Relatório de regras de redução de superfície de ataque
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Plataformas:
- Windows
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
O relatório de regras de redução da superfície de ataque fornece informações sobre as regras de redução da superfície de ataque que são aplicadas a dispositivos em sua organização. Este relatório também fornece informações sobre:
- ameaças detectadas
- ameaças bloqueadas
- dispositivos que não estão configurados para usar as regras de proteção padrão para bloquear ameaças
Além disso, este relatório fornece uma interface fácil de usar que permite:
- Exibir detecções de ameaças
- Exibir a configuração das regras ASR
- Configurar exclusões (adicionar)
- Ativar facilmente a proteção básica habilitando as três regras ASR mais recomendadas com um único alternância
- Detalhar para coletar informações detalhadas
Para obter mais informações sobre regras individuais de redução de superfície de ataque, consulte Referência de regras de redução de superfície de ataque.
Pré-requisitos
Importante
Para acessar o relatório Regras de redução de superfície de ataque, as permissões de leitura são necessárias para o portal Microsoft Defender. O acesso a este relatório concedido por funções Microsoft Entra, como segurança global Administração ou função de segurança, está sendo preterido e será removido em abril de 2023. Para que Windows Server 2012 R2 e Windows Server 2016 apareçam no relatório Regras de redução de superfície de ataque, esses dispositivos devem ser integrados usando o pacote de solução unificada moderno. Para obter mais informações, confira Nova funcionalidade na solução unificada moderna para Windows Server 2012 R2 e 2016.
Permissões de acesso de relatório
Para acessar o relatório regras de redução de superfície de ataque no dashboard de segurança do Microsoft 365, as seguintes permissões são necessárias:
| Tipo de permissão | Permissão | Nome da exibição de permissão |
|---|---|---|
| Application | Machine.Read.All | 'Ler todos os perfis de máquina' |
| Delegado (conta corporativa ou de estudante) | Machine.Read | 'Ler informações do computador' |
Para atribuir essas permissões:
- Entre em Microsoft Defender XDR usando a conta com o administrador de segurança ou Administrador global função atribuída.
- No painel de navegação, selecione Configurações>Funçõesde Pontos de> Extremidade (em Permissões).
- Selecione a função que você gostaria de editar.
- Selecione Editar.
- Na função Editar, na guia Geral , em Nome da Função, digite um nome para a função.
- Em Descrição digite um breve resumo da função.
- Em Permissões, selecione Exibir Dados e, em Exibir Dados , selecione Redução de superfície de ataque.
Para obter mais informações sobre o gerenciamento de função de usuário, consulte Create e gerenciar funções para controle de acesso baseado em função.
Navegação
Para navegar até os cartões de resumo do relatório de regras de redução de superfície de ataque
- Abra Microsoft Defender XDR portal.
- No painel esquerdo, clique emRelatórios e, na seção main, em Relatórios selecione Relatório de segurança.
- Role para baixo até Dispositivos para encontrar os cartões de resumo de regras de redução de superfície de ataque .
Os cartões de relatório de resumo para regras ASR são mostrados na figura a seguir.
Cartões de resumo de relatório de regras ASR
O resumo do relatório de regras do ASR é dividido em dois cartões:
Resumo de detecções de regras do ASR cartão
Mostra um resumo do número de ameaças detectadas bloqueadas pelas regras do ASR.
Fornece dois botões de "ação":
- Exibir detecções – abre a guia Regras de redução > de superfície de ataque main Detecções
- Adicionar exclusões – abre a guia Regras de redução > de superfície de ataque main exclusões
Clicar no link detecções de regras ASR na parte superior do cartão também abre a guia main Regras de redução de superfície de ataque Detecções.
resumo de configuração de regras do ASR cartão
A seção superior se concentra em três regras recomendadas, que protegem contra técnicas de ataque comuns. Este cartão mostra informações de estado atual sobre os computadores em sua organização que têm as seguintes três regras de proteção padrão (ASR) definidas no modo bloquear, modo auditar ou desativar (não configuradas). O botão Proteger dispositivos mostrará detalhes completos da configuração apenas para as três regras; os clientes podem agir rapidamente para habilitar essas regras.
A seção inferior apresenta seis regras com base no número de dispositivos desprotegidos por regra. O botão "Exibir configuração" apresenta todos os detalhes de configuração para todas as regras ASR. O botão "Adicionar exclusão" mostra a página adicionar exclusão com todos os nomes de arquivo/processo detectados listados para o SOC (Security Operation Center) a ser avaliado. A página Adicionar exclusão está vinculada a Microsoft Intune.
Fornece dois botões de "ação":
- Exibir configuração – abre a guia Regras de redução > de superfície de ataque main Detecções
- Adicionar exclusões – abre a guia Regras de redução > de superfície de ataque main exclusões
Clicar no link de configuração de regras DO ASR na parte superior do cartão também abre a guia Configuração de regras de redução de superfície de ataque main.
Opção de proteção padrão simplificada
O resumo da configuração cartão fornece um botão para Proteger dispositivos com as três regras de proteção padrão. No mínimo, a Microsoft recomenda que você habilite estas três regras de proteção padrão de redução de superfície de ataque:
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
- Bloquear o abuso de motoristas conectados vulneráveis explorados
- Bloquear a persistência por meio da assinatura de evento WMI (Instrumentação de Gerenciamento do Windows)
Para habilitar as três regras de proteção padrão:
- Selecione Proteger dispositivos. A guia Configuração main é aberta.
- Na guia Configuração , as regras básicas alternam automaticamente de Todas as regras para regras de proteção Padrão habilitadas.
- Na lista Dispositivos , selecione os dispositivos para os quais você deseja que as regras de proteção padrão sejam aplicadas e selecione Salvar.
Este cartão tem dois outros botões de navegação:
- Exibir configuração – abre a guia De redução> de superfície de ataque main guia Configuração.
- Adicionar exclusões – abre a guia Regras de redução > de superfície de ataque main Exclusões.
Clicar no link de configuração de regras DO ASR na parte superior do cartão também abre a guia Configuração de regras de redução de superfície de ataque main.
Regras de redução de superfície de ataque main guias
Embora os cartões de resumo de relatório de regras ASR sejam úteis para obter um resumo rápido das regras do ASR status, as guias main fornecem informações mais detalhadas, com recursos de filtragem e configuração:
Recursos de pesquisa
Pesquisa funcionalidade é adicionada às guias Detecção, Configuração e Adicionar main de exclusão. Com esse recurso, você pode pesquisar usando a ID do dispositivo, o nome do arquivo ou o nome do processo.
Filtragem
A filtragem fornece uma maneira de especificar quais resultados são retornados:
- A data permite que você especifique um intervalo de datas para os resultados dos dados.
- Filtros
Observação
Ao filtrar por regra, o número de itens detectados individuais listados na metade inferior do relatório está atualmente limitado a 200 regras. Você pode usar Exportar para salvar a lista completa de detecções para o Excel.
Dica
Como o filtro funciona atualmente nesta versão, sempre que você deseja "agrupar por", primeiro você deve rolar para baixo até a última detecção na lista para carregar o conjunto de dados completo. Depois de carregar o conjunto de dados completo, você poderá iniciar a filtragem "classificar por". Se você não rolar para baixo até a última detecção listada em cada uso ou ao alterar as opções de filtragem (por exemplo, as regras ASR aplicadas à execução do filtro atual), os resultados estarão incorretos para qualquer resultado que tenha mais de uma página exibiível de detecções listadas.
Guia de detecções de main regras de redução de superfície de ataque
- Detecções de auditoria Mostra quantas detecções de ameaças foram capturadas por regras definidas no modo Auditoria .
- Detecções bloqueadas Mostra quantas detecções de ameaças foram bloqueadas por regras definidas no modo Bloquear .
- Gráfico grande e consolidado Mostra detecções bloqueadas e auditadas.
Os grafos fornecem dados de detecção sobre o intervalo de datas exibido, com a capacidade de passar o mouse sobre um local específico para coletar informações específicas da data.
A seção inferior do relatório lista ameaças detectadas - por dispositivo - com os seguintes campos:
| Nome do campo | Definição |
|---|---|
| Arquivo detectado | O arquivo determinado a conter uma ameaça possível ou conhecida |
| Detectado em | A data em que a ameaça foi detectada |
| Bloqueado/auditado? | Se a regra de detecção do evento específico estava no modo Bloquear ou Auditoria |
| Regra | Qual regra detectou a ameaça |
| Aplicativo de origem | O aplicativo que fez a chamada para o "arquivo detectado" ofensivo |
| Dispositivo | O nome do dispositivo no qual ocorreu o evento Audit or Block |
| Grupo de dispositivos | O grupo active directory ao qual o dispositivo pertence |
| Usuário | A conta do computador responsável pela chamada |
| Publisher | A empresa que lançou o .exe ou aplicativo específico |
Para obter mais informações sobre os modos de regra e bloqueio do ASR, consulte Modos de regra de redução de superfície de ataque.
Flyout acionável
A página "Detecção" main tem uma lista de todas as detecções (arquivos/processos) nos últimos 30 dias. Selecione em qualquer uma das detecções a serem abertas com recursos de detalhamento.
A seção Possível exclusão e impacto fornece impacto do arquivo ou processo selecionado. Você pode:
- Selecione Ir hunt que abre a página de consulta de Caça Avançada
- Abrir página de arquivo abre Microsoft Defender para Ponto de Extremidade detecção
- O botão Adicionar exclusão está vinculado à página adicionar exclusão main.
A imagem a seguir ilustra como a página de consulta de Caça Avançada é aberta a partir do link no flyout acionável:
Para obter mais informações sobre a caça avançada, consulte Proativamente procurar ameaças com caça avançada em Microsoft Defender XDR
Guia De redução de superfície de ataque main Guia Configuração
A guia Regras do ASR main Configuração fornece detalhes de configuração de regras ASR de resumo e por dispositivo. Há três aspectos main na guia Configuração:
Regras básicas Fornece um método para alternar resultados entre regras básicas e todas as regras. Por padrão, as regras básicas são selecionadas.
Visão geral da configuração do dispositivo Fornece uma instantâneo atual de dispositivos em um dos seguintes estados:
- Todos os dispositivos expostos (dispositivos com pré-requisitos ausentes, regras no modo auditoria, regras configuradas incorretamente ou regras não configuradas)
- Dispositivos com regras não configuradas
- Dispositivos com regras no modo de auditoria
- Dispositivos com regras no modo de bloco
A seção inferior sem nome da guia Configuração fornece uma listagem do estado atual de seus dispositivos (por dispositivo):
- Dispositivo (nome)
- Configuração geral (se todas as regras estão ativadas ou todas estão desativadas)
- Regras no modo de bloco (o número de regras por dispositivo definidas para bloquear)
- Regras no modo de auditoria (o número de regras no modo de auditoria)
- Regras desativadas (regras que estão desativadas ou não estão habilitadas)
- ID do dispositivo (guid do dispositivo)
Esses elementos são mostrados na figura a seguir.
Para habilitar as regras do ASR:
- Em Dispositivo, selecione o dispositivo ou dispositivos para os quais você deseja aplicar regras ASR.
- Na janela de sobrevoo, verifique suas seleções e selecione Adicionar à política.
A guia Configuração e o flyout de regra de adição são mostrados na imagem a seguir.
[OBSERVAÇÃO!] Se você tiver dispositivos que exigem que regras ASR diferentes sejam aplicadas, você deverá configurar esses dispositivos individualmente.
Regras de redução de superfície de ataque Adicionar guia exclusões
A guia Adicionar exclusões apresenta uma lista classificada de detecções por nome de arquivo e fornece um método para configurar exclusões. Por padrão, adicionar informações de exclusões está listado para três campos:
- Nome do arquivo O nome do arquivo que acionou o evento de regras ASR.
- Detecções O número total de eventos detectados para o arquivo nomeado. Dispositivos individuais podem disparar vários eventos de regras ASR.
- Dispositivos O número de dispositivos nos quais a detecção ocorreu.
Importante
A exclusão de arquivos ou pastas pode reduzir severamente a proteção fornecida pelas regras do ASR. Os arquivos excluídos podem ser executados e nenhum relatório ou evento será registrado. Se as regras ASR estiverem detectando arquivos que você acredita que não devem ser detectados, primeiro você deve usar o modo de auditoria para testar a regra.
Quando você seleciona um arquivo, um resumo & impacto esperado é aberto, apresentando os seguintes tipos de informações:
- Arquivos selecionados O número de arquivos selecionados para exclusão
- (número de) detecções Declara a redução esperada das detecções após a adição das exclusões selecionadas. A redução das detecções é representada graficamente para detecções e detecções reais após exclusões
- (número de) dispositivos afetados Afirma a redução esperada de dispositivos que relatam detecções para as exclusões selecionadas.
A página Adicionar exclusão tem dois botões para ações que podem ser usadas em todos os arquivos detectados (após a seleção). Você pode:
- Adicione a exclusão que abrirá Microsoft Intune página de política ASR. Para obter mais informações, consulte: Intune em "Habilitar métodos de configuração alternativas de regras ASR".
- Obter caminhos de exclusão que baixarão caminhos de arquivo em um formato csv
Confira também
- Visão geral da implantação de regras de redução de superfície de ataque
- Planejar a implantação de regras de redução de superfície de ataque
- Testar regras de redução de superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Operacionalizar regras de redução de superfície de ataque
- Relatório de regras de redução de superfície de ataque (ASR)
- Referência de regras de redução de superfície de ataque
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de