Dela via


Testa regler för minskning av attackytan

Gäller för:

Genom att testa Microsoft Defender för Endpoint regler för minskning av attackytan kan du avgöra om regler hindrar verksamhetsspecifika åtgärder innan du aktiverar någon regel. Genom att börja med en liten, kontrollerad grupp kan du begränsa potentiella avbrott i arbetet när du utökar distributionen i organisationen.

I det här avsnittet av distributionsguiden för regler för minskning av attackytan får du lära dig att:

  • konfigurera regler med hjälp av Microsoft Intune
  • använda Microsoft Defender för Endpoint rapporter om regler för minskning av attackytan
  • konfigurera undantag för regler för minskning av attackytan
  • aktivera regler för minskning av attackytan med Hjälp av PowerShell
  • använda Loggboken för regelhändelser för minskning av attackytan

Obs!

Innan du börjar testa regler för minskning av attackytan rekommenderar vi att du först inaktiverar alla regler som du tidigare har angett till granskning eller aktivering (om tillämpligt). Se rapporter om regler för minskning av attackytan för information om hur du använder rapporten regler för minskning av attackytan som inaktiverar regler för minskning av attackytan.

Börja distributionen av regler för minskning av attackytan med ring 1.

Teststegen Microsoft Defender för Endpoint minskning av attackytan (ASR-regler). Granska regler för minskning av attackytan, konfigurera undantag för ASR-regler. Konfigurera ASR-regler Intune. UNDANTAG FÖR ASR-regler. LOGGBOKEN FÖR ASR-regler.

Steg 1: Testa regler för minskning av attackytan med hjälp av granskning

Börja testfasen genom att aktivera reglerna för minskning av attackytan med reglerna inställda på Granskning, med början med dina mästare användare eller enheter i ring 1. Vanligtvis rekommenderar vi att du aktiverar alla regler (i Granskning) så att du kan avgöra vilka regler som utlöses under testfasen.

Regler som är inställda på Granskning påverkar vanligtvis inte funktionaliteten för den entitet eller entiteter som regeln tillämpas på, men genererar loggade händelser för utvärderingen. det finns ingen effekt på slutanvändarna.

Konfigurera regler för minskning av attackytan med hjälp av Intune

Du kan använda Microsoft Intune Endpoint Security för att konfigurera anpassade regler för minskning av attackytan.

  1. Öppna Microsoft Intune administrationscenter.

  2. Gå till Minskningav attackytan för slutpunktssäkerhet>.

  3. Välj Skapa princip.

  4. I Plattform väljer du Windows 10, Windows 11 och Windows Server. I Profil väljer du Regler för minskning av attackytan.

  5. Välj Skapa.

  6. Lägg till ett namn för principen i Namn på fliken Grundläggande i fönstret Skapa profil. I Beskrivning lägger du till en beskrivning av principen för minskning av attackytans regler.

  7. På fliken Konfigurationsinställningar , under Regler för minskning av attackytan, ställer du in alla regler på Granskningsläge.

    Obs!

    Det finns variationer i vissa listor över regler för minskning av attackytans regler. Blockerad och aktiverad tillhandahåller samma funktioner.

  8. [Valfritt] I fönstret Omfångstaggar kan du lägga till tagginformation till specifika enheter. Du kan också använda rollbaserad åtkomstkontroll och omfångstaggar för att se till att rätt administratörer har rätt åtkomst och synlighet till rätt Intune objekt. Läs mer: Använd rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT i Intune.

  9. I fönstret Tilldelningar kan du distribuera eller "tilldela" profilen till dina användar- eller enhetsgrupper. Läs mer: Tilldela enhetsprofiler i Microsoft Intune

    Obs!

    Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

  10. Granska inställningarna i fönstret Granska + skapa . Välj Skapa för att tillämpa reglerna.

Din nya policy för minskning av attackytan för regler för minskning av attackytan visas i Slutpunktssäkerhet | Minskning av attackytan.

Steg 2: Förstå rapporteringssidan för regler för minskning av attackytan i Microsoft Defender-portalen

Rapporteringssidan för regler för minskning av attackytan finns i Microsoft Defender portalen>Rapporter>Regler för minskning av attackytan. Den här sidan har tre flikar:

  • Upptäckter
  • Konfiguration
  • Lägga till undantag

Fliken Identifieringar

Tillhandahåller en 30-dagars tidslinje för identifierade granskningar och blockerade händelser.

Fönstret regler för minskning av attackytan ger en översikt över identifierade händelser per regel.

Obs!

Det finns vissa variationer i rapporter om regler för minskning av attackytan. Microsoft håller på att uppdatera beteendet för rapporter om regler för minskning av attackytan för att ge en konsekvent upplevelse.

Diagram som visar rapportens sammanfattningskonfigurationskort för regler för minskning av attackytan.

Välj Visa identifieringar för att öppna fliken Identifieringar .

Skärmbild som visar rapportsökningsfunktionen för minskningsregler för attackytan.

Fönstret GroupBy och Filter innehåller följande alternativ:

GroupBy returnerar resultat som angetts till följande grupper:

  • Ingen gruppering
  • Identifierad fil
  • Granska eller blockera
  • Regel
  • Källapp
  • Enhet
  • Användare
  • Publisher

Obs!

Vid filtrering efter regel är antalet enskilda identifierade objekt som anges i den nedre halvan av rapporten för närvarande begränsat till 200 regler. Du kan använda Exportera för att spara den fullständiga listan över identifieringar i Excel.

Skärmbild som visar rapportsökningsfunktionen för Azure Site Recovery-regler på konfigurationsfliken.

Filtret öppnar sidan Filter på regler , där du kan begränsa resultatet till endast de valda reglerna för minskning av attackytan:

Obs!

Om du har en Microsoft 365 Security E5- eller A5-licens, Windows E5 eller A5-licens öppnar följande länk fliken Microsoft Defender 365 Rapporter >Minskning av attackytan Identifieringar>.

Fliken Konfiguration

Listor– per dator – det aggregerade tillståndet för regler för minskning av attackytan: Av, Granskning, Blockera.

Skärmbild som visar rapportens huvudkonfigurationsflik för regler för minskning av attackytan.

På fliken Konfigurationer kan du se vilka regler för minskning av attackytan som är aktiverade och deras läge för varje enhet genom att välja den enhet som du vill granska.

Skärmbild som visar utfällbara ASR-regler för att lägga till ASR-regler till enheter.

Länken Kom igång öppnar Microsoft Intune administrationscenter, där du kan skapa eller ändra en endpoint protection-princip för minskning av attackytan:

I Slutpunktssäkerhet | Översikt, välj Minskning av attackytan:

Slutpunktssäkerhet | Fönstret Minskning av attackytan öppnas:

Obs!

Om du har en Microsoft Defender 365 E5 (eller Windows E5?) Licens, den här länken öppnar fliken Microsoft Defender 365-rapporter > för minskning av attackytan Konfigurationer>.

Lägga till undantag

Den här fliken innehåller en metod för att välja identifierade entiteter (till exempel falska positiva identifieringar) för exkludering. När undantag läggs till innehåller rapporten en sammanfattning av den förväntade effekten.

Obs!

Regler för minskning av attackytan respekterar Microsoft Defender antivirusundantag (AV). Se Konfigurera och validera undantag baserat på tillägg, namn eller plats.

Obs!

Om du har en Microsoft Defender 365 E5 (eller Windows E5?) Licens, den här länken öppnar fliken Microsoft Defender 365-rapporter >minskningar> av attackytan undantag.

Mer information om hur du använder rapporten om regler för minskning av attackytan finns i rapporter om regler för minskning av attackytan.

Konfigurera undantag för minskning av attackytan per regel

Regler för minskning av attackytan ger nu möjlighet att konfigurera regelspecifika undantag, så kallade "undantag per regel".

Om du vill konfigurera specifika regelundantag kan du välja mellan att använda MDE Hantering av säkerhetsinställningar, Intune och grupprincip.

Via Intune:

  1. Öppna Microsoft Intune administrationscenter och gå tillStartslutpunktssäkerhet>>Minskning av attackytan.

  2. Om den inte redan har konfigurerats anger du den regel som du vill konfigurera undantag för till Granskning eller Blockera.

  3. I Endast ASR per regelundantag klickar du på växlingsknappen för att ändra från Inte konfigurerad till Konfigurerad.

  4. Ange namnen på de filer eller program som du vill exkludera.

  5. Längst ned i guiden Skapa profil väljer du Nästa och följer instruktionerna i guiden.

Skärmbild som visar konfigurationsinställningarna för att lägga till ASR-undantag per regel.

Tips

Använd kryssrutorna bredvid listan över undantagsposter för att välja objekt som ska tas bort, sorteras, importeras eller exporteras.

Via grupprincip

Använd grupprincip för att ange undantag för ASR-regel per användare

  1. Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering.

  2. Högerklicka på grupprincip objekt som du vill konfigurera och välj sedan Redigera.

  3. I grupprincip Management Editor gå till Datorkonfiguration.

  4. Välj Administrativa mallar.

  5. Expandera trädet till Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard > Attack Surface Reduction.

  6. Dubbelklicka på Tillämpa en lista över undantag för specifika regler för minskning av attackytan (ASR) och ange alternativet till Aktiverad.

  7. Klicka sedan på Visa...

  8. Under "Värdenamn" anger du "GUID för ASR-regeln" utan dubbla citattecken

  9. Under "Värde" anger du drive_letter <:\Path\ProcessName>. För att lägga till flera processer avgränsas den med ett större än -tecken (>)

    t.ex. "C:\Notepad.exe>c:\regedit.exe>C:\SomeFolder\test.exe" utan dubbla citattecken

  10. Välj OK. Med den här inställningen kan de processer som blockeras av den specifika ASR-regeln fortsätta att köras.

Obs!

"Om principer inte tillämpas läser du Felsöka Microsoft Defender Antivirus-inställningar

Använda PowerShell som en alternativ metod för att aktivera regler för minskning av attackytan

Använd PowerShell som ett alternativ till Intune för att aktivera regler för minskning av attackytan i granskningsläge. På så sätt kan du visa en post med appar som skulle ha blockerats om funktionen var helt aktiverad. Du kan också se hur ofta reglerna utlöses under normal användning.

Om du vill aktivera en regel för minskning av attackytan i granskningsläge använder du följande PowerShell-cmdlet:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Där <rule ID> är ett GUID-värde för regeln för minskning av attackytan.

Om du vill aktivera alla regler för minskning av attackytan i granskningsläge använder du följande PowerShell-cmdlet:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Tips

Om du vill granska hur reglerna för minskning av attackytan fungerar i din organisation måste du använda ett hanteringsverktyg för att distribuera den här inställningen till enheter i nätverket.

Du kan också använda grupprincip, Intune eller MDM-konfigurationstjänstleverantörer (MDM) för att konfigurera och distribuera inställningen. Läs mer i huvudartikeln om regler för minskning av attackytan .

Använd Windows Loggboken Granskning som ett alternativ till rapportsidan för regler för minskning av attackytan i Microsoft Defender-portalen

Om du vill granska appar som skulle ha blockerats öppnar du Loggboken och filtrerar efter händelse-ID 1121 i loggen Microsoft-Windows-Windows Defender/Operational. I följande tabell visas alla nätverksskyddshändelser.

Händelse-ID Beskrivning
5007 Händelse när inställningarna ändras
1121 Händelse när en regel för minskning av attackytan utlöses i blockeringsläge
1122 Händelse när en regel för minskning av attackytan utlöses i granskningsläge

Översikt över distribution av regler för minskning av attackytan

Planera distribution av regler för minskning av attackytan

Aktivera regler för minskning av attackytan

Operationalisera regler för minskning av attackytan

Referens för regler för minskning av attackytan

Felsöka regler för minskning av attackytan

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.