Понимание и использование возможностей сокращения направлений атак

Область применения:

• Microsoft Defender XDR
• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Антивирусная программа в Microsoft Defender

Платформы

• Windows

Совет

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Области атак — это все места, где ваша организация уязвима для киберугроз и атак. Defender для конечной точки включает несколько возможностей, помогающих сократить количество направлений атак. Просмотрите следующее видео, чтобы узнать больше о сокращении направлений атак.

Настройка возможностей сокращения направлений атак

Чтобы настроить сокращение направлений атак в вашей среде, выполните следующие действия.

1. Включите аппаратную изоляцию для Microsoft Edge.

2. Включите правила сокращения направлений атак.

3. Включите управление приложениями.

   1. Ознакомьтесь с базовыми политиками в Windows. См . примеры базовых политик.

   2. См. руководство по проектированию управления приложениями Защитник Windows.

   3. См. раздел Развертывание политик управления приложениями Защитник Windows (WDAC).

4. Включите управляемый доступ к папкам.

5. Включите защиту съемных носителей.

6. Включите защиту сети.

7. Включите веб-защиту.

8. Включите защиту от эксплойтов.

9. Настройте брандмауэр сети.

   1. Общие сведения о брандмауэре Windows в режиме повышенной безопасности.

   2. Используйте руководство по проектированию брандмауэра Windows , чтобы решить, как разработать политики брандмауэра.

   3. Используйте руководство по развертыванию брандмауэра Windows , чтобы настроить брандмауэр организации с повышенной безопасностью.

Совет

В большинстве случаев при настройке возможностей сокращения направлений атак можно выбрать один из нескольких способов:

• Microsoft Intune
• Microsoft Configuration Manager
• Групповая политика
• Командлеты PowerShell

Тестирование сокращения направлений атак в Microsoft Defender для конечной точки

В группе безопасности организации вы можете настроить возможности сокращения направлений атак для запуска в режиме аудита, чтобы увидеть, как они работают. В режиме аудита можно включить следующие функции безопасности для уменьшения направлений атак:

• Правила сокращения направлений атак
• Защита от эксплойтов
• Защита сети
• Контролируемый доступ к папкам
• Управление устройствами

Режим аудита позволяет просмотреть запись о том, что произошло бы , если бы эта функция была включена.

Режим аудита можно включить при тестировании работы функций. Включение режима аудита только для тестирования помогает предотвратить влияние режима аудита на бизнес-приложения. Вы также можете получить представление о количестве подозрительных попыток изменения файла в течение определенного периода времени.

Эти функции не блокируют и не запрещают изменение приложений, скриптов или файлов. Однако журнал событий Windows записывает события так, как если бы функции были полностью включены. В режиме аудита можно просмотреть журнал событий, чтобы узнать, какое влияние оказала бы функция, если бы она была включена.

Чтобы найти проверенные записи, перейдите в раздел Приложения и службы>Microsoft>Windows>Защитник Windows>Operational.

Используйте Defender для конечной точки, чтобы получить дополнительные сведения о каждом событии. Эти сведения особенно полезны для изучения правил сокращения направлений атак. С помощью консоли Defender для конечной точки можно исследовать проблемы в рамках сценариев временная шкала оповещений и исследований.

Режим аудита можно включить с помощью групповая политика, PowerShell и поставщиков служб конфигурации (CSP).

Параметры аудита	Включение режима аудита	Просмотр событий
Аудит применяется ко всем событиям	Включить контролируемый доступ к папкам	События управляемого доступа к папкам
Аудит применяется к отдельным правилам	Шаг 1. Проверка правил сокращения направлений атак с помощью режима аудита	Шаг 2. Общие сведения о странице отчетов о правилах сокращения направлений атак
Аудит применяется ко всем событиям	Включение защиты сети	События защиты сети
Аудит применяется к отдельным решениям по устранению рисков	Включить защиту от эксплойтов	События защиты от эксплойтов

Например, можно протестировать правила сокращения направлений атак в режиме аудита, прежде чем включать их в режиме блокировки. Правила сокращения направлений атаки предопределяются для защиты распространенных известных направлений атак. Существует несколько методов, которые можно использовать для реализации правил сокращения направлений атак. Предпочтительный метод описан в следующих статьях о развертывании правил сокращения направлений атак:

• Общие сведения о развертывании правил сокращения направлений атак
• Планирование развертывания правил сокращения направлений атак
• Проверка правил сокращения направлений атак
• Включение правил сокращения направлений атак
• Ввод в эксплуатацию правил сокращения направлений атак

Просмотр событий сокращения направлений атак

Просмотрите события сокращения направлений атак в Просмотр событий, чтобы отслеживать, какие правила или параметры работают. Вы также можете определить, являются ли какие-либо параметры слишком "шумными" или влияют на повседневный рабочий процесс.

Просмотр событий удобно при оценке функций. Вы можете включить режим аудита для функций или параметров, а затем проверить, что произошло бы, если бы они были полностью включены.

В этом разделе перечислены все события, связанные с ними функции или параметры, а также описывается создание настраиваемых представлений для фильтрации по определенным событиям.

Получение подробных отчетов о событиях, блоках и предупреждениях в рамках Безопасность Windows, если у вас есть подписка E5 и вы используете Microsoft Defender для конечной точки.

Использование пользовательских представлений для просмотра возможностей сокращения направлений атак

Create пользовательские представления в Просмотр событий Windows, чтобы просматривать только события для определенных возможностей и параметров. Самый простой способ — импортировать пользовательское представление в виде XML-файла. XML-код можно скопировать непосредственно с этой страницы.

Вы также можете вручную перейти к области событий, соответствующей функции.

Импорт существующего настраиваемого представления XML

1. Create пустой файл .txt и скопируйте XML-файл для пользовательского представления, которое вы хотите использовать, в файл .txt. Сделайте это для каждого из пользовательских представлений, которые вы хотите использовать. Переименуйте файлы следующим образом (обязательно измените тип с .txt на .xml):

   • Настраиваемое представление событий управляемого доступа к папкам: cfa-events.xml
   • Настраиваемое представление событий защиты от эксплойтов: ep-events.xml
   • Настраиваемое представление событий сокращения направлений атаки: asr-events.xml
   • Настраиваемое представление событий сети и защиты: np-events.xml

2. Введите средство просмотра событий в меню Пуск и откройте Просмотр событий.

3. Выберите Действие>Импорт пользовательского представления...

   

4. Перейдите к тому месту, где вы извлекли XML-файл для нужного пользовательского представления, и выберите его.

5. Выберите Открыть.

6. Он создает пользовательское представление, которое фильтрует только события, связанные с этой функцией.

Копирование XML-кода напрямую

1. Введите средство просмотра событий в меню Пуск и откройте Просмотр событий Windows.

2. На панели слева в разделе Действия выберите Create Пользовательское представление...

   

3. Перейдите на вкладку XML и выберите Изменить запрос вручную. Появится предупреждение о том, что вы не можете изменить запрос с помощью вкладки Фильтр , если используется параметр XML. Выберите Да.

4. Вставьте XML-код компонента, по которому требуется фильтровать события, в раздел XML.

5. Нажмите OK. Укажите имя фильтра. Это действие создает пользовательское представление, которое фильтрует только события, связанные с этой функцией.

XML-код для событий правила сокращения направлений атаки

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML-код для событий управляемого доступа к папкам

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML-файл для событий защиты от эксплойтов

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML-код для событий защиты сети

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Список событий сокращения направлений атаки

Все события сокращения направлений атаки находятся в разделе Журналы > приложений и служб Microsoft > Windows , а затем в папке или поставщике, как указано в следующей таблице.

Вы можете получить доступ к этим событиям в средстве просмотра событий Windows:

1. Откройте меню Пуск и введите средство просмотра событий, а затем выберите результат Просмотр событий.

2. Разверните узел Журналы > приложений и служб Microsoft > Windows , а затем перейдите в папку, указанную в разделе Поставщик или источник в таблице ниже.

3. Дважды щелкните вложенный элемент, чтобы просмотреть события. Прокрутите события, чтобы найти то, что вы ищете.

   

Возможность	Поставщик/источник	Идентификатор события	Описание
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	1	Аудит ACG
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	2	Принудительное выполнение ACG
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	3	Не разрешать аудит для дочерних процессов
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	4	Не разрешать блокировку дочерних процессов
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	5	Блокировать аудит изображений с низкой целостностью
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	6	Блокировать блок изображений с низкой целостностью
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	7	Блокировать аудит удаленных изображений
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	8	Блокировать блок удаленных изображений
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	9	Отключить аудит системных вызовов Win32k
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	10	Отключить блокировку системных вызовов win32k
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	11	Аудит защиты целостности кода
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	12	Блок защиты целостности кода
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	13	Аудит EAF
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	14	Принудительное выполнение EAF
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	15	EAF + аудит
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	16	EAF+ принудительное выполнение
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	17	Аудит IAF
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	18	Принудительное выполнение IAF
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	19	Аудит ROP StackPivot
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	20	Принудительное выполнение ROP StackPivot
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	21	Аудит ROP CallerCheck
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	22	Принудительное выполнение ROP CallerCheck
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	23	Аудит ROP SimExec
Защита от эксплойтов	Меры безопасности (режим ядра/режим пользователя)	24	Принудительное выполнение ROP SimExec
Защита от эксплойтов	WER - Диагностика	5	Блок CFG
Защита от эксплойтов	Win32K (операционный)	260	Ненадежный шрифт
Защита сети	Защитник Windows (операционная)	5007	Событие при изменении параметров
Защита сети	Защитник Windows (операционная)	1125	Событие при срабатывании сетевой защиты в режиме аудита
Защита сети	Защитник Windows (операционная)	1126	Событие при срабатывании сетевой защиты в режиме блокировки
Контролируемый доступ к папкам	Защитник Windows (операционная)	5007	Событие при изменении параметров
Контролируемый доступ к папкам	Защитник Windows (операционная)	1124	Событие аудита управляемого доступа к папкам
Контролируемый доступ к папкам	Защитник Windows (операционная)	1123	Событие заблокированного управляемого доступа к папкам
Контролируемый доступ к папкам	Защитник Windows (операционная)	1127	Заблокированный контролируемый доступ к папке, событие блока записи в секторе
Контролируемый доступ к папкам	Защитник Windows (операционная)	1128	Событие блока записи в секторе контролируемого доступа к управляемым папкам
Сокращение направлений атак	Защитник Windows (операционная)	5007	Событие при изменении параметров
Сокращение направлений атак	Защитник Windows (операционная)	1122	Событие при срабатывании правила в режиме аудита
Сокращение направлений атак	Защитник Windows (операционная)	1121	Событие при срабатывании правила в режиме блокировки

Примечание.

С точки зрения пользователя уведомления режима предупреждения о снижении направлений атаки создаются в виде всплывающего уведомления Windows для правил сокращения направлений атаки.

При сокращении направлений атак защита сети предоставляет только режимы аудита и блокировки.

Ресурсы для получения дополнительных сведений о сокращении направлений атак

Как упоминалось в видео, Defender для конечной точки включает несколько возможностей сокращения направлений атак. Дополнительные сведения см. в следующих ресурсах:

Статья	Описание
Элемент управления приложениями	Используйте управление приложениями, чтобы приложения должны получать доверие для запуска.
Справочник по правилам сокращения направлений атак	Содержит подробные сведения о каждом правиле сокращения направлений атак.
Руководство по развертыванию правил сокращения направлений атак	Содержит общие сведения и предварительные требования для развертывания правил сокращения направлений атак, а также пошаговые инструкции по тестированию (режим аудита), включению (режим блокировки) и мониторингу.
Контролируемый доступ к папкам	Помогает предотвратить внесение изменений в файлы в ключевых системных папках вредоносных программ-шантажистов (в том числе вредоносных программ-шантажистов) вредоносными или подозрительными приложениями (требуется Microsoft Defender антивирусная программа).
Управление устройством	Защищает от потери данных, отслеживая и контролируя носители, используемые на устройствах, таких как съемные носители и USB-накопители, в вашей организации.
Защита от эксплойтов	Помогите защитить операционные системы и приложения, используемые вашей организацией, от эксплойтов. Защита от эксплойтов также работает со сторонними антивирусными решениями.
Аппаратная изоляция	Защищайте и поддерживайте целостность системы при запуске и во время работы. Проверяйте целостность системы с помощью локальной и удаленной проверки. Используйте изоляцию контейнеров для Microsoft Edge, чтобы защититься от вредоносных веб-сайтов.
Защита сети	Расширяйте защиту сетевого трафика и возможностей подключения на устройствах организации. (Требуется антивирусная программу в Microsoft Defender).
Проверка правил сокращения направлений атак	Содержит инструкции по использованию режима аудита для проверки правил сокращения направлений атак.
Веб-защита	Веб-защита позволяет защитить устройства от веб-угроз и помогает регулировать нежелательное содержимое.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.