Operationalisera regler för minskning av attackytan

Artikel
04/26/2024

Gäller för:

När du har distribuerat regler för minskning av attackytan är det viktigt att du har processer för att övervaka och svara på ASR-relaterade aktiviteter. Aktiviteterna omfattar:

Hantera FALSKA positiva identifieringar för ASR-regler

Falska positiva/negativa identifieringar kan inträffa med valfri hotskyddslösning. Falska positiva identifieringar är fall där en entitet (till exempel en fil eller process) identifieras som skadlig, även om entiteten faktiskt inte är ett hot. En falsk negativ är däremot en entitet som inte har identifierats som ett hot men som är skadlig. Mer information om falska positiva identifieringar och falska negativa identifieringar finns i: Adressera falska positiva/negativa i Microsoft Defender för Endpoint

Hålla jämna steg med ASR-regelrapporter

Konsekvent, regelbunden granskning av rapporter är en viktig aspekt av att upprätthålla distributionen av regler för minskning av attackytan och hålla koll på nya hot. Din organisation bör ha schemalagda granskningar av händelser för regler för minskning av attackytan på en takt som håller sig uppdaterad med regelreduktionsregler för attackytan rapporterade händelser. Beroende på organisationens storlek kan granskningar ske dagligen, varje timme eller kontinuerlig övervakning.

ASR-regler Avancerad jakt

En av de mest kraftfulla funktionerna i Microsoft Defender XDR är avancerad jakt. Om du inte är bekant med avancerad jakt kan du läsa: Jaga proaktivt efter hot med avancerad jakt.

Avancerad jakt är ett frågebaserat (Kusto-frågespråk) verktyg för hotjakt som gör att du kan utforska upp till 30 dagar av insamlade data. Genom avancerad jakt kan du proaktivt inspektera händelser för att hitta intressanta indikatorer och entiteter. Den flexibla åtkomsten till data underlättar obegränsad jakt på både kända och potentiella hot.

Med avancerad jakt är det möjligt att extrahera information om regler för minskning av attackytan, skapa rapporter och få detaljerad information om kontexten för en viss regelgranskning eller blockeringshändelse för attackytan.

Du kan köra frågor mot regelhändelser för minskning av attackytan från tabellen DeviceEvents i avsnittet avancerad jakt i Microsoft Defender-portalen. Följande fråga visar till exempel hur du rapporterar alla händelser som har regler för minskning av attackytan som datakälla under de senaste 30 dagarna. Frågan sammanfattas sedan av ActionType-antalet med namnet på regeln för minskning av attackytan.

Händelser för minskning av attackytan som visas i den avancerade jaktportalen begränsas till unika processer som visas varje timme. Tiden för händelsen för minskning av attackytan är första gången händelsen visas inom den timmen.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Ovanstående visar att 187 händelser har registrerats för AsrLsassCredentialTheft:

102 för blockerad
85 för granskade
Två händelser för AsrOfficeChildProcess (1 för Granskad och 1 för Block)
Åtta händelser för AsrPsexecWmiChildProcessAudited

Om du vill fokusera på AsrOfficeChildProcess-regeln och få information om faktiska filer och processer ändrar du filtret för ActionType och ersätter sammanfattningsraden med en projektion av önskade fält (i det här fallet är de DeviceName, FileName, FolderPath osv.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

Den verkliga fördelen med avancerad jakt är att du kan forma frågorna efter dina önskemål. Genom att forma frågan kan du se den exakta historien om vad som hände, oavsett om du vill hitta något på en enskild dator eller om du vill extrahera insikter från hela miljön.

Mer information om jaktalternativ finns i: Avmystifiera regler för minskning av attackytan – del 3.