Solucionar problemas de regras de redução de superfície de ataque

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Quando você usa regras de redução de superfície de ataque , você pode encontrar problemas, como:

• Uma regra bloqueia um arquivo, processo ou executa alguma outra ação que não deve (falso positivo)
• Uma regra não funciona conforme descrito ou não bloqueia um arquivo ou processo que deve (falso negativo)

Há quatro etapas para solucionar esses problemas:

1. Confirmar pré-requisitos
2. Usar o modo de auditoria para testar a regra
3. Adicionar exclusões para a regra especificada (para falsos positivos)
4. Enviar logs de suporte

Confirmar pré-requisitos

As regras de redução de superfície de ataque só funcionam em dispositivos com as seguintes condições:

• Os pontos de extremidade estão sendo executados Windows 10 Enterprise ou posterior.

• Os pontos de extremidade estão usando Microsoft Defender Antivírus como o único aplicativo de proteção antivírus. O uso de qualquer outro aplicativo antivírus faz com que Microsoft Defender Antivírus se desabilite.

• A proteção em tempo real está habilitada.

• O modo de auditoria não está habilitado. Use Política de Grupo para definir a regra como Desabilitada (valor: 0) conforme descrito em Habilitar regras de redução de superfície de ataque.

Se esses pré-requisitos forem atendidos, prossiga para a próxima etapa para testar a regra no modo de auditoria.

Usar o modo de auditoria para testar a regra

Siga estas instruções em Usar a ferramenta de demonstração para ver como as regras de redução de superfície de ataque funcionam para testar a regra específica com a qual você está enfrentando problemas.

1. Habilite o modo de auditoria para a regra específica que você deseja testar. Use Política de Grupo para definir a regra como Modo de auditoria (valor: 2) conforme descrito em Habilitar regras de redução de superfície de ataque. O modo de auditoria permite que a regra informe o arquivo ou o processo, mas permite que ele seja executado.

2. Execute a atividade que está causando um problema (por exemplo, abra ou execute o arquivo ou processo que deve ser bloqueado, mas está sendo permitido).

3. Examine os logs de eventos da regra de redução de superfície de ataque para ver se a regra bloquearia o arquivo ou o processo se a regra fosse definida como Habilitada.

Se uma regra não estiver bloqueando um arquivo ou processo que você espera que ele seja bloqueado, primeiro marcar se o modo de auditoria estiver habilitado.

O modo de auditoria pode estar habilitado para testar outro recurso ou por um script automatizado do PowerShell e pode não ser desabilitado após a conclusão dos testes.

Se você testou a regra com a ferramenta de demonstração e com o modo de auditoria, e as regras de redução de superfície de ataque estão funcionando em cenários pré-configurados, mas a regra não está funcionando conforme o esperado, prossiga para uma das seguintes seções com base em sua situação:

1. Se a regra de redução da superfície de ataque estiver bloqueando algo que não deve ser bloqueado (também conhecido como falso positivo), primeiro você poderá adicionar uma exclusão da regra de redução da superfície de ataque.

2. Se a regra de redução da superfície de ataque não estiver bloqueando algo que deve bloquear (também conhecido como falso negativo), você poderá prosseguir imediatamente para a última etapa, coletando dados de diagnóstico e enviando o problema para nós.

Adicionar exclusões para um falso positivo

Se a regra de redução da superfície de ataque estiver bloqueando algo que não deve bloquear (também conhecido como falso positivo), você poderá adicionar exclusões para impedir que as regras de redução de superfície de ataque avaliem os arquivos ou pastas excluídos.

Para adicionar uma exclusão, consulte Personalizar a redução da superfície de ataque.

Importante

Você pode especificar arquivos e pastas individuais a serem excluídos, mas não pode especificar regras individuais. Isso significa que todos os arquivos ou pastas excluídos serão excluídos de todas as regras ASR.

Relatar um falso positivo ou falso negativo

Use o Inteligência de Segurança da Microsoft formulário de envio baseado na Web para relatar um falso negativo ou falso positivo para proteção de rede. Com uma assinatura do Windows E5, você também pode fornecer um link para qualquer alerta associado.

Coletar dados de diagnóstico para envios de arquivos

Quando você relata um problema com regras de redução de superfície de ataque, você é solicitado a coletar e enviar dados de diagnóstico que podem ser usados pelas equipes de suporte e engenharia da Microsoft para ajudar a solucionar problemas.

1. Abra um prompt de comando elevado e altere para o diretório Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Execute este comando para gerar os logs de diagnóstico:

   mpcmdrun -getfiles
   

3. Por padrão, eles são salvos em C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Anexar o arquivo ao formulário de envio.

Artigos relacionados

• Regras da redução da superfície de ataque
• Habilitar regras da redução da superfície de ataque
• Avaliar as regras da redução da superfície de ataque

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.