Отчет о правилах сокращения направлений атак

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Платформ:

• Windows

Отчет о правилах сокращения направлений атаки содержит сведения о правилах сокращения направлений атак , применяемых к устройствам в вашей организации. В этом отчете также содержатся сведения о:

• обнаруженные угрозы
• заблокированные угрозы
• устройства, которые не настроены для использования стандартных правил защиты для блокировки угроз

Кроме того, этот отчет предоставляет простой в использовании интерфейс, который позволяет:

• Просмотр обнаружений угроз
• Просмотр конфигурации правил ASR
• Настройка (добавление) исключений
• Детализация для сбора подробных сведений

Дополнительные сведения об отдельных правилах сокращения направлений атак см. в справочнике по правилам сокращения направлений атак.

Предварительные требования

Важно!

Чтобы получить доступ к отчету о правилах сокращения направлений атак, на портале Microsoft Defender требуются разрешения на чтение. Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчете о правилах сокращения направлений атак, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.

Разрешения на доступ к отчетам

Для доступа к отчету о правилах сокращения направлений атак на портале Microsoft Defender требуются следующие разрешения:

Тип разрешения	Разрешение	Отображаемое имя разрешения
Приложение	Machine.Read.All	Read all machine profiles
Делегированные (рабочая или учебная учетная запись)	Machine.Read	Read machine information

Разрешения можно назначить с помощью идентификатора Microsoft Entra или портала Microsoft Defender.

• Сведения об использовании идентификатора Microsoft Entra см. в статье Назначение ролей Microsoft Entra пользователям.
• Сведения об использовании портала Microsoft Defender см. в статье Назначение доступа пользователей.

Перейдите к отчету о правилах сокращения направлений атак.

Переход к сводным карточкам для отчета о правилах сокращения направлений атак

1. Откройте портал XDR в Microsoft Defender .
2. На левой панели щелкнитеОтчеты и в главном разделе в разделе Отчеты выберите Отчет по безопасности.
3. Прокрутите вниз до пункта Устройства , чтобы найти сводную карточку правил сокращения направлений атак .

Сводные карточки отчетов для правил ASR показаны на следующем рисунке.

Карточки сводных отчетов по правилам ASR

Сводка отчета о правилах ASR разделена на две карточки:

• Сводная карточка обнаружения правил ASR
• Сводная карточка конфигурации правил ASR

Сводная карточка обнаружения правил ASR

Показывает сводку по количеству обнаруженных угроз, заблокированных правилами ASR.

Предоставляет две кнопки "действие":

• Просмотр обнаружений — открывается вкладка Правила сокращения >направлений атак главная вкладка Обнаружения.
• Добавление исключений . Открывается вкладка Правила уменьшения направлений атаки> главная вкладка Исключения.

Щелкнув ссылку обнаружения правил ASR в верхней части карточки, также открывается основная вкладка Обнаружение правил уменьшения направлений атак.

Сводная карточка конфигурации правил ASR

В верхнем разделе рассматриваются три рекомендуемых правила, которые защищают от распространенных методов атак. На этой карточке отображаются сведения о текущем состоянии компьютеров в вашей организации, на которых установлены следующие стандартные правила защиты врежиме блокировки, аудите или отключении (не настроено). Кнопка Защитить устройства отобразит полные сведения о конфигурации только для трех правил. клиенты могут быстро принять меры для включения этих правил.

В нижней части отображаются шесть правил, основанных на количестве незащищенных устройств на правило. Кнопка "Просмотреть конфигурацию" содержит все сведения о конфигурации для всех правил ASR. Кнопка "Добавить исключение" отображает страницу добавления исключения со всеми обнаруженными именами файлов или процессов, перечисленными для оценки центра операций безопасности (SOC). Страница Добавление исключения связана с Microsoft Intune.

Предоставляет две кнопки "действие":

• Просмотр конфигурации— открывается вкладка "Правила >сокращения направлений атак" главная вкладка Обнаружения.
• Добавление исключений . Открывается вкладка Правила уменьшения направлений атаки> главная вкладка Исключения.

Щелкнув ссылку на конфигурацию правил ASR в верхней части карточки, также откроется вкладка Настройка главной области атак.

Упрощенный вариант стандартной защиты

Карточка сводки конфигурации предоставляет кнопку Для защиты устройств с помощью трех стандартных правил защиты. Как минимум, корпорация Майкрософт рекомендует включить следующие три стандартных правила защиты для уменьшения направлений атак:

• Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
• Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
• Блокировка сохраняемости с помощью подписки на события инструментария управления Windows (WMI)

Чтобы включить три стандартных правила защиты, выполните следующие действия:

1. Выберите Защитить устройства. Откроется основная вкладка Конфигурация .
2. На вкладке Конфигурациябазовые правила автоматически переключают все правила на стандартные правила включено .
3. В списке Устройства выберите устройства, к которым должны применяться стандартные правила защиты, а затем нажмите кнопку Сохранить.

Эта карточка содержит две другие кнопки навигации:

• Просмотр конфигурации. Открывает главную вкладку Настройкаправил> сокращения направлений атак.
• Добавление исключений . Открывает вкладку Правила уменьшения> направлений атак главная Исключения .

Щелкнув ссылку на конфигурацию правил ASR в верхней части карточки, также откроется вкладка Настройка главной области атак.

Основные вкладки правил сокращения направлений атак

Хотя карточки сводных отчетов по правилам ASR полезны для быстрого получения сводки состояния правил ASR, на основных вкладках содержатся более подробные сведения о возможностях фильтрации и конфигурации.

• Вкладка "Обнаружения"
• Вкладка "Конфигурация"
• Вкладка "Исключения"

Возможности поиска

Возможность поиска добавляется на вкладки Обнаружение, Конфигурация и Добавление основных исключений . Эта возможность позволяет выполнять поиск по идентификатору устройства, имени файла или имени процесса.

Фильтрация

Фильтрация позволяет указать возвращаемые результаты:

• Date позволяет указать диапазон дат для результатов данных.
• Фильтры

Примечание.

При фильтрации по правилам количество отдельных обнаруженных элементов, перечисленных в нижней половине отчета, в настоящее время ограничено 200 правилами. Вы можете использовать экспорт , чтобы сохранить полный список обнаружений в Excel.

Совет

Так как фильтр в настоящее время работает в этом выпуске, каждый раз, когда вы хотите "сгруппировать по", необходимо сначала прокручивать вниз до последнего обнаружения в списке, чтобы загрузить полный набор данных. После загрузки полного набора данных можно запустить фильтрацию "сортировка по". Если вы не прокрутите вниз до последнего обнаружения, указанного при каждом использовании или при изменении параметров фильтрации (например, правила ASR, применяемые к текущему выполнению фильтра), результаты будут неверными для любого результата, имеющего несколько доступных для просмотра страниц перечисленных обнаружений.

Вкладка "Основные обнаружения" правил сокращения направлений атаки

• Обнаружение аудита Показывает, сколько обнаружений угроз было зафиксировано правилами, заданными в режиме аудита .
• Заблокированные обнаружения Показывает, сколько обнаружений угроз было заблокировано правилами, установленными в режиме блокировки .
• Большой консолидированный граф Отображает заблокированные и проверенные обнаружения.

Графы предоставляют данные обнаружения в отображаемом диапазоне дат с возможностью навести указатель мыши на определенное расположение для сбора сведений о дате.

В нижней части отчета перечислены обнаруженные угрозы для каждого устройства со следующими полями:

Имя поля	Определение
Обнаруженный файл	Файл, определенный для хранения возможной или известной угрозы
Обнаружено в	Дата обнаружения угрозы
Заблокировано или проверено?	Указывает, находилось ли правило обнаружения для конкретного события в режиме блокировки или аудита.
Правило	Какое правило обнаружило угрозу
Исходное приложение	Приложение, которое сделало вызов к проблеме "обнаруженного файла"
Устройство	Имя устройства, на котором произошло событие аудита или блокировки.
Группа устройств	Группа Active Directory, к которой принадлежит устройство
Пользователь	Учетная запись компьютера, ответственная за вызов
Publisher	Компания, которая выпустила конкретный .exe или приложение

Дополнительные сведения об аудите правил ASR и режимах блокировки см. в разделе Режимы правил сокращения направлений атак.

Всплывающий элемент с действиями

На главной странице "Обнаружение" содержится список всех обнаружений (файлов и процессов) за последние 30 дней. Выберите любое из обнаружений, чтобы открыть с возможностями детализации.

В разделе Возможное исключение и влияние приводится влияние выбранного файла или процесса. Варианты действий:

• Выберите Go hunt (Перейти на охоту ), чтобы открыть страницу запроса Advanced Hunting
• Страница "Открыть файл" открывает обнаружение Microsoft Defender для конечной точки
• Кнопка Добавить исключение связана с главной страницей добавления исключения.

На следующем рисунке показано, как страница запроса Advanced Hunting открывается по ссылке во всплывающем элементе с действиями:

Дополнительные сведения о расширенной охоте см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в XDR в Microsoft Defender.

Главная вкладка "Конфигурация" в правилах сокращения направлений атак

На главной вкладке Настройка правил ASR содержатся сведения о конфигурации сводки и правил ASR для каждого устройства. На вкладке Конфигурация есть три основных аспекта:

Основные правила Предоставляет метод для переключения результатов между базовыми правилами и всеми правилами. По умолчанию выбраны основные правила .

Общие сведения о конфигурации устройств Предоставляет текущий моментальный снимок устройств в одном из следующих состояний:

• Все предоставляемые устройства (устройства с отсутствующими предварительными условиями, правила в режиме аудита, неправильно настроенные правила или правила не настроены)
• Устройства с не настроенными правилами
• Устройства с правилами в режиме аудита
• Устройства с правилами в блочном режиме

В нижнем неименованном разделе вкладки Конфигурация содержится список текущего состояния устройств (на основе каждого устройства):

• Устройство (имя)
• Общая конфигурация (включены ли какие-либо правила или все отключены)
• Правила в блочном режиме (количество правил для каждого устройства, для которых задано значение блокировки)
• Правила в режиме аудита (количество правил в режиме аудита)
• Правила отключены (правила, которые отключены или не включены)
• Идентификатор устройства (GUID устройства)

Эти элементы показаны на следующем рисунке.

Чтобы включить правила ASR, выполните следующие действия.

1. В разделе Устройство выберите устройство или устройства, к которым требуется применить правила ASR.
2. Во всплывающем окне проверьте выбранные параметры и выберите Добавить в политику.

На следующем рисунке показаны вкладка "Конфигурация " и всплывающее меню "Добавить правило ".

[ПРИМЕЧАНИЕ!] Если у вас есть устройства, требующие применения различных правил ASR, следует настроить эти устройства по отдельности.

Правила сокращения направлений атак. Вкладка "Добавление исключений"

На вкладке Добавление исключений представлен список ранжированных обнаружений по имени файла и предоставляется метод для настройки исключений. По умолчанию сведения о добавлении исключений отображаются для трех полей:

• Имя файла Имя файла, который активировал событие правил ASR.
• Обнаружения Общее количество обнаруженных событий для именованного файла. Отдельные устройства могут активировать несколько событий правил ASR.
• Приборы Количество устройств, на которых произошло обнаружение.

Важно!

Исключение файлов или папок может значительно снизить защиту, предоставляемую правилами ASR. Исключенные файлы могут выполняться, и отчет или событие не записываются. Если правила ASR обнаруживают файлы, которые, как вы считаете, не должны быть обнаружены, сначала следует использовать режим аудита для тестирования правила.

При выборе файла откроется всплывающее окно Сводка & ожидаемое влияние , в которое будут представлены следующие типы сведений:

• Выбранные файлы Количество файлов, выбранных для исключения
• (количество) обнаружений Указывает ожидаемое сокращение количества обнаружений после добавления выбранных исключений. Сокращение количества обнаружений представлено графически для фактических обнаружений и обнаружений после исключений
• (количество) затронутых устройств Указывает ожидаемое сокращение количества устройств, сообщающих об обнаружении выбранных исключений.

На странице Добавить исключение есть две кнопки для действий, которые можно использовать для любых обнаруженных файлов (после выбора). Варианты действий:

• Добавьте исключение , которое откроет страницу политики MICROSOFT Intune ASR. Дополнительные сведения см. в разделе Intune статьи Включение альтернативных методов конфигурации правил ASR.
• Получение путей исключения, которые будут загружать пути к файлам в формате CSV

См. также

• Общие сведения о развертывании правил сокращения направлений атак
• Планирование развертывания правил сокращения направлений атак
• Проверка правил сокращения направлений атак
• Включение правил сокращения направлений атак
• Ввод в эксплуатацию правил сокращения направлений атак
• Отчет о правилах сокращения направлений атак (ASR)
• Справочник по правилам сокращения направлений атак

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.