Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przeglądanie zdarzeń w Podgląd zdarzeń jest przydatne podczas oceniania funkcji zmniejszania obszaru ataków. Na przykład możesz włączyć tryb inspekcji dla funkcji lub ustawień, a następnie przejrzeć, co by się stało, gdyby były w pełni włączone. Możesz również wyświetlić skutki funkcji zmniejszania obszaru ataków, gdy są one w pełni włączone.
W tym artykule opisano sposób używania systemu Windows Podgląd zdarzeń do wyświetlania zdarzeń z możliwości zmniejszania obszaru ataków (ASR), w tym:
- Reguły zmniejszania obszaru podatnego na ataki
- Kontrolowany dostęp do folderu
- Ochrona przed wykorzystywaniem
- Ochrona sieci
Aby wyświetlić zdarzenia redukcji obszaru ataków, dostępne są następujące opcje, jak wyjaśniono w pozostałej części tego artykułu:
- Przeglądanie zdarzeń zmniejszania obszaru ataków w systemie Windows Podgląd zdarzeń: jak przejść do zdarzeń zmniejszania obszaru ataków w Podgląd zdarzeń i identyfikatorów zdarzeń dla każdej funkcji zmniejszania obszaru ataków.
- Wyświetlanie zdarzeń zmniejszania obszaru ataków przy użyciu widoków niestandardowych w systemie Windows Podgląd zdarzeń: jak tworzyć lub importować widoki niestandardowe w celu filtrowania Podgląd zdarzeń pod kątem określonych możliwości usługi ASR oraz gotowych do użycia szablonów zapytań XML.
Porada
Możesz użyć funkcji przekazywania zdarzeń systemu Windows do scentralizowania zbierania zdarzeń redukcji obszaru ataków z wielu urządzeń.
Portal Microsoft Defender udostępnia również raporty dotyczące funkcji zmniejszania obszaru ataków, które są łatwiejsze w użyciu niż Podgląd zdarzeń systemu Windows:
Przeglądanie zdarzeń zmniejszania obszaru ataków w systemie Windows Podgląd zdarzeń
Wszystkie zdarzenia redukcji obszaru ataków znajdują się w dziennikach aplikacji i usług. Aby wyświetlić zdarzenia redukcji obszaru ataków, wykonaj następujące czynności:
Wybierz pozycję Start, wpisz Podgląd zdarzeń, a następnie naciśnij klawisz Enter, aby otworzyć Podgląd zdarzeń.
W Podgląd zdarzeń rozwiń węzeł Dzienniki> aplikacji i usługMicrosoft>Windows.
Kontynuuj rozszerzanie ścieżki dla różnych typów zdarzeń redukcji obszaru ataków zgodnie z opisem w poniższych podsekcjach.
Znajdź i odfiltruj zdarzenia, które chcesz wyświetlić, zgodnie z opisem w poniższych podsekcjach.
Zdarzenia reguły usługi ASR
Zdarzenia reguły usługi ASR znajdują się w dziennikuoperacyjnymusługi Windows Defender>:
| Identyfikator zdarzenia | Opis |
|---|---|
| 1121 | Zdarzenie, gdy reguła jest uruchamiana w trybie bloku |
| 1122 | Zdarzenie, gdy reguła jest uruchamiana w trybie inspekcji |
| 1129 | Zdarzenie, gdy użytkownik zastępuje blok w trybie ostrzeżenia |
| 5007 | Zdarzenie po zmianie ustawień |
Zdarzenia dostępu do kontrolowanych folderów
Zdarzenia dostępu do kontrolowanych folderów znajdują się w usłudze Windows Defender>Operational.
| Identyfikator zdarzenia | Opis |
|---|---|
| 5007 | Zdarzenie po zmianie ustawień |
| 1124 | Zdarzenie dostępu do kontrolowanego folderu z inspekcją |
| 1123 | Zablokowane zdarzenie dostępu do folderu kontrolowanego |
| 1127 | Zablokowane zdarzenie bloku zapisu w sektorze dostępu do folderów kontrolowanych |
| 1128 | Przeprowadź inspekcję zdarzenia bloku zapisu w sektorze dostępu do folderów kontrolowanych |
Zdarzenia ochrony przed lukami w zabezpieczeniach
Następujące zdarzenia ochrony przed lukami w zabezpieczeniach znajdują się w dziennikachtrybu jądraograniczania> ryzyka zabezpieczeń i trybuużytkownikaograniczania> zabezpieczeń:
| Identyfikator zdarzenia | Opis |
|---|---|
| 1 | Inspekcja ACG |
| 2 | Wymuszanie acg |
| 3 | Nie zezwalaj na inspekcję procesów podrzędnych |
| 4 | Nie zezwalaj na blok procesów podrzędnych |
| 5 | Blokuj inspekcję obrazów o niskiej integralności |
| 6 | Blokuj blok obrazów o niskiej integralności |
| 7 | Blokuj inspekcję obrazów zdalnych |
| 8 | Blokuj zdalny blok obrazów |
| 9 | Wyłącz inspekcję wywołań systemowych win32k |
| 10 | Wyłącz blok wywołań systemowych win32k |
| 11 | Ochrona integralności kodu |
| 12 | Blok ochrony integralności kodu |
| 13 | Inspekcja zapory aplikacji internetowej |
| 14 | Wymuszanie zapory aplikacji internetowej |
| 15 | Inspekcja EAF+ |
| 16 | Wymuszanie aplikacji EAF+ |
| 17 | Inspekcja zapory aplikacji internetowej |
| 18 | Wymuszanie zapory aplikacji internetowej |
| 19 | Inspekcja ROP StackPivot |
| 20 | Wymuszanie ROP StackPivot |
| 21 | Inspekcja kontroli wywołań ROP |
| 22 | Wymuszanie wywołania ROP |
| 23 | Inspekcja ROP SimExec |
| 24 | Wymuszanie ROP SimExec |
Następujące zdarzenie ochrony przed lukami w zabezpieczeniach znajduje się w dziennikuoperacyjnymdiagnostyki> WER:
| Identyfikator zdarzenia | Opis |
|---|---|
| 5 | Blok CFG |
Następujące zdarzenie ochrony przed lukami w zabezpieczeniach znajduje się w dziennikuoperacyjnymWin32k>:
| Identyfikator zdarzenia | Opis |
|---|---|
| 260 | Niezaufane czcionki |
Zdarzenia ochrony sieci
Zdarzenia ochrony sieci znajdują się w usłudze Windows Defender>Operational.
| Identyfikator zdarzenia | Opis |
|---|---|
| 5007 | Zdarzenie po zmianie ustawień |
| 1125 | Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie inspekcji |
| 1126 | Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie bloku |
Wyświetlanie zdarzeń zmniejszania obszaru ataków przy użyciu widoków niestandardowych w Podgląd zdarzeń systemu Windows
W systemie Windows Podgląd zdarzeń można tworzyć widoki niestandardowe, aby wyświetlać tylko zdarzenia dotyczące określonych możliwości zmniejszania obszaru podatnego na ataki. Najprostszym sposobem jest zaimportowanie widoku niestandardowego jako pliku XML. Możesz również skopiować kod XML bezpośrednio do Podgląd zdarzeń.
Aby uzyskać gotowe do użycia szablony XML, zobacz sekcję Niestandardowe szablony XML dla zdarzeń zmniejszania obszaru podatnego na ataki .
Importowanie istniejącego widoku niestandardowego XML
Utwórz pusty plik .txt i skopiuj plik XML dla widoku niestandardowego, którego chcesz użyć, do pliku .txt. Wykonaj ten krok dla każdego z widoków niestandardowych, których chcesz użyć. Zmień nazwę plików w następujący sposób (upewnij się, że typ został zmieniony z .txt na .xml):
- Widok niestandardowy zdarzeń dostępu do folderów kontrolowanych: cfa-events.xml
- Widok niestandardowy zdarzeń ochrony przed lukami w zabezpieczeniach: ep-events.xml
- Niestandardowy widok zdarzeń zmniejszania obszaru ataków: asr-events.xml
- Widok niestandardowy zdarzeń ochrony sieci: np-events.xml
Wybierz pozycję Start, wpisz Podgląd zdarzeń, a następnie naciśnij klawisz Enter, aby otworzyć Podgląd zdarzeń.
Wybierz pozycję Akcja>Importuj widok niestandardowy...
Przejdź do pliku XML dla żądanego widoku niestandardowego i wybierz go.
Wybierz opcję Otwórz.
Widok niestandardowy filtruje, aby wyświetlić tylko zdarzenia związane z tą funkcją.
Bezpośrednie kopiowanie kodu XML
Wybierz pozycję Start, wpisz Podgląd zdarzeń, a następnie naciśnij klawisz Enter, aby otworzyć Podgląd zdarzeń.
W okienku Akcje wybierz pozycję Utwórz widok niestandardowy...
Przejdź do karty XML i ręcznie wybierz pozycję Edytuj zapytanie. Ostrzeżenie wskazuje, że nie można edytować zapytania przy użyciu karty Filtr , gdy używasz opcji XML. Wybierz opcję Tak.
Wklej kod XML funkcji, z której chcesz filtrować zdarzenia, do sekcji XML.
Wybierz przycisk OK. Określ nazwę filtru. Widok niestandardowy filtruje, aby wyświetlić tylko zdarzenia związane z tą funkcją.
Niestandardowe szablony XML dla zdarzeń zmniejszania obszaru ataków
XML dla zdarzeń reguły zmniejszania obszaru ataków
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML dla zdarzeń dostępu do folderów kontrolowanych
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
KOD XML dla zdarzeń ochrony przed lukami w zabezpieczeniach
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML dla zdarzeń ochrony sieci
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>