Rozwiązywanie problemów z regułami zmniejszania obszaru ataków

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W przypadku korzystania z reguł zmniejszania obszaru ataków mogą wystąpić problemy, takie jak:

• Reguła blokuje plik, proces lub wykonuje inną akcję, która nie powinna (fałszywie dodatnia)
• Reguła nie działa zgodnie z opisem lub nie blokuje pliku lub procesu, który powinien (fałszywie ujemny)

Aby rozwiązać te problemy, należy wykonać cztery kroki:

1. Potwierdzanie wymagań wstępnych
2. Testowanie reguły przy użyciu trybu inspekcji
3. Dodawanie wykluczeń dla określonej reguły (dla wyników fałszywie dodatnich)
4. Przesyłanie dzienników pomocy technicznej

Potwierdzanie wymagań wstępnych

Reguły zmniejszania obszaru podatnego na ataki działają tylko na urządzeniach z następującymi warunkami:

• Punkty końcowe działają Windows 10 Enterprise lub nowszym.

• Punkty końcowe używają programu antywirusowego Microsoft Defender jako jedynej aplikacji ochrony antywirusowej. Użycie dowolnej innej aplikacji antywirusowej powoduje wyłączenie programu antywirusowego Microsoft Defender.

• Włączono ochronę w czasie rzeczywistym .

• Tryb inspekcji nie jest włączony. Użyj zasady grupy, aby ustawić regułę na Wyłączone (wartość: 0), zgodnie z opisem w temacie Włączanie reguł zmniejszania obszaru ataków.

Jeśli te wymagania wstępne zostaną spełnione, przejdź do następnego kroku, aby przetestować regułę w trybie inspekcji.

Testowanie reguły przy użyciu trybu inspekcji

Postępuj zgodnie z tymi instrukcjami w artykule Korzystanie z narzędzia demonstracyjnego, aby zobaczyć, jak działają reguły zmniejszania obszaru ataków , aby przetestować konkretną regułę, z którą występują problemy.

1. Włącz tryb inspekcji dla określonej reguły, którą chcesz przetestować. Użyj zasady grupy, aby ustawić regułę na tryb inspekcji (wartość: 2), zgodnie z opisem w temacie Włączanie reguł zmniejszania obszaru ataków. Tryb inspekcji umożliwia regule raportowanie pliku lub procesu, ale umożliwia jego uruchomienie.

2. Wykonaj działanie, które powoduje problem (na przykład otwórz lub wykonaj plik lub proces, który powinien zostać zablokowany, ale jest dozwolony).

3. Przejrzyj dzienniki zdarzeń reguły zmniejszania obszaru ataków , aby sprawdzić, czy reguła zablokuje plik lub proces, jeśli reguła została ustawiona na Włączone.

Jeśli reguła nie blokuje pliku lub procesu, który powinien zostać zablokowany, najpierw sprawdź, czy tryb inspekcji jest włączony.

Tryb inspekcji może być włączony do testowania innej funkcji lub za pomocą zautomatyzowanego skryptu programu PowerShell i może nie zostać wyłączony po zakończeniu testów.

Jeśli reguła została przetestowana za pomocą narzędzia demonstracyjnego i trybu inspekcji, a reguły zmniejszania obszaru ataków działają w wstępnie skonfigurowanych scenariuszach, ale reguła nie działa zgodnie z oczekiwaniami, przejdź do jednej z następujących sekcji w zależności od sytuacji:

1. Jeśli reguła zmniejszania obszaru ataków blokuje coś, co nie powinno być blokowane (nazywane również wynikiem fałszywie dodatnim), możesz najpierw dodać wykluczenie reguły zmniejszania obszaru ataków.

2. Jeśli reguła zmniejszania obszaru ataków nie blokuje czegoś, co powinno zostać zablokowane (nazywane również wartością fałszywie ujemną), możesz przejść natychmiast do ostatniego kroku, zbierając dane diagnostyczne i przesyłając nam problem.

Dodawanie wykluczeń dla wyniku fałszywie dodatniego

Jeśli reguła zmniejszania obszaru ataków blokuje coś, co nie powinno być blokowane (znane również jako fałszywie dodatnie), możesz dodać wykluczenia, aby zapobiec ocenie wykluczonych plików lub folderów przez reguły zmniejszania obszaru podatnego na ataki.

Aby dodać wykluczenie, zobacz Dostosowywanie zmniejszania obszaru ataków.

Ważna

Można określić poszczególne pliki i foldery do wykluczenia, ale nie można określić poszczególnych reguł. Oznacza to, że wszystkie pliki lub foldery, które są wykluczone, zostaną wykluczone ze wszystkich reguł usługi ASR.

Zgłoś wynik fałszywie dodatni lub fałszywie ujemny

Użyj Microsoft Security Intelligence internetowego formularza przesyłania, aby zgłosić fałszywie ujemny lub fałszywie dodatni dla ochrony sieci. Za pomocą subskrypcji systemu Windows E5 możesz również podać link do dowolnego skojarzonego alertu.

Zbieranie danych diagnostycznych na potrzeby przesyłania plików

Gdy zgłosisz problem z regułami zmniejszania obszaru ataków, zostanie wyświetlony monit o zebranie i przesłanie danych diagnostycznych, które mogą być używane przez zespoły pomocy technicznej i inżynierów firmy Microsoft, aby pomóc w rozwiązywaniu problemów.

1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i przejdź do katalogu Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Uruchom to polecenie, aby wygenerować dzienniki diagnostyczne:

   mpcmdrun -getfiles
   

3. Domyślnie są one zapisywane w pliku C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Dołącz plik do formularza przesyłania.

Artykuły pokrewne

• Reguły zmniejszania obszaru podatnego na ataki
• Włączanie reguł zmniejszania obszaru ataków
• Ocena reguł zmniejszania obszaru ataków

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.