Omówienie reguł zmniejszania obszaru podatnego na ataki
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Porada
Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji analizatora zabezpieczeń , aby przejrzeć najlepsze rozwiązania i nauczyć się wzmacniać ochronę, poprawiać zgodność i z ufnością poruszać się po środowisku cyberbezpieczeństwa. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji analizatora zabezpieczeń w Centrum administracyjne platformy Microsoft 365.
Dlaczego reguły zmniejszania obszaru podatnego na ataki są ważne
Obszar ataków organizacji obejmuje wszystkie miejsca, w których osoba atakująca może naruszyć bezpieczeństwo urządzeń lub sieci organizacji. Zmniejszenie obszaru ataków oznacza ochronę urządzeń i sieci organizacji, co sprawia, że osoby atakujące mają mniej sposobów przeprowadzania ataków. Konfigurowanie reguł zmniejszania obszaru ataków w Ochrona punktu końcowego w usłudze Microsoft Defender może pomóc!
Reguły zmniejszania obszaru ataków dotyczą pewnych zachowań oprogramowania, takich jak:
- Uruchamianie plików wykonywalnych i skryptów, które próbują pobrać lub uruchomić pliki
- Uruchamianie zaciemnionych lub w inny sposób podejrzanych skryptów
- Wykonywanie zachowań, których aplikacje zwykle nie inicjują podczas normalnej codziennej pracy
Takie zachowania oprogramowania są czasami widoczne w legalnych aplikacjach. Jednak te zachowania są często uważane za ryzykowne, ponieważ są często nadużywane przez osoby atakujące przez złośliwe oprogramowanie. Reguły zmniejszania obszaru podatnego na ataki mogą ograniczać ryzykowne zachowania oparte na oprogramowaniu i pomagać w zachowaniu bezpieczeństwa organizacji.
Aby zapoznać się z sekwencyjnym, kompleksowym procesem zarządzania regułami zmniejszania obszaru ataków, zobacz:
- Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
- Planowanie wdrożenia reguł zmniejszania obszaru podatnego na ataki
- Reguły zmniejszania obszaru ataków testowych
- Włączanie reguł zmniejszania obszaru ataków
- Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki
Ocena reguł przed wdrożeniem
Możesz ocenić, w jaki sposób reguła zmniejszania obszaru ataków może wpłynąć na sieć, otwierając zalecenie dotyczące zabezpieczeń dla tej reguły w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
W okienku szczegółów rekomendacji sprawdź wpływ na użytkownika, aby określić, jaki procent urządzeń może zaakceptować nowe zasady umożliwiające regułę w trybie blokowania bez negatywnego wpływu na produktywność.
Aby uzyskać informacje o obsługiwanych systemach operacyjnych i innych informacjach dotyczących wymagań, zobacz Artykuł " Włączanie reguł zmniejszania obszaru podatnego na ataki".
Tryb inspekcji na potrzeby oceny
Tryb inspekcji
Użyj trybu inspekcji , aby ocenić, w jaki sposób reguły zmniejszania obszaru ataków wpłyną na organizację, jeśli zostaną włączone. Najpierw uruchom wszystkie reguły w trybie inspekcji, aby zrozumieć, jak wpływają one na aplikacje biznesowe. Wiele aplikacji biznesowych jest pisanych z ograniczonymi problemami dotyczącymi zabezpieczeń i mogą wykonywać zadania w sposób podobny do złośliwego oprogramowania.
Wykluczenia
Dzięki monitorowaniu danych inspekcji i dodawaniu wykluczeń dla niezbędnych aplikacji można wdrożyć reguły zmniejszania obszaru ataków bez obniżania produktywności.
Wykluczenia dla reguł
Aby uzyskać informacje na temat konfigurowania wykluczeń dla reguł, zobacz sekcję Zatytułowaną Konfigurowanie reguł zmniejszania obszaru ataków dla wykluczeń reguł w artykule Testowanie reguł zmniejszania obszaru podatnego na ataki.
Tryb ostrzeżenia dla użytkowników
(NOWY!) Przed rozpoczęciem działania trybu ostrzegania reguły zmniejszania obszaru ataków, które są włączone, można ustawić na tryb inspekcji lub tryb blokady. W nowym trybie ostrzegania za każdym razem, gdy zawartość jest blokowana przez regułę zmniejszania obszaru ataków, użytkownicy widzą okno dialogowe wskazujące, że zawartość jest zablokowana. W oknie dialogowym jest również dostępna opcja odblokowania zawartości. Następnie użytkownik może ponowić próbę wykonania akcji i zakończyć operację. Gdy użytkownik odblokuje zawartość, zawartość pozostaje odblokowana przez 24 godziny, a następnie blokuje wznowienie.
Tryb ostrzeżenia pomaga organizacji mieć reguły zmniejszania obszaru ataków bez uniemożliwiania użytkownikom dostępu do zawartości potrzebnej do wykonywania zadań.
Wymagania dotyczące trybu ostrzegania do działania
Tryb ostrzeżenia jest obsługiwany na urządzeniach z następującymi wersjami systemu Windows:
- Windows 10, wersja 1809 lub nowsze
- System Windows 11
- Windows Server, wersja 1809 lub nowsza
Microsoft Defender program antywirusowy musi być uruchomiony z ochroną w czasie rzeczywistym w trybie aktywnym.
Upewnij się również, Microsoft Defender zainstalowano aktualizacje oprogramowania antywirusowego i oprogramowania chroniącego przed złośliwym kodem.
- Minimalne wymagania dotyczące wydania platformy:
4.18.2008.9 - Minimalne wymagania dotyczące wydania aparatu:
1.1.17400.5
Aby uzyskać więcej informacji i uzyskać aktualizacje, zobacz Update for Microsoft Defender antimalware platform (Aktualizacja dla platformy ochrony przed złośliwym kodem).
Przypadki, w których tryb ostrzeżenia nie jest obsługiwany
Tryb ostrzegania nie jest obsługiwany w przypadku trzech reguł zmniejszania obszaru ataków podczas konfigurowania ich w Microsoft Intune. (Jeśli używasz zasady grupy do konfigurowania reguł zmniejszania obszaru ataków, tryb ostrzegania jest obsługiwany). Trzy reguły, które nie obsługują trybu ostrzeżenia podczas konfigurowania ich w Microsoft Intune, są następujące:
-
Blokuj uruchamianie pobranej zawartości wykonywalnej (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) w języku JavaScript lub VBScript -
Blokuj trwałość za pośrednictwem subskrypcji zdarzeń WMI (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) -
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
Ponadto tryb ostrzegania nie jest obsługiwany na urządzeniach ze starszymi wersjami systemu Windows. W takich przypadkach reguły zmniejszania obszaru ataków skonfigurowane do uruchamiania w trybie ostrzeżenia są uruchamiane w trybie bloku.
Powiadomienia i alerty
Za każdym razem, gdy zostanie wyzwolona reguła zmniejszania obszaru podatnego na ataki, na urządzeniu jest wyświetlane powiadomienie. Powiadomienie można dostosować przy użyciu danych firmy i informacji kontaktowych.
Ponadto po wyzwoleniu niektórych reguł zmniejszania obszaru ataków są generowane alerty.
Powiadomienia i wszystkie wygenerowane alerty można wyświetlić w portalu Microsoft Defender.
Aby uzyskać szczegółowe informacje na temat funkcji powiadomień i alertów, zobacz: Alert dla reguły i szczegóły powiadomień w artykule Informacje o regułach zmniejszania obszaru podatnego na ataki.
Zaawansowane zdarzenia zmniejszania obszaru zagrożeń i ataków
Możesz użyć zaawansowanego wyszukiwania zagrożeń, aby wyświetlić zdarzenia redukcji obszaru ataków. Aby usprawnić ilość danych przychodzących, tylko unikatowe procesy dla każdej godziny są widoczne w przypadku zaawansowanego wyszukiwania zagrożeń. Czas zdarzenia redukcji powierzchni ataku to pierwszy raz, gdy zdarzenie jest widoczne w ciągu godziny.
Załóżmy na przykład, że zdarzenie redukcji obszaru ataków występuje na 10 urządzeniach w godzinie 14:00. Załóżmy, że pierwsze zdarzenie miało miejsce o godzinie 2:15, a ostatnie o 2:45. W przypadku zaawansowanego wyszukiwania zagrożeń zobaczysz jedno wystąpienie tego zdarzenia (nawet jeśli faktycznie miało miejsce na 10 urządzeniach), a jego sygnatura czasowa będzie wynosić 14:15.
Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń.
Funkcje zmniejszania obszaru ataków w wersjach systemu Windows
Możesz ustawić reguły zmniejszania obszaru podatnego na ataki dla urządzeń, na których działa dowolna z następujących wersji i wersji systemu Windows:
Windows 10 Pro, wersja 1709 lub nowsza
Windows 10 Enterprise, wersja 1709 lub nowsza
Windows Server, wersja 1803 (półroczny kanał) lub nowszy
-
Uwaga
Windows Server 2016 i Windows Server 2012 R2 muszą zostać dołączone przy użyciu instrukcji w temacie Dołączanie serwerów z systemem Windows, aby ta funkcja działała.
Mimo że reguły zmniejszania obszaru ataków nie wymagają licencji systemu Windows E5, jeśli masz system Windows E5, uzyskasz zaawansowane możliwości zarządzania. Zaawansowane możliwości — dostępne tylko w systemie Windows E5 — obejmują:
- Monitorowanie, analiza i przepływy pracy dostępne w usłudze Defender for Endpoint
- Możliwości raportowania i konfiguracji w Microsoft Defender XDR.
Te zaawansowane możliwości nie są dostępne z licencją windows professional lub Windows E3. Jeśli jednak masz te licencje, możesz użyć dzienników programu antywirusowego Podgląd zdarzeń i Microsoft Defender, aby przejrzeć zdarzenia reguły zmniejszania obszaru ataków.
Przejrzyj zdarzenia zmniejszania obszaru ataków w portalu Microsoft Defender
Usługa Defender for Endpoint udostępnia szczegółowe raportowanie zdarzeń i bloków w ramach scenariuszy badania alertów.
Możesz wykonywać zapytania dotyczące usługi Defender pod kątem danych punktu końcowego w Microsoft Defender XDR przy użyciu zaawansowanego wyszukiwania zagrożeń.
Oto przykładowe zapytanie:
DeviceEvents
| where ActionType startswith 'Asr'
Przejrzyj zdarzenia redukcji obszaru ataków w systemie Windows Podgląd zdarzeń
Możesz przejrzeć dziennik zdarzeń systemu Windows, aby wyświetlić zdarzenia generowane przez reguły zmniejszania obszaru ataków:
Pobierz pakiet ewaluacyjny i wyodrębnij plik cfa-events.xml do łatwo dostępnej lokalizacji na urządzeniu.
Wprowadź wyrazy Podgląd zdarzeń w menu Start, aby otworzyć Podgląd zdarzeń systemu Windows.
W obszarze Akcje wybierz pozycję Importuj widok niestandardowy....
Wybierz plik cfa-events.xml , z którego został wyodrębniony. Alternatywnie skopiuj plik XML bezpośrednio.
Wybierz przycisk OK.
Można utworzyć widok niestandardowy, który filtruje zdarzenia w celu wyświetlenia tylko następujących zdarzeń, z których wszystkie są związane z kontrolowanym dostępem do folderów:
| Identyfikator zdarzenia | Opis |
|---|---|
| 5007 | Zdarzenie po zmianie ustawień |
| 1121 | Zdarzenie, gdy reguła jest uruchamiana w trybie bloku |
| 1122 | Zdarzenie, gdy reguła jest uruchamiana w trybie inspekcji |
"Wersja aparatu" wymieniona dla zdarzeń redukcji obszaru ataków w dzienniku zdarzeń jest generowana przez usługę Defender for Endpoint, a nie przez system operacyjny. Usługa Defender for Endpoint jest zintegrowana z Windows 10 i Windows 11, więc ta funkcja działa na wszystkich urządzeniach z zainstalowanymi Windows 10 lub Windows 11.
Zobacz też
- Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
- Planowanie wdrożenia reguł zmniejszania obszaru podatnego na ataki
- Reguły zmniejszania obszaru ataków testowych
- Włączanie reguł zmniejszania obszaru ataków
- Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki
- Raport reguł zmniejszania obszaru ataków
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
Porada
Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:
- Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
- Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
- Ustawienia zasad ochrony antywirusowej systemu macOS dla programu antywirusowego Microsoft Defender dla usługi Intune
- Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu Android
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.