Saldırı yüzeyi azaltma kurallarına genel bakış
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
- Microsoft Defender Virüsten Koruma
Platform
- Windows
İpucu
Bu makalenin eşlikçisi olarak en iyi uygulamaları gözden geçirmek ve savunmayı güçlendirmeyi, uyumluluğu iyileştirmeyi ve siber güvenlik manzarasında güvenle gezinmeyi öğrenmek için Güvenlik Çözümleyicisi kurulum kılavuzumuza bakın. Ortamınızı temel alan özelleştirilmiş bir deneyim için Microsoft 365 yönetim merkezi Güvenlik Çözümleyicisi otomatik kurulum kılavuzuna erişebilirsiniz.
Saldırı yüzeyi azaltma kuralları neden önemlidir?
Kuruluşunuzun saldırı yüzeyi, bir saldırganın kuruluşunuzun cihazlarını veya ağlarını tehlikeye atabileceği tüm yerleri içerir. Saldırı yüzeyinizi azaltmak, kuruluşunuzun cihazlarını ve ağını korumak anlamına gelir ve bu da saldırganlara saldırı gerçekleştirmenin daha az yolunu bırakır. Uç Nokta için Microsoft Defender'de saldırı yüzeyi azaltma kurallarının yapılandırılması yardımcı olabilir!
Saldırı yüzeyi azaltma kuralları aşağıdakiler gibi belirli yazılım davranışlarını hedefler:
- Dosyaları indirmeye veya çalıştırmaya çalışan yürütülebilir dosyaları ve betikleri başlatma
- Karartılmış veya başka bir şekilde şüpheli betikleri çalıştırma
- Uygulamaların genellikle normal gündelik iş sırasında başlatmayabilecekleri davranışlar gerçekleştirme
Bu tür yazılım davranışları bazen meşru uygulamalarda görülür. Ancak bu davranışlar genellikle kötü amaçlı yazılım aracılığıyla saldırganlar tarafından yaygın olarak kötüye kullanıldıklarından riskli olarak kabul edilir. Saldırı yüzeyi azaltma kuralları yazılım tabanlı riskli davranışları kısıtlayabilir ve kuruluşunuzun güvende kalmasına yardımcı olabilir.
Saldırı yüzeyi azaltma kurallarını yönetmeye yönelik sıralı, uçtan uca bir işlem için bkz:
- Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
- Saldırı yüzeyi azaltma kuralları dağıtımı planlama
- Test saldırısı yüzeyi azaltma kuralları
- Saldırı yüzeyi azaltma kurallarını etkinleştirme
- Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
Dağıtımdan önce kuralları değerlendirme
Bir saldırı yüzeyi azaltma kuralının ağınızı nasıl etkileyebileceğini değerlendirmek için Microsoft Defender Güvenlik Açığı Yönetimi'da bu kuralın güvenlik önerisini açabilirsiniz.
Öneri ayrıntıları bölmesinde, cihazlarınızın hangi yüzdesinin üretkenliği olumsuz etkilemeden engelleme modunda kuralı etkinleştiren yeni bir ilkeyi kabul edebildiğini belirlemek için kullanıcı etkisini denetleyin.
Desteklenen işletim sistemleri ve diğer gereksinim bilgileri hakkında bilgi için "Saldırı yüzeyi azaltma kurallarını etkinleştirme" makalesindeki Gereksinimler bölümüne bakın.
Değerlendirme için denetim modu
Denetim modu
Saldırı yüzeyi azaltma kurallarının etkinse kuruluşunuzu nasıl etkileyeceğini değerlendirmek için denetim modunu kullanın. İlk olarak tüm kuralları denetim modunda çalıştırarak bunların iş kolu uygulamalarınızı nasıl etkilediğini anlayabilirsiniz. Birçok iş kolu uygulaması sınırlı güvenlik kaygılarıyla yazılır ve kötü amaçlı yazılımlara benzer şekilde görevler gerçekleştirebilir.
Dışlamalar
Denetim verilerini izleyerek ve gerekli uygulamalar için dışlamalar ekleyerek , üretkenliği azaltmadan saldırı yüzeyi azaltma kurallarını dağıtabilirsiniz.
Kural başına dışlamalar
Kural başına dışlamaları yapılandırma hakkında bilgi için , Saldırı yüzeyi azaltma kurallarını test etme makalesinin Kural başına saldırı yüzeyi azaltma kurallarını yapılandırma başlıklı bölüme bakın.
Kullanıcılar için uyarı modu
(YENİ!) Uyarı modu özelliklerinden önce, etkinleştirilen saldırı yüzeyi azaltma kuralları denetim moduna veya blok moduna ayarlanabilir. Yeni uyarı moduyla, içerik bir saldırı yüzeyi azaltma kuralı tarafından her engellendiğinde, kullanıcılar içeriğin engellendiğini belirten bir iletişim kutusu görür. İletişim kutusu ayrıca kullanıcıya içeriğin engellemesini kaldırma seçeneği sunar. Kullanıcı daha sonra eylemini yeniden deneyebilir ve işlem tamamlar. Kullanıcı içeriğin engellemesini kaldırdığında, içerik 24 saat boyunca engellenmemiş olarak kalır ve ardından engelleme özgeçmişleri devam eder.
Uyarı modu, kuruluşunuzun kullanıcıların görevlerini gerçekleştirmek için ihtiyaç duydukları içeriğe erişmesini engellemeden saldırı yüzeyi azaltma kurallarının mevcut olmasını sağlar.
Uyarı modunun çalışması için gereksinimler
Uyarı modu, Windows'un aşağıdaki sürümlerini çalıştıran cihazlarda desteklenir:
- Windows 10, sürüm 1809 veya üzeri
- Windows 11
- Windows Server, sürüm 1809 veya üzeri
Microsoft Defender Virüsten Koruma etkin modda gerçek zamanlı koruma ile çalışıyor olmalıdır.
Ayrıca virüsten koruma ve kötü amaçlı yazılımdan koruma güncelleştirmelerinin Microsoft Defender yüklendiğinden emin olun.
- En düşük platform sürümü gereksinimi:
4.18.2008.9 - En düşük altyapı sürümü gereksinimi:
1.1.17400.5
Daha fazla bilgi edinmek ve güncelleştirmelerinizi almak için bkz. Microsoft Defender kötü amaçlı yazılımdan koruma platformu için güncelleştirme.
Uyarı modunun desteklenmediği durumlar
Uyarı modu, Microsoft Intune'da yapılandırdığınızda üç saldırı yüzeyi azaltma kuralı için desteklenmez. (Saldırı yüzeyi azaltma kurallarınızı yapılandırmak için grup ilkesi kullanıyorsanız uyarı modu desteklenir.) uyarı modunu Microsoft Intune yapılandırırken desteklemeyen üç kural şunlardır:
-
JavaScript veya VBScript'in indirilen yürütülebilir içeriği (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) başlatmasını engelleme - WMI olay aboneliği (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) aracılığıyla kalıcılığı engelleme -
Fidye yazılımına karşı gelişmiş koruma kullanma (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
Ayrıca uyarı modu, Windows'un eski sürümlerini çalıştıran cihazlarda desteklenmez. Bu gibi durumlarda, uyarı modunda çalışacak şekilde yapılandırılmış saldırı yüzeyi azaltma kuralları blok modunda çalışır.
Bildirimler ve uyarılar
Bir saldırı yüzeyi azaltma kuralı tetiklendiğinde cihazda bir bildirim görüntülenir. Bildirimi şirketinizin ayrıntıları ve iletişim bilgileriyle özelleştirebilirsiniz .
Ayrıca, belirli saldırı yüzeyi azaltma kuralları tetiklendiğinde uyarılar oluşturulur.
Bildirimler ve oluşturulan tüm uyarılar Microsoft Defender portalında görüntülenebilir.
Bildirim ve uyarı işlevselliği hakkında belirli ayrıntılar için bkz. Saldırı yüzeyi azaltma kuralları başvurusu makalesindeki Kural uyarı ve bildirim ayrıntılarına göre.
Gelişmiş avcılık ve saldırı yüzeyi azaltma olayları
Saldırı yüzeyi azaltma olaylarını görüntülemek için gelişmiş avcılığı kullanabilirsiniz. Gelen verilerin hacmini kolaylaştırmak için gelişmiş avcılık ile yalnızca her saat için benzersiz işlemler görüntülenebilir. Saldırı yüzeyini azaltma olayının zamanı, olay bir saat içinde ilk kez görülür.
Örneğin, saat 14:00 sırasında 10 cihazda bir saldırı yüzeyi azaltma olayının gerçekleştiğini varsayalım. İlk olayın 2:15 ve sonuncunun 2:45'te gerçekleştiğini varsayalım. Gelişmiş avcılık ile bu olayın bir örneğini görürsünüz (aslında 10 cihazda gerçekleşse de) ve zaman damgası 14:15 olacaktır.
Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Gelişmiş avcılık ile tehditleri proaktif olarak avlama.
Windows sürümleri genelinde saldırı yüzeyi azaltma özellikleri
Windows'un aşağıdaki sürümlerinden ve sürümlerinden herhangi birini çalıştıran cihazlar için saldırı yüzeyi azaltma kuralları ayarlayabilirsiniz:
Windows 10 Pro, sürüm 1709 veya üzeri
Windows 10 Enterprise, sürüm 1709 veya üzeri
Windows Server, sürüm 1803 (Altı Aylık Kanal) veya üzeri
-
Not
Windows Server 2016 ve Windows Server 2012 R2, bu özelliğin çalışması için Windows sunucularını ekleme yönergeleri kullanılarak eklenmelidir.
Saldırı yüzeyi azaltma kuralları windows E5 lisansı gerektirmez, ancak Windows E5'iniz varsa gelişmiş yönetim özelliklerine sahip olursunuz. Yalnızca Windows E5'te kullanılabilen gelişmiş özellikler şunlardır:
- Uç Nokta için Defender'da kullanılabilen izleme, analiz ve iş akışları
- Microsoft Defender XDR'deki raporlama ve yapılandırma özellikleri.
Bu gelişmiş özellikler Windows Professional veya Windows E3 lisansıyla kullanılamaz. Ancak, bu lisanslara sahipseniz saldırı yüzeyi azaltma kuralı olaylarınızı gözden geçirmek için Olay Görüntüleyicisi ve Microsoft Defender Virüsten Koruma günlüklerini kullanabilirsiniz.
Microsoft Defender portalında saldırı yüzeyi azaltma olaylarını gözden geçirme
Uç Nokta için Defender, uyarı araştırma senaryolarının bir parçası olarak olaylar ve bloklar için ayrıntılı raporlama sağlar.
Gelişmiş avcılığı kullanarak Microsoft Defender XDR'de Uç Nokta için Defender verilerini sorgulayabilirsiniz.
Aşağıda örnek bir sorgu verilmişti:
DeviceEvents
| where ActionType startswith 'Asr'
Windows Olay Görüntüleyicisi'de saldırı yüzeyi azaltma olaylarını gözden geçirme
Saldırı yüzeyi azaltma kuralları tarafından oluşturulan olayları görüntülemek için Windows olay günlüğünü gözden geçirebilirsiniz:
Değerlendirme Paketi'ni indirin ve dosya cfa-events.xml cihazda kolayca erişilebilen bir konuma ayıklayın.
Windows Olay Görüntüleyicisi açmak için Başlat menüsüne Olay Görüntüleyicisi sözcükleri girin.
Eylemler'in altında Özel görünümü içeri aktar... öğesini seçin.
Ayıklandığı konumdan cfa-events.xml dosyayı seçin. Alternatif olarak , XML'yi doğrudan kopyalayın.
Tamam'ı seçin.
Olayları yalnızca aşağıdaki olayları gösterecek şekilde filtreleyen ve tümü denetimli klasör erişimiyle ilgili olan özel bir görünüm oluşturabilirsiniz:
| Olay Kimliği | Açıklama |
|---|---|
| 5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
| 1121 | Kuralın Blok modunda tetiklenmesi olayı |
| 1122 | Denetim modunda kural tetiklendiğinde gerçekleşen olay |
Olay günlüğünde saldırı yüzeyi azaltma olayları için listelenen "altyapı sürümü", işletim sistemi tarafından değil Uç Nokta için Defender tarafından oluşturulur. Uç Nokta için Defender Windows 10 ve Windows 11 ile tümleşiktir, bu nedenle bu özellik Windows 10 veya Windows 11 yüklü tüm cihazlarda çalışır.
Ayrıca bkz.
- Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
- Saldırı yüzeyi azaltma kuralları dağıtımı planlama
- Test saldırısı yüzeyi azaltma kuralları
- Saldırı yüzeyi azaltma kurallarını etkinleştirme
- Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
- Saldırı yüzeyi azaltma kuralları raporu
- Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar
İpucu
Diğer platformlar için Antivirüs ile ilgili bilgi arıyorsanız bkz:
- MacOS'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
- Mac'te Uç Nokta için Microsoft Defender
- Intune için Microsoft Defender için macOS Virüsten Koruma ilke ayarları
- Linux'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
- Linux'ta Uç Nokta için Microsoft Defender
- Android özelliklerinde Uç Nokta için Defender’ı yapılandırın
- iOS özelliklerinde Uç Nokta için Microsoft Defender’ı yapılandırın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.