Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Rever eventos no Visualizador de Eventos é útil quando avalia as funcionalidades de redução da superfície de ataque. Por exemplo, pode ativar o modo de auditoria para funcionalidades ou definições e, em seguida, rever o que aconteceria se estivessem totalmente ativados. Também pode ver os efeitos das funcionalidades de redução da superfície de ataque quando estão totalmente ativadas.
Este artigo descreve como utilizar o Windows Visualizador de Eventos para ver eventos de capacidades de redução da superfície de ataque (ASR), incluindo:
- Regras de redução da superfície de ataque
- Acesso controlado a pastas
- Proteção contra exploits
- Proteção da rede
Para ver eventos de redução da superfície de ataque, tem as seguintes opções, conforme explicado no resto deste artigo:
- Procurar eventos de redução da superfície de ataque no Windows Visualizador de Eventos: como navegar para eventos de redução da superfície de ataque no Visualizador de Eventos e os IDs de evento para cada capacidade de redução da superfície de ataque.
- Utilize vistas personalizadas no Windows Visualizador de Eventos para ver eventos de redução da superfície de ataque: Como criar ou importar vistas personalizadas para filtrar Visualizador de Eventos para capacidades ASR específicas e modelos de consulta XML prontos a utilizar.
Sugestão
Pode utilizar o Reencaminhamento de Eventos do Windows para centralizar a recolha de eventos de redução da superfície de ataque a partir de vários dispositivos.
O portal do Microsoft Defender também fornece relatórios para funcionalidades de redução da superfície de ataque que são mais fáceis de utilizar do que o Windows Visualizador de Eventos:
Procurar eventos de redução da superfície de ataque no Windows Visualizador de Eventos
Todos os eventos de redução da superfície de ataque estão localizados nos Registos de Aplicações e Serviços. Para ver eventos de redução da superfície de ataque, siga os seguintes passos:
Selecione Iniciar, escreva Visualizador de Eventos e, em seguida, prima Enter para abrir Visualizador de Eventos.
No Visualizador de Eventos, expanda Registos de Aplicações e Serviços> doMicrosoft>Windows.
Continue a expandir o caminho para os diferentes tipos de eventos de redução da superfície de ataque, conforme descrito nas seguintes subsecções.
Localize e filtre os eventos que pretende ver, conforme descrito nas seguintes subsecções.
Eventos de regras do ASR
Os eventos de regras do ASR estão localizados no registoOperacional do Windows Defender>:
| ID do Evento | Descrição |
|---|---|
| 1121 | Evento quando a regra é acionada no modo de bloco |
| 1122 | Evento quando a regra é acionada no modo de auditoria |
| 1129 | Evento quando o utilizador substitui o bloco no modo de aviso |
| 5007 | Evento quando as definições são alteradas |
Eventos de acesso controlado a pastas
Os eventos de acesso controlado a pastas estão localizados no Windows Defender>Operational.
| ID do Evento | Descrição |
|---|---|
| 5007 | Evento quando as definições são alteradas |
| 1124 | Evento de acesso controlado a pastas auditadas |
| 1123 | Evento de acesso controlado a pastas bloqueado |
| 1127 | Evento de bloco de escrita do setor de acesso a pastas controlado bloqueado |
| 1128 | Evento de bloco de escrita do setor de acesso a pastas controlado auditado |
Eventos de proteção contra exploits
Os seguintes eventos de proteção contra exploits estão localizados nos registosModo kernelde Mitigações> de Segurança e Modo de Utilizador de Mitigações> de Segurança:
| ID do Evento | Descrição |
|---|---|
| 1 | Auditoria ACG |
| 2 | APLICAÇÃO ACG |
| 3 | Não permitir a auditoria de processos subordinados |
| 4 | Não permitir o bloqueio de processos subordinados |
| 5 | Bloquear auditoria de imagens de integridade baixa |
| 6 | Bloquear bloco de imagens de baixa integridade |
| 7 | Bloquear auditoria de imagens remotas |
| 8 | Bloquear bloco de imagens remotas |
| 9 | Desativar auditoria de chamadas do sistema win32k |
| 10 | Desativar o bloco de chamadas do sistema win32k |
| 11 | Auditoria de proteção de integridade do código |
| 12 | Bloco de proteção de integridade do código |
| 13 | Auditoria do EAF |
| 14 | Imposição do EAF |
| 15 | Auditoria EAF+ |
| 16 | Impor EAF+ |
| 17 | Auditoria do IAF |
| 18 | IAF – impor |
| 19 | Auditoria ROP StackPivot |
| 20 | Imposição rop stackPivot |
| 21 | Auditoria rop callercheck |
| 22 | Verificação do Autor da Chamada ROP– impor |
| 23 | Auditoria ROP SimExec |
| 24 | Impor ROP SimExec |
O seguinte evento de exploit protection está localizado no registoOperacionalWER-Diagnostics>:
| ID do Evento | Descrição |
|---|---|
| 5 | Bloco CFG |
O seguinte evento exploit protection está localizado no registoOperacionalwin32k>:
| ID do Evento | Descrição |
|---|---|
| 260 | Tipo de Letra Não Fidedigno |
Eventos de proteção de rede
Os eventos de proteção de rede estão localizados no Windows Defender>Operational.
| ID do Evento | Descrição |
|---|---|
| 5007 | Evento quando as definições são alteradas |
| 1125 | Evento quando a proteção de rede é acionada no modo de auditoria |
| 1126 | Evento quando a proteção de rede é acionada no modo de bloqueio |
Utilizar vistas personalizadas no Windows Visualizador de Eventos para ver eventos de redução da superfície de ataque
Pode criar vistas personalizadas no Windows Visualizador de Eventos para ver apenas os eventos para capacidades específicas de redução da superfície de ataque. A forma mais fácil é importar uma vista personalizada como um ficheiro XML. Também pode copiar o XML diretamente para Visualizador de Eventos.
Para modelos XML prontos a utilizar, veja a secção Modelos XML personalizados para eventos de redução da superfície de ataque .
Importar uma vista personalizada XML existente
Crie um ficheiro .txt vazio e copie o XML para a vista personalizada que pretende utilizar no ficheiro .txt. Efetue este passo para cada uma das vistas personalizadas que pretende utilizar. Mude o nome dos ficheiros da seguinte forma (certifique-se de que altera o tipo de .txt para .xml):
- Vista personalizada de eventos de acesso controlado a pastas: cfa-events.xml
- Vista personalizada de eventos de proteção contra exploits: ep-events.xml
- Vista personalizada de eventos de redução da superfície de ataque: asr-events.xml
- Vista personalizada de eventos de proteção de rede: np-events.xml
Selecione Iniciar, escreva Visualizador de Eventos e, em seguida, prima Enter para abrir Visualizador de Eventos.
Selecione Importar Ação>Vista Personalizada...
Navegue para o ficheiro XML da vista personalizada que pretende e selecione-a.
Selecione Abrir.
A vista personalizada filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Copiar o XML diretamente
Selecione Iniciar, escreva Visualizador de Eventos e, em seguida, prima Enter para abrir Visualizador de Eventos.
No painel Ações , selecione Criar Vista Personalizada...
Aceda ao separador XML e selecione Editar consulta manualmente. Um aviso indica que não pode editar a consulta com o separador Filtro quando utiliza a opção XML. Selecione Sim.
Cole o código XML da funcionalidade a partir da qual pretende filtrar eventos na secção XML.
Selecione OK. Especifique um nome para o filtro. A vista personalizada filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Modelos XML personalizados para eventos de redução da superfície de ataque
XML para eventos de regra de redução da superfície de ataque
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acesso controlado a pastas
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção contra exploits
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção de rede
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>