Entender e usar recursos de redução de superfície de ataque
Aplica-se a:
- Microsoft Defender XDR
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
Dica
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Superfícies de ataque são todos os lugares em que sua organização está vulnerável a ameaças cibernéticas e ataques. O Defender para Ponto de Extremidade inclui vários recursos para ajudar a reduzir suas superfícies de ataque. Assista ao vídeo a seguir para saber mais sobre a redução da superfície de ataque.
Configurar os recursos de redução da superfície de ataque
Para configurar a redução da superfície de ataque em seu ambiente, siga estas etapas:
Habilitar o isolamento baseado em hardware para o Microsoft Edge.
Habilitar o controle do aplicativo.
Examine as políticas de base no Windows. Consulte Políticas base de exemplo.
Consulte o guia de design Windows Defender Controle de Aplicativo.
Consulte Implantar políticas de WDAC (Controle de Aplicativo Windows Defender).
Habilite a proteção de armazenamento removível.
Habilitar a proteção da Web.
Configure o firewall de rede.
Obtenha uma visão geral do Firewall do Windows com segurança avançada.
Use o guia de design do Firewall do Windows para decidir como você deseja projetar suas políticas de firewall.
Use o guia de implantação do Firewall do Windows para configurar o firewall da sua organização com segurança avançada.
Dica
Na maioria dos casos, ao configurar recursos de redução de superfície de ataque, você pode escolher entre vários métodos:
- Microsoft Intune
- Microsoft Configuration Manager
- Política de grupo
- Cmdlets do PowerShell
Testar a redução da superfície de ataque no Microsoft Defender para Ponto de Extremidade
Como parte da equipe de segurança da sua organização, você pode configurar recursos de redução de superfície de ataque a serem executados no modo de auditoria para ver como eles funcionam. Você pode habilitar os seguintes recursos de segurança de redução de superfície de ataque no modo de auditoria:
- Regras de redução de superfície de ataque
- Proteção de exploração
- Proteção de rede
- Acesso a pastas controladas
- Controle de dispositivos
O modo de auditoria permite que você veja um registro do que teria acontecido se o recurso estivesse habilitado.
Você pode habilitar o modo de auditoria ao testar como os recursos funcionam. Habilitar o modo de auditoria somente para testes ajuda a impedir que o modo de auditoria afete seus aplicativos de linha de negócios. Você também pode ter uma ideia de quantas tentativas suspeitas de modificação de arquivo ocorrem em um determinado período de tempo.
Os recursos não bloqueiam ou impedem que aplicativos, scripts ou arquivos sejam modificados. No entanto, o Log de Eventos do Windows registra eventos como se os recursos estivessem totalmente habilitados. Com o modo de auditoria, você pode examinar o log de eventos para ver qual efeito o recurso teria se ele estivesse habilitado.
Para localizar as entradas auditadas, acesse Aplicativos e Serviços>Microsoft>Windows>Windows Defender>Operational.
Use o Defender para Ponto de Extremidade para obter mais detalhes para cada evento. Esses detalhes são especialmente úteis para investigar regras de redução de superfície de ataque. O uso do console do Defender para Ponto de Extremidade permite investigar problemas como parte dos cenários de linha do tempo de alerta e investigação.
Você pode habilitar o modo de auditoria usando Política de Grupo, PowerShell e CSPs (provedores de serviços de configuração).
| Opções de auditoria | Como habilitar o modo de auditoria | Como exibir eventos |
|---|---|---|
| Auditoria se aplica a todos os eventos | Habilitar o acesso controlado a pastas | Eventos de acesso de pasta controlada |
| Auditoria se aplica a regras individuais | Etapa 1: Testar regras de redução de superfície de ataque usando o modo auditoria | Etapa 2: entender a página de relatório de regras de redução de superfície de ataque |
| Auditoria se aplica a todos os eventos | Habilitar a proteção de rede | Eventos de proteção de rede |
| Auditoria se aplica a mitigações individuais | Habilitar a proteção de exploração | Explorar eventos de proteção |
Por exemplo, você pode testar regras de redução de superfície de ataque no modo de auditoria antes de habilitá-las no modo de bloco. As regras de redução da superfície de ataque são predefinidas para endurecer superfícies de ataque comuns e conhecidas. Há vários métodos que você pode usar para implementar regras de redução de superfície de ataque. O método preferencial é documentado nos seguintes artigos de implantação de regras de redução de superfície de ataque:
- Visão geral da implantação de regras de redução de superfície de ataque
- Planejar a implantação de regras de redução de superfície de ataque
- Testar regras de redução de superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Operacionalizar regras de redução de superfície de ataque
Exibir os eventos da redução da superfície de ataque
Examine os eventos de redução de superfície de ataque no Visualizador de Eventos para monitorar quais regras ou configurações estão funcionando. Você também pode determinar se as configurações estão muito "barulhentas" ou afetando o fluxo de trabalho do dia a dia.
Revisar eventos é útil quando você está avaliando os recursos. Você pode habilitar o modo de auditoria para recursos ou configurações e, em seguida, examinar o que teria acontecido se eles estivessem totalmente habilitados.
Esta seção lista todos os eventos, seu recurso ou configuração associados e descreve como criar exibições personalizadas para filtrar para eventos específicos.
Obtenha relatórios detalhados sobre eventos, blocos e avisos como parte de Segurança do Windows se você tiver uma assinatura E5 e usar Microsoft Defender para Ponto de Extremidade.
Usar exibições personalizadas para revisar recursos de redução de superfície de ataque
Create exibições personalizadas no Windows Visualizador de Eventos para ver apenas eventos para funcionalidades e configurações específicas. A maneira mais fácil é importar uma exibição personalizada como um arquivo XML. Você pode copiar o XML diretamente desta página.
Você também pode navegar manualmente até a área de evento que corresponde ao recurso.
Importar uma exibição personalizada XML existente
Create um arquivo .txt vazio e copie o XML para a exibição personalizada que você deseja usar no arquivo .txt. Faça isso para cada uma das exibições personalizadas que você deseja usar. Renomeie os arquivos da seguinte maneira (verifique se você altera o tipo de .txt para .xml):
- Exibição personalizada de eventos de acesso de pasta controlada: cfa-events.xml
- Exploração da exibição personalizada de eventos de proteção: ep-events.xml
- Exibição personalizada de eventos de redução de superfície de ataque: asr-events.xml
- Exibição personalizada de eventos de rede/proteção: np-events.xml
Digite o visualizador de eventos no menu Iniciar e abra Visualizador de Eventos.
Selecione Ação Importar Exibição>Personalizada...
Navegue até onde você extraí o arquivo XML para a exibição personalizada desejada e selecione-o.
Selecione Abrir.
Ele cria uma exibição personalizada que filtra para mostrar apenas os eventos relacionados a esse recurso.
Copiar o XML diretamente
Digite o visualizador de eventos no menu Iniciar e abra o windows Visualizador de Eventos.
No painel esquerdo, em Ações, selecione Create Exibição Personalizada...
Acesse a guia XML e selecione Editar consulta manualmente. Você verá um aviso de que não pode editar a consulta usando a guia Filtrar se usar a opção XML. Selecione Sim.
Cole o código XML para o recurso do qual você deseja filtrar eventos na seção XML.
Clique em OK. Especifique um nome para o filtro. Essa ação cria uma exibição personalizada que filtra para mostrar apenas os eventos relacionados a esse recurso.
XML para eventos de regra de redução de superfície de ataque
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acesso controlado à pasta
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção de exploração
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção de rede
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista de eventos de redução de superfície de ataque
Todos os eventos de redução de superfície de ataque estão localizados em Logs de Aplicativos e Serviços > Microsoft > Windows e, em seguida, a pasta ou provedor conforme listado na tabela a seguir.
Você pode acessar esses eventos no visualizador de eventos do Windows:
Abra o menu Iniciar e digite o visualizador de eventos e selecione o resultado Visualizador de Eventos.
Expanda Logs de Aplicativos e Serviços > Microsoft > Windows e, em seguida, vá para a pasta listada em Provedor/fonte na tabela abaixo.
Clique duas vezes no sub item para ver eventos. Role os eventos para encontrar o que você está procurando.
| Recurso | Provedor/origem | ID do Evento | Descrição |
|---|---|---|---|
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 1 | Auditoria do ACG |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 2 | Imposição do ACG |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 3 | Não permitir auditoria de processos filho |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 4 | Não permitir bloqueio de processos filho |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 5 | Bloquear a auditoria de imagens de baixa integridade |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 6 | Bloquear o bloco de imagens de baixa integridade |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 7 | Bloquear a auditoria de imagens remotas |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 8 | Bloquear o bloco de imagens remotas |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 9 | Desativar as chamadas do sistema win32k |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 10 | Desativar o bloco de chamadas do sistema win32k |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 11 | Auditoria de proteção da integridade do código |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 12 | Bloquear a proteção da integridade do código |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 13 | Auditoria da EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 14 | Imposição da EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 15 | Auditoria + EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 16 | Imposição + EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 17 | Auditoria da IAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 18 | Imposição da IAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 19 | Auditoria do ROP StackPivot |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 20 | Imposição do ROP StackPivot |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 21 | Auditoria do ROP CallerCheck |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 22 | Imposição do ROP CallerCheck |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 23 | Auditoria do ROP SimExec |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 24 | Imposição do SimExec ROP |
| Proteção de exploração | Diagnóstico do WER | 5 | Bloco CFG |
| Proteção de exploração | Win32K (operacional) | 260 | Fonte Não Confiável |
| Proteção de rede | Windows Defender (operacional) | 5007 | Evento quando as configurações são alteradas |
| Proteção de rede | Windows Defender (operacional) | 1125 | Evento quando a proteção de rede é disparada no modo de auditoria |
| Proteção de rede | Windows Defender (operacional) | 1126 | Evento quando a proteção de rede é disparada no modo de bloco |
| Acesso a pastas controladas | Windows Defender (operacional) | 5007 | Evento quando as configurações são alteradas |
| Acesso a pastas controladas | Windows Defender (operacional) | 1124 | Evento de acesso de pasta controlada auditado |
| Acesso a pastas controladas | Windows Defender (operacional) | 1123 | Evento de acesso de pasta controlado bloqueado |
| Acesso a pastas controladas | Windows Defender (operacional) | 1127 | Evento de bloco de gravação do setor de acesso controlado bloqueado |
| Acesso a pastas controladas | Windows Defender (operacional) | 1128 | Evento de bloco de gravação do setor de acesso controlado auditado |
| Redução de superfície de ataque | Windows Defender (operacional) | 5007 | Evento quando as configurações são alteradas |
| Redução de superfície de ataque | Windows Defender (operacional) | 1122 | Evento quando a regra é disparada no modo de auditoria |
| Redução de superfície de ataque | Windows Defender (operacional) | 1121 | Evento quando a regra é disparada no modo de bloco |
Observação
Do ponto de vista do usuário, as notificações de modo aviso de redução de superfície de ataque são feitas como uma Notificação do Windows Toast para regras de redução de superfície de ataque.
Na redução da superfície de ataque, a Proteção de Rede fornece apenas modos Audit e Block.
Recursos para saber mais sobre a redução da superfície de ataque
Conforme mencionado no vídeo, o Defender para Ponto de Extremidade inclui várias funcionalidades de redução de superfície de ataque. Use os seguintes recursos para saber mais:
| Artigo | Descrição |
|---|---|
| Controle de aplicativos | Use o controle do aplicativo para que seus aplicativos ganhem confiança para serem executados. |
| Referência de regras de redução de superfície de ataque | Fornece detalhes sobre cada regra de redução de superfície de ataque. |
| Guia de implantação de regras de redução de superfície de ataque | Apresenta informações de visão geral e pré-requisitos para implantar regras de redução de superfície de ataque, seguidos de diretrizes passo a passo para testes (modo de auditoria), habilitação (modo de bloqueio) e monitoramento. |
| Acesso controlado a pastas | Ajude a impedir que aplicativos mal-intencionados ou suspeitos (incluindo malware de ransomware criptografador de arquivos) façam alterações em arquivos em suas pastas do sistema de chaves (requer Microsoft Defender Antivírus). |
| Controle de dispositivo | Protege contra perda de dados monitorando e controlando mídia usada em dispositivos, como armazenamento removível e unidades USB, em sua organização. |
| Proteção contra exploração | Ajude a proteger os sistemas operacionais e os aplicativos que sua organização usa de serem explorados. A proteção contra exploração também funciona com soluções antivírus de terceiros. |
| Isolamento baseado em hardware | Proteja e mantenha a integridade de um sistema ao iniciá-lo e enquanto está em execução. Valide a integridade do sistema por meio de atestados locais e remotos. Use o isolamento de contêiner para o Microsoft Edge para ajudar a proteger contra sites mal-intencionados. |
| Proteção de rede | Estenda a proteção ao tráfego de rede e à conectividade nos dispositivos da sua organização. (Requer o Microsoft Defender Antivírus.) |
| Testar regras de redução de superfície de ataque | Fornece etapas para usar o modo de auditoria para testar regras de redução de superfície de ataque. |
| Proteção na web | A proteção da Web permite proteger seus dispositivos contra ameaças da Web e ajuda você a regular conteúdo indesejado. |
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.