Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Rever eventos no Visualizador de Eventos é útil quando avalia as funcionalidades de redução da superfície de ataque. Por exemplo, pode ativar o modo de auditoria para funcionalidades ou definições e, em seguida, rever o que aconteceria se estivessem totalmente ativados. Também pode ver os efeitos das funcionalidades de redução da superfície de ataque quando estão totalmente ativadas.
Este artigo descreve como utilizar o Windows Visualizador de Eventos para ver eventos de capacidades de redução da superfície de ataque (ASR), incluindo:
- Regras da redução da superfície de ataque
- Acesso controlado a pastas
- Proteção contra exploração
- Proteção de rede
Para ver eventos de redução da superfície de ataque, tem as seguintes opções, conforme explicado no resto deste artigo:
- Procurar eventos de redução da superfície de ataque no Windows Visualizador de Eventos: como navegar para eventos de redução da superfície de ataque no Visualizador de Eventos e os IDs de evento para cada capacidade de redução da superfície de ataque.
- Utilize vistas personalizadas no Windows Visualizador de Eventos para ver eventos de redução da superfície de ataque: Como criar ou importar vistas personalizadas para filtrar Visualizador de Eventos para capacidades ASR específicas e modelos de consulta XML prontos a utilizar.
Dica
Pode utilizar o Reencaminhamento de Eventos do Windows para centralizar a recolha de eventos de redução da superfície de ataque a partir de vários dispositivos.
O portal do Microsoft Defender também fornece relatórios para funcionalidades de redução da superfície de ataque que são mais fáceis de utilizar do que o Windows Visualizador de Eventos:
Procurar eventos de redução da superfície de ataque no Windows Visualizador de Eventos
Todos os eventos de redução da superfície de ataque estão localizados nos Registos de Aplicações e Serviços. Para ver eventos de redução da superfície de ataque, siga os seguintes passos:
Selecione Iniciar, escreva Visualizador de Eventos e, em seguida, prima Enter para abrir Visualizador de Eventos.
No Visualizador de Eventos, expanda Registos de Aplicações e Serviços> doMicrosoft>Windows.
Continue a expandir o caminho para os diferentes tipos de eventos de redução da superfície de ataque, conforme descrito nas seguintes subsecções.
Localize e filtre os eventos que pretende ver, conforme descrito nas seguintes subsecções.
Eventos de regras do ASR
Os eventos de regras do ASR estão localizados no registoOperacional do Windows Defender>:
| ID do Evento | Descrição |
|---|---|
| 1121 | Evento quando a regra é acionada no modo de bloco |
| 1122 | Evento quando a regra é acionada no modo de auditoria |
| 1129 | Evento quando o utilizador substitui o bloco no modo de aviso |
| 5007 | Evento quando as definições são alteradas |
Eventos de acesso controlado a pastas
Os eventos de acesso controlado a pastas estão localizados no Windows Defender>Operational.
| ID do Evento | Descrição |
|---|---|
| 5007 | Evento quando as definições são alteradas |
| 1124 | Evento de acesso controlado a pastas auditadas |
| 1123 | Evento de acesso controlado a pastas bloqueado |
| 1127 | Evento de bloco de escrita do setor de acesso a pastas controlado bloqueado |
| 1128 | Evento de bloco de escrita do setor de acesso a pastas controlado auditado |
Eventos de proteção contra exploits
Os seguintes eventos de proteção contra exploits estão localizados nos registosModo kernelde Mitigações> de Segurança e Modo de Utilizador de Mitigações> de Segurança:
| ID do Evento | Descrição |
|---|---|
| 1 | Auditoria do ACG |
| 2 | Imposição do ACG |
| 3 | Não permitir auditoria de processos filho |
| 4 | Não permitir bloqueio de processos filho |
| 5 | Bloquear a auditoria de imagens de baixa integridade |
| 6 | Bloquear o bloco de imagens de baixa integridade |
| 7 | Bloquear a auditoria de imagens remotas |
| 8 | Bloquear o bloco de imagens remotas |
| 9 | Desativar as chamadas do sistema win32k |
| 10 | Desativar o bloco de chamadas do sistema win32k |
| 11 | Auditoria de proteção da integridade do código |
| 12 | Bloquear a proteção da integridade do código |
| 13 | Auditoria da EAF |
| 14 | Imposição da EAF |
| 15 | Auditoria + EAF |
| 16 | Imposição + EAF |
| 17 | Auditoria da IAF |
| 18 | Imposição da IAF |
| 19 | Auditoria do ROP StackPivot |
| 20 | Imposição do ROP StackPivot |
| 21 | Auditoria do ROP CallerCheck |
| 22 | Imposição do ROP CallerCheck |
| 23 | Auditoria do ROP SimExec |
| 24 | Imposição do SimExec ROP |
O seguinte evento de exploit protection está localizado no registoOperacionalWER-Diagnostics>:
| ID do Evento | Descrição |
|---|---|
| 5 | Bloco CFG |
O seguinte evento exploit protection está localizado no registoOperacionalwin32k>:
| ID do Evento | Descrição |
|---|---|
| 260 | Fonte Não Confiável |
Eventos de proteção de rede
Os eventos de proteção de rede estão localizados no Windows Defender>Operational.
| ID do Evento | Descrição |
|---|---|
| 5007 | Evento quando as definições são alteradas |
| 1125 | Evento quando a proteção de rede é acionada no modo de auditoria |
| 1126 | Evento quando a proteção de rede é acionada no modo de bloqueio |
Utilizar vistas personalizadas no Windows Visualizador de Eventos para ver eventos de redução da superfície de ataque
Pode criar vistas personalizadas no Windows Visualizador de Eventos para ver apenas os eventos para capacidades específicas de redução da superfície de ataque. A forma mais fácil é importar uma vista personalizada como um ficheiro XML. Também pode copiar o XML diretamente para Visualizador de Eventos.
Para modelos XML prontos a utilizar, veja a secção Modelos XML personalizados para eventos de redução da superfície de ataque .
Importar uma vista personalizada XML existente
Crie um ficheiro .txt vazio e copie o XML para a vista personalizada que pretende utilizar no ficheiro .txt. Efetue este passo para cada uma das vistas personalizadas que pretende utilizar. Mude o nome dos ficheiros da seguinte forma (certifique-se de que altera o tipo de .txt para .xml):
- Vista personalizada de eventos de acesso controlado a pastas: cfa-events.xml
- Vista personalizada de eventos de proteção contra exploits: ep-events.xml
- Vista personalizada de eventos de redução da superfície de ataque: asr-events.xml
- Vista personalizada de eventos de proteção de rede: np-events.xml
Selecione Iniciar, escreva Visualizador de Eventos e, em seguida, prima Enter para abrir Visualizador de Eventos.
Selecione Importar Ação>Vista Personalizada...
Navegue para o ficheiro XML da vista personalizada que pretende e selecione-a.
Selecione Abrir.
A vista personalizada filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Copiar o XML diretamente
Selecione Iniciar, escreva Visualizador de Eventos e, em seguida, prima Enter para abrir Visualizador de Eventos.
No painel Ações , selecione Criar Vista Personalizada...
Aceda ao separador XML e selecione Editar consulta manualmente. Um aviso indica que não pode editar a consulta com o separador Filtro quando utiliza a opção XML. Selecione Sim.
Cole o código XML da funcionalidade a partir da qual pretende filtrar eventos na secção XML.
Selecione OK. Especifique um nome para o filtro. A vista personalizada filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Modelos XML personalizados para eventos de redução da superfície de ataque
XML para eventos de regra de redução da superfície de ataque
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acesso controlado a pastas
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção contra exploits
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção de rede
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>