikbaar in Windows E5 - omvatten:

Deze geavanceerde mogelijkheden zijn niet beschikbaar met een Windows Professional- of Windows E3-licentie. Als u echter wel over deze licenties beschikt, kunt u Logboeken en Microsoft Defender Antivirus-logboeken gebruiken om uw regel voor kwetsbaarheid voor aanvallen te controleren.

Gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bekijken in de Microsoft Defender-portal

Defender voor Eindpunt biedt gedetailleerde rapportage voor gebeurtenissen en blokken als onderdeel van scenario's voor waarschuwingsonderzoek.

U kunt een query uitvoeren op Defender voor Eindpunt-gegevens in Microsoft Defender XDR met behulp van geavanceerde opsporing.

Hier volgt een voorbeeldquery:

DeviceEvents
| where ActionType startswith 'Asr'

Gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bekijken in Windows Logboeken

U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te bekijken die zijn gegenereerd door regels voor het verminderen van kwetsbaarheid voor aanvallen:

  1. Download het evaluatiepakket en pak het bestand cfa-events.xml uit op een gemakkelijk toegankelijke locatie op het apparaat.

  2. Voer de woorden Logboeken in het startmenu in om Windows Logboeken te openen.

  3. Selecteer onder Actiesde optie Aangepaste weergave importeren....

  4. Selecteer het bestand cfa-events.xml waaruit het is geëxtraheerd. U kunt ook de XML rechtstreeks kopiëren.

  5. Selecteer OK.

U kunt een aangepaste weergave maken waarmee gebeurtenissen worden gefilterd om alleen de volgende gebeurtenissen weer te geven, die allemaal betrekking hebben op gecontroleerde maptoegang:

Gebeurtenis-id Omschrijving
5007 Gebeurtenis wanneer instellingen worden gewijzigd
1121 Gebeurtenis wanneer regel wordt geactiveerd in de blokmodus
1122 Gebeurtenis wanneer regel wordt geactiveerd in de auditmodus

De 'engineversie' die wordt vermeld voor gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen in het gebeurtenislogboek, wordt gegenereerd door Defender voor Eindpunt, niet door het besturingssysteem. Defender voor Eindpunt is geïntegreerd met Windows 10 en Windows 11, dus deze functie werkt op alle apparaten waarop Windows 10 of Windows 11 is geïnstalleerd.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.