Relatório de regras de redução da superfície de ataque (ASR) no portal do Microsoft Defender

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

O relatório Regras de redução da superfície de ataque (ASR) fornece informações detalhadas sobre as regras impostas nos dispositivos na sua organização. Por exemplo:

  • Ameaças detetadas.
  • Ameaças bloqueadas.
  • Dispositivos que não estão configurados para utilizar as regras de proteção padrão para bloquear ameaças.

O relatório fornece uma interface fácil de utilizar que lhe permite concluir as seguintes tarefas:

  • Ver deteções de ameaças.
  • Veja a configuração das regras do ASR.
  • Adicionar e gerir exclusões.
  • Recolha informações detalhadas.

Para obter mais informações sobre as regras do ASR, veja Descrição geral das regras de redução da superfície de ataque (ASR).

Pré-requisitos

Sistemas operacionais com suporte

Permissões de acesso a relatórios

É necessário ter permissões atribuídas antes de executar os procedimentos descritos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC): Operações de segurança \ Dados de segurança \ Noções básicas de dados de segurança (leitura).

  • Permissões do Defender para Endpoint (disponíveis em organizações criadas antes de fevereiro de 2025): vejaoperações de Segurança de dados>.

  • permissões de Microsoft Entra: a associação nas funções Administrador* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

    Importante

    A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Página de relatório Regras de redução da superfície de ataque

No portal Microsoft Defender em https://security.microsoft.com, aceda ao separador >Pontos finais Relatórios>Regras de redução da superfície de ataque. Em alternativa, para aceder diretamente à página de relatório Regras de redução da superfície de ataque, utilize .https://security.microsoft.com/asr

Os separadores seguintes estão disponíveis na página de relatório Regras de redução da superfície de ataque :

Separador Deteções

O separador Deteções é o separador predefinido da página. Para aceder diretamente ao separador Deteções do relatório Regras de redução da superfície de ataque, utilize https://security.microsoft.com/asr ou .https://security.microsoft.com/asr?viewid=detections

Captura de ecrã a mostrar a página de relatório Regras de redução da superfície de ataque no portal do Microsoft Defender.

Por predefinição, as informações da regra ASR na página utilizam os seguintes filtros:

  • Regras: o valor Standard proteção está selecionado por predefinição para mostrar dados apenas para regras de proteção padrão, mas pode alterar o valor para Todos para mostrar dados para todas as regras do ASR.

  • Data: o intervalo de datas dos últimos 30 dias está selecionado por predefinição, mas pode alterar os valores Hora de início e Hora de fim para um intervalo nos últimos 30 dias.

  • Selecionar regras*: o valor Qualquer está selecionado por predefinição, mas pode alterar o valor com base no valor do filtro Regras :

    • Standard proteção: selecione uma ou mais regras de proteção padrão na lista pendente.
    • Tudo: selecione uma ou mais regras ASR (incluindo regras de proteção padrão) na lista pendente.

Pode utilizar os seguintes filtros adicionais que não estão configurados por predefinição ao selecionar Adicionar filtro e, em seguida, selecionar a partir das opções disponíveis. Depois de o filtro ser apresentado na parte superior do separador, pode configurar as seleções para o mesmo:

  • * Grupo de dispositivos: selecione um ou mais grupos de dispositivos disponíveis.
  • Bloqueado/Auditado?: selecione Auditado ou Bloqueado.

* Selecionar todos os valores disponíveis ou nenhum valor para este filtro mostra os mesmos resultados.

Para remover um filtro, selecione Limpar. Para repor todos os filtros, selecione Repor tudo.

Abaixo dos filtros e acima do gráfico, são apresentadas as seguintes informações:

  • Deteções de auditoria: o número de deteções de ameaças por parte das regras do ASR no Modo de auditoria com os filtros especificados.

  • Deteções Bloqueadas: o número de deteções de ameaças por parte das regras do ASR no Modo de bloqueio com os filtros especificados.

    Para obter mais informações sobre o Modo de auditoria e o Modo de bloqueio, veja Modos de regras ASR.

O gráfico mostra deteções auditadas e bloqueadas por dia ao longo do intervalo de datas selecionado. Paire o cursor do rato sobre os dados de um dia específico para ver as contagens auditoria ou bloquear com base nos filtros atuais.

A tabela de detalhes abaixo do gráfico contém as seguintes informações:

  • Ficheiro detetado: o ficheiro determinado para conter uma ameaça possível ou conhecida.
  • Detetado em: a data em que a ameaça foi detetada.
  • Bloqueado/Auditado?: se a regra de deteção para o evento específico estava no modo Bloquear ou Auditoria .
  • Regra: a regra que detetou a ameaça.
  • Aplicação de origem: a aplicação que fez a chamada para o ficheiro Detetado.
  • Dispositivo: o nome do dispositivo onde ocorreu o evento Auditoria ou Bloquear .
  • Grupo de dispositivos: o grupo de dispositivos a que o dispositivo pertence.
  • Utilizador: a conta responsável pela aplicação Origem que abre o ficheiro Detetado (por exemplo, SYSTEM para a conta NT AUTHORITY\SYSTEM).
  • Publisher: a empresa que publicou a aplicação.

Selecione um cabeçalho de coluna para ordenar por esse valor.

A caixa Procurar está disponível para procurar entradas na tabela de detalhes por ID do dispositivo, nome de ficheiro ou nome do processo.

GroupBy está disponível para agrupar as informações na tabela de detalhes com as seguintes opções:

  • Sem agrupamento (predefinição)
  • Ficheiro detetado
  • Auditar ou bloquear
  • Rule
  • Aplicação de origem
  • Dispositivo
  • Grupo de dispositivos
  • Usuário
  • Publisher

Dica

Atualmente, para utilizar GroupBy, tem de se deslocar para a última entrada de deteção na lista para carregar o conjunto de dados completo. Em seguida, pode utilizar GroupBy. Caso contrário, os resultados estão incorretos para qualquer resultado que tenha mais do que uma página visível de deteções listadas.

Atualmente, o número de itens detetados individuais listados na tabela de detalhes está limitado a 200 regras. Utilize Exportar para guardar a lista completa de deteções num ficheiro CSV.

Para ver todas as regras asr acionadas no Defender para Endpoint Plano 2, utilize a tabela DeviceEvents na investigação avançada.

Detalhes do ficheiro detetados

Quando seleciona um evento de deteção a partir da tabela de detalhes no separador Deteções da página de relatório Regras de redução da superfície de ataque ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao valor de ficheiro Detetado, é aberta uma lista de opções detalhes de Informações de ficheiro com as seguintes informações:

  • Secção de deteções :

    Esta secção mostra uma versão mais pequena do gráfico na página principal filtrada pela deteção de regras ASR para o ficheiro.

    As seguintes ações estão disponíveis nesta secção:

    • Go hunt: No Plano 2 do Defender para Ponto Final, esta ação abre a página de consulta de investigação avançada com o nome de ficheiro detetado especificado na consulta. Por exemplo, para o ficheiro conhost.exe, a consulta tem o seguinte aspeto:

      DeviceEvents
    | where Timestamp >= ago(1d)
    | where FileName == 'conhost.exe'
    | where ActionType startswith 'Asr'
    | extend ParsedFields=parse_json(AdditionalFields)
    | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
    | take 1000

      Para obter mais informações sobre a Investigação avançada, veja Proativamente investigar ameaças com investigação avançada em Microsoft Defender XDR.

    • Abrir a página de ficheiro: abre o ficheiro na página da entidade de ficheiro para o ficheiro detetado no Defender para Endpoint.

  • Secção Possível exclusão e impacto : mostra detalhes sobre as deteções do ficheiro pelas regras do ASR nos últimos 30 dias (o número total de deteções e a percentagem).

  • Adicionar exclusões na parte inferior da lista de opções abre o centro de administração do Microsoft Intune. Para obter mais informações sobre como configurar exclusões para regras ASR, veja Configurar regras e exclusões de redução da superfície de ataque (ASR).

Captura de ecrã a mostrar a lista de opções Detalhes de ficheiros depois de selecionar uma entrada na tabela de detalhes no separador Deteções do relatório Regras de redução da superfície de ataque.

Separador Configuração

Para aceder diretamente ao separador Configuração da página de relatório Regras de redução da superfície de ataque, utilize .https://security.microsoft.com/asr?viewid=configuration

Captura de ecrã do separador Configuração da página de relatório Regras de redução da superfície de ataque no portal Microsoft Defender.

O separador Configuração fornece detalhes de configuração da regra ASR por dispositivo e resumo.

As regras permitem-lhe filtrar os resultados na secção Descrição geral da configuração do dispositivo . Por predefinição, Standard proteção está selecionada para mostrar dados apenas para regras de proteção padrão, mas pode mudar para Todos para mostrar dados para todas as regras do ASR.

A secção Descrição geral da configuração do dispositivo mostra os totais dos estados das regras do ASR com base na proteção do Standard ou em Todos os filtros:

  • Todos os dispositivos expostos: o número de dispositivos com regras ASR não configuradas.
  • O número de Dispositivos com regras não configuradas
  • O número de Dispositivos com regras no modo de auditoria
  • O número de Dispositivos com regras no modo de bloqueio

A tabela de detalhes mostra as seguintes informações para cada dispositivo afetado:

  • Dispositivo: o nome do dispositivo.

  • Configuração geral: resume a condição de todas as regras do ASR no dispositivo. Por exemplo:

    • Regras no modo de bloqueio: algumas regras no dispositivo estão no modo De bloqueio.
    • Regras desativadas: algumas regras no dispositivo estão desativadas.

  • Regras no modo de bloqueio

  • Regras no modo de auditoria

  • Regras no modo de aviso

    Para obter mais informações sobre os diferentes modos de regra ASR, veja Modos de regras ASR.

  • Regras desativadas

  • Regras não aplicáveis: por exemplo, a regra Bloquear a criação de Webshell para Servidores nas estações de trabalho cliente.

  • Unknown

  • ID do Dispositivo: o identificador de valor hash SHA-1 exclusivo para o dispositivo no Microsoft Defender para Ponto de Extremidade. Para obter mais informações, veja Tipo de recurso do computador.

Selecione um cabeçalho de coluna para ordenar por esse valor.

Utilize a caixa Procurar para localizar um dispositivo específico na tabela de detalhes por Valor de ID do Dispositivo ou Dispositivo. São suportadas correspondências parciais.

Detalhes do dispositivo

Quando seleciona uma entrada de dispositivo a partir da tabela de detalhes no separador Configuração da página de relatório Regras de redução da superfície de ataque ao clicar em qualquer parte da linha, é aberta uma lista de opções de detalhes do dispositivo com as seguintes informações:

  • Uma lista de todas as regras asr disponíveis e os respetivos estados no dispositivo:

  • Desabilitado

  • Auditoria

  • Bloquear

  • Avisar

  • Não aplicável

  • Adicionar à política na parte inferior da lista de opções abre o centro de administração do Microsoft Intune. Para obter mais informações sobre as diferentes formas de configurar as regras do ASR, veja Métodos de implementação e configuração para regras ASR.

Captura de ecrã da lista de opções de detalhes dos dispositivos para um dispositivo a partir do separador Configuração da página Relatório de regras de redução da superfície de ataque.

Separador Adicionar exclusões

Importante

Excluir ficheiros ou pastas pode reduzir severamente a proteção fornecida pelas regras do ASR. Os ficheiros excluídos podem ser executados e não é registado nenhum relatório ou evento.

Se as regras do ASR estiverem a detetar ficheiros que acredita que não devem ser detetados, deve mudar a regra para o Modo de auditoria para investigação.

Para aceder diretamente ao separador Adicionar exclusões da página de relatório Regras de redução da superfície de ataque, utilize .https://security.microsoft.com/asr?viewid=exclusions

Captura de ecrã do separador Adicionar exclusões da página de relatório Regras de redução da superfície de ataque no portal do Microsoft Defender.

O separador Adicionar exclusões lista as deteções de ficheiros por regras ASR em todos os dispositivos.

Filtro > Regras ou Filtro permite-lhe filtrar os resultados na página. Por predefinição, Standard proteção está selecionada para mostrar dados apenas para regras de proteção padrão, mas pode mudar para Todos para mostrar dados para todas as regras do ASR.

A tabela de detalhes mostra as seguintes informações:

  • Nome do ficheiro: o nome do ficheiro que acionou o evento da regra ASR.
  • Deteções: o número total de eventos detetados para o ficheiro. Os dispositivos individuais podem acionar vários eventos de regras ASR.
  • Dispositivos: o número de dispositivos onde ocorreu a deteção.

Selecione um cabeçalho de coluna para ordenar por esse valor.

Utilize a caixa Procurar para localizar entradas por nome de ficheiro.

Resumo & painel de impacto esperado

Quando seleciona uma ou mais entradas de ficheiro na tabela de detalhes no separador Adicionar exclusões do relatório Regras de redução da superfície de ataque ao selecionar as caixas de marcar junto à coluna Nome do ficheiro, o painel Resumo & impacto esperado preenche com informações e ações para os ficheiros selecionados:

  • Secção resumo : o número de ficheiros que selecionou.

  • <n> secção de deteções : O que acontecerá às deteções de regras do ASR para os ficheiros selecionados se os excluir das regras do ASR:

    • Quantas deteções de regras serão excluídas (<n> deteções menos após exclusões)
    • Um gráfico que mostra o número de Deteções e Deteções reais após exclusões.

  • <n> secção dispositivos afetados: O que acontecerá às deteções de regras ASR nos dispositivos se excluir os ficheiros selecionados das regras do ASR:

    • <n> dispositivos afetados: quantos dispositivos serão afetados (<n> dispositivos menos após exclusões)
    • Um gráfico que mostra o número de dispositivos que Continuam a ter deteções e Já não têm deteções.

  • As seguintes ações estão disponíveis na parte inferior do painel Resumo & impacto esperado :

    • Adicionar exclusões: abre o centro de administração do Microsoft Intune. Para obter mais informações sobre as diferentes formas de excluir ficheiros e pastas das regras do ASR, veja Exclusões de ficheiros e pastas para regras do ASR.

    • Obter caminhos de exclusão selecionados: gera um AsrExclusionPaths.csv ficheiro com os caminhos completos para os ficheiros afetados para transferência.

Captura de ecrã a mostrar o separador Adicionar exclusões da página de relatório Regras de redução da superfície de ataque com entradas de ficheiro selecionadas.

Conteúdo relacionado

  • Last updated on