Устранение неполадок с правилами сокращения направлений атак

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

При использовании правил сокращения направлений атаки могут возникнуть проблемы, такие как:

• Правило блокирует файл, обработку или выполняет какое-либо другое действие, которое не должно быть (ложноположительный результат); или
• Правило не работает, как описано, или не блокирует файл или процесс, которые оно должно (ложноотрицательный).

Для устранения этих проблем необходимо выполнить четыре действия.

1. Подтверждение предварительных требований
2. Использование режима аудита для тестирования правила
3. Добавление исключений для указанного правила (для ложноположительных результатов)
4. Отправка журналов поддержки

Подтверждение предварительных требований

Правила сокращения направлений атаки работают только на устройствах со следующими условиями:

• Устройства работают Windows 10 Корпоративная или более поздней версии.
• Устройства используют Microsoft Defender антивирусную программу в качестве единственного приложения для защиты от вирусов. Использование любого другого антивирусного приложения приводит к отключению антивирусной программы Microsoft Defender.
• Включена защита в режиме реального времени .
• Режим аудита не включен. Используйте групповая политика, чтобы задать для правила Disabled значение (значение: 0), как описано в разделе Включение правил сокращения направлений атак.

Если эти предварительные требования выполнены, перейдите к следующему шагу, чтобы протестировать правило в режиме аудита.

Рекомендации по настройке правил сокращения направлений атак с помощью групповая политика

При настройке правил сокращения направлений атак с помощью групповая политика ниже приведены рекомендации по устранению распространенных ошибок.

1. Убедитесь, что при добавлении GUID для правил уменьшения направлений атаки в начале или конце GUID отсутствуют двойные кавычки (например, "ИДЕНТИФИКАТОР правил ASR").

2. При добавлении GUID для правил сокращения направлений атаки убедитесь, что в начале или конце отсутствуют пробелы .

Использование режима аудита для тестирования правила

Следуйте этим инструкциям в разделе Использование демонстрационного средства, чтобы узнать, как работают правила сокращения направлений атак , чтобы протестировать конкретное правило, с которым вы столкнулись с проблемами.

1. Включите режим аудита для конкретного правила, которое вы хотите протестировать. Используйте групповая политика, чтобы задать для правила Audit mode значение (значение: 2), как описано в разделе Включение правил сокращения направлений атак. Режим аудита позволяет правилу сообщать о файле или процессе, но позволяет выполнять его.

2. Выполните действие, которое вызывает проблему. Например, откройте файл или запустите процесс, который должен быть заблокирован, но разрешен.

3. Просмотрите журналы событий правила уменьшения направлений атак , чтобы узнать, будет ли правило блокировать файл или процесс, если для правила задано значение Enabled.

   Если правило не блокирует файл или процесс, который вы ожидаете заблокировать, сначала проверка, чтобы узнать, включен ли режим аудита. Режим аудита может быть включен для тестирования другой функции или с помощью автоматического сценария PowerShell и не может быть отключен после завершения тестов.

Если вы протестировали правило с помощью демонстрационного инструмента и режима аудита, а правила сокращения направлений атак работают в предварительно настроенных сценариях, но правило работает не так, как ожидалось, перейдите к любой из следующих разделов в зависимости от вашей ситуации:

• Если правило сокращения направлений атаки блокирует то, что не должно блокироваться (также известное как ложноположительное срабатывание), можно сначала добавить исключение правила сокращения направлений атаки.
• Если правило сокращения направлений атаки не блокирует то, что должно блокироваться (также известное как ложноотрицательный), вы можете немедленно перейти к последнему шагу, собрав диагностические данные и отправив нам проблему.

Добавление исключений для ложноположительных срабатываний

Если правило сокращения направлений атаки блокирует то, что не должно блокироваться (также известное как ложноположительное срабатывание), можно добавить исключения, чтобы правила сокращения направлений атаки не могли оценивать исключенные файлы или папки.

Сведения о добавлении исключения см . в статье Настройка сокращения направлений атак.

Важно!

Вы можете указать отдельные файлы и папки для исключения, но нельзя указать отдельные правила. Это означает, что все исключенные файлы или папки будут исключены из всех правил ASR.

Сообщить о ложноположительных или ложноотрицательных результатах

Используйте веб-форму отправки портал для обнаружения угроз (Microsoft), чтобы сообщить о ложноотрицательном или ложном срабатывании для защиты сети. С помощью подписки Windows E5 можно также указать ссылку на любое связанное оповещение.

Сбор диагностических данных для отправки файлов

Когда вы сообщаете о проблеме с правилами сокращения направлений атак, вам будет предложено собрать и отправить диагностические данные, которые могут использоваться специалистами службы поддержки и инженеров Майкрософт для устранения неполадок.

1. Откройте командную строку от имени администратора и откройте каталог Защитника Windows:

   cd "c:\program files\Windows Defender"
   

2. Выполните следующую команду, чтобы создать журналы диагностики:

   mpcmdrun -getfiles
   

3. По умолчанию они сохраняются в C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Вложите файл в форму отправки.

Статьи по теме

• Правила сокращения направлений атак
• Включить правила сокращения направлений атак
• Оценка правил сокращения направлений атак

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.