Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Saldırı yüzeyi azaltma kurallarını test Uç Nokta için Microsoft Defender, kuralları etkinleştirmeden önce kuralların iş kolu işlemlerini engellenip engellenmediğini belirlemenize yardımcı olur. Küçük, denetimli bir grupla başlayarak, dağıtımınızı kuruluşunuz genelinde genişletirken olası iş kesintilerini sınırlayabilirsiniz.
Saldırı yüzeyi azaltma kuralları dağıtım kılavuzunun bu bölümünde şunların nasıl yapılacağını öğreneceksiniz:
- Microsoft Intune kullanarak kuralları yapılandırma
- Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kuralları raporlarını kullanma
- Saldırı yüzeyi azaltma kuralları dışlamalarını yapılandırma
- PowerShell kullanarak saldırı yüzeyi azaltma kurallarını etkinleştirme
- Saldırı yüzeyi azaltma kuralları olayları için Olay Görüntüleyicisi kullanma
Not
Saldırı yüzeyi azaltma kurallarını test etmeye başlamadan önce, önce denetim veya etkinleştirme (varsa) olarak ayarlanmış tüm kuralları devre dışı bırakmanız önerilir. Saldırı yüzeyi azaltma kurallarını kullanma hakkında bilgi için bkz. Saldırı yüzeyi azaltma kuralları raporları saldırı yüzeyi azaltma kurallarını devre dışı bırakma.
1. halka ile saldırı yüzeyi azaltma kuralları dağıtımınıza başlayın.
1. Adım: Denetim kullanarak saldırı yüzeyi azaltma kurallarını test edin
1. halkadaki şampiyon kullanıcılarınız veya cihazlarınızdan başlayarak, denetim olarak ayarlanmış kurallarla saldırı yüzeyi azaltma kurallarını açarak test aşamasına başlayın. Genellikle, test aşamasında hangi kuralların tetiklendiğini belirleyebilmeniz için tüm kuralları (Denetim'de) etkinleştirmeniz öneridir.
Denetim olarak ayarlanan kurallar genellikle kuralın uygulandığı varlığın veya varlıkların işlevselliğini etkilemez, ancak değerlendirme için günlüğe kaydedilen olaylar oluşturur; son kullanıcılar üzerinde hiçbir etkisi yoktur.
Intune kullanarak saldırı yüzeyi azaltma kurallarını yapılandırma
Microsoft Intune Endpoint Security Attack yüzey azaltma ilkesi kullanarak saldırı yüzeyi azaltma kurallarını yapılandırmak için bkz. Uç nokta güvenlik ilkesi oluşturma (Intune belgelerinde yeni bir sekmede açılır). İlkeyi oluştururken şu ayarları kullanın:
- İlke türü: Saldırı yüzeyini azaltma
- Platform: Windows 10, Windows 11 ve Windows Server
- Profil: Saldırı Yüzeyi Azaltma Kuralları
- Yapılandırma ayarları: Zorlamadan önce etkiyi değerlendirmek için tüm kuralları Denetim moduna ayarlayın
Microsoft Intune'de bulunan saldırı yüzeyi azaltma profilleri hakkında daha fazla bilgi için bkz. Microsoft Intune ile saldırı yüzeyi azaltma ayarlarını yönetme.
İlkeniz oluşturulduktan ve atandıktan sonra test ve doğrulamaya devam etmek için bu makaleye dönün.
2. Adım: Microsoft Defender portalındaki saldırı yüzeyi azaltma kuralları raporlama sayfasını anlama
Saldırı yüzeyi azaltma kuralları raporlama sayfası Microsoft Defender portalında>Saldırı yüzeyi azaltma kurallarınıraporlar> sayfasında bulunur. Bu sayfada üç sekme vardır:
- Algılamalar
- Yapılandırma
- Dışlama ekleme
Algılamalar sekmesi
Algılanan denetim ve engellenen olayların 30 günlük zaman çizelgesini sağlar.
Saldırı yüzeyi azaltma kuralları bölmesi, kural başına algılanan olaylara genel bir bakış sağlar.
Not
Saldırı yüzeyi azaltma kuralları raporlarında bazı farklılıklar vardır. Microsoft, tutarlı bir deneyim sağlamak için saldırı yüzeyi azaltma kuralları raporlarının davranışını güncelleştirme sürecindedir.
Algılamaları görüntüle'yi seçerek Algılamalar sekmesini açın.
GroupBy ve Filter bölmesi aşağıdaki seçenekleri sağlar:
GroupBy, aşağıdaki gruplara ayarlanmış sonuçları döndürür:
- Gruplandırma yok
- Algılanan dosya
- Denetim veya engelleme
- Kural
- Kaynak uygulama
- Cihaz
- Kullanıcı
- Publisher
Not
Kurala göre filtreleme yaparken, raporun alt yarısında listelenen tek tek algılanan öğelerin sayısı şu anda 200 kuralla sınırlıdır. Algılamaların tam listesini Excel'e kaydetmek için Dışarı Aktar'ı kullanabilirsiniz.
Filtre , sonuçların kapsamını yalnızca seçili saldırı yüzeyi azaltma kurallarıyla kapsamanızı sağlayan Kurallarda filtrele sayfasını açar:
Not
Microsoft 365 Güvenlik E5 veya A5 ya da Windows E5 veya A5 lisansınız varsa, aşağıdaki bağlantı algılamaların görünür olduğu Microsoft Defender portalını açar: Saldırı yüzeyi azaltma algılamaları.
Yapılandırma sekmesi
Bilgisayar başına saldırı yüzeyi azaltma kurallarının toplam durumunu listeler: Kapalı, Denetim, Blok.
Yapılandırmalar sekmesinde, gözden geçirmek istediğiniz cihazı seçerek her cihaz için hangi saldırı yüzeyi azaltma kurallarının etkinleştirildiğini ve bunların modunu görebilirsiniz.
Başlarken bağlantısı Microsoft Intune yönetim merkezini açar ve burada saldırı yüzeyini azaltmak için bir uç nokta koruma ilkesi oluşturabilir veya değiştirebilirsiniz:
Uç nokta güvenliğinde | Genel bakış'ta Saldırı yüzeyini azaltma'yı seçin:
Uç Nokta Güvenliği | Saldırı yüzeyini azaltma bölmesi açılır:
Not
Microsoft Defender 365 E5 (veya Windows E5) kullanıyorsanız Lisans, bu bağlantı Microsoft Defender 365 Raporlar > Saldırı yüzeyi azaltma Yapılandırmaları> sekmesini açar.
Dışlama ekleme
Bu sekme, dışlama için algılanan varlıkları (örneğin, hatalı pozitifler) seçmek için bir yöntem sağlar. Dışlamalar eklendiğinde rapor, beklenen etkinin bir özetini sağlar.
Not
Saldırı yüzeyi azaltma kuralları Microsoft Defender Virüsten Koruma (AV) hariç tutulmasına uyar. Bkz . Uzantı, ad veya konuma göre dışlamaları yapılandırma ve doğrulama.
Not
Uygun bir lisansınız ve izinleriniz varsa, bu bağlantı dışlamalar görünür durumda Microsoft Defender portalını açar.
Saldırı yüzeyi azaltma kuralları raporunu kullanma hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralları raporları.
Kural başına saldırı yüzeyi azaltma dışlamalarını yapılandırma
Saldırı yüzeyi azaltma kuralları artık kurala özgü dışlamaları yapılandırma özelliği sağlar ve "Kural Başına Dışlamalar" olarak bilinir.
Belirli kural dışlamalarını yapılandırmak için Uç Nokta Güvenlik Ayarları Yönetimi, Intune ve grup ilkesi için Defender'ı kullanma seçenekleriniz vardır.
Not
Kural başına Saldırı Yüzeyi Azaltma dışlamalarını yapılandırırken, yalnızca dosya veya uygulama adını (örneğin, test1.exe) belirtmenin yeterli olmadığını unutmayın. Dışlamanın doğru uygulandığından emin olmak için tam dosya veya uygulama yolunu (örneğin, C:\test1.exe) sağlamanız gerekir.
Intune aracılığıyla
Microsoft Intune yönetim merkezini açın ve Giriş>Uç Noktası güvenlik>Saldırısı yüzey azaltma bölümüne gidin.
Henüz yapılandırılmadıysa, dışlamaları yapılandırmak istediğiniz kuralı Denetim veya Engelle olarak ayarlayın.
Yalnızca Kural Başına ASR Dışlama'da, Yapılandırılmadı olan iki durumlu düğmeyi Yapılandırıldı olarak değiştirin.
Dışlamak istediğiniz dosyaların veya uygulamanın adlarını girin.
Profil oluştur sihirbazının en altında İleri'yi seçin ve sihirbaz yönergelerini izleyin.
İpucu
Sil, Sırala, İçeri veya Dışarı Aktar öğelerini seçmek için dışlama girdileri listenizin yanındaki onay kutularını kullanın.
grup ilkesi aracılığıyla
Yönergeler için bkz. Grup ilkesi aracılığıyla ASR kurallarını yapılandırma.
GPO cihazlara uygulanmadıysa bkz. Virüsten koruma ayarları Microsoft Defender sorunlarını giderme.
PowerShell'i saldırı yüzeyi azaltma kurallarını etkinleştirmek için alternatif bir yöntem olarak kullanma
PowerShell'i Intune alternatif olarak kullanarak denetim modunda saldırı yüzeyi azaltma kurallarını etkinleştirin. Bu yapılandırma, özellik tam olarak etkinleştirildiğinde engellenecek uygulamaların kaydını görüntülemenizi sağlar. Kuralların normal kullanım sırasında ne sıklıkta tetiklediğini de görebilirsiniz.
Denetim modunda bir saldırı yüzeyi azaltma kuralını etkinleştirmek için aşağıdaki PowerShell cmdlet'ini kullanın:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Burada <rule ID>, saldırı yüzeyi azaltma kuralının GUID değeridir.
Denetim modunda eklenen tüm saldırı yüzeyi azaltma kurallarını etkinleştirmek için aşağıdaki PowerShell cmdlet'ini kullanın:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
İpucu
Kuruluşunuzda saldırı yüzeyi azaltma kurallarının nasıl çalıştığını tam olarak denetlemek istiyorsanız, ağınızdaki cihazlara bu ayarı dağıtmak için bir yönetim aracı kullanmanız gerekir.
Ayarı yapılandırmak ve dağıtmak için grup ilkesi, Intune veya mobil cihaz yönetimi (MDM) yapılandırma hizmeti sağlayıcılarını (CSP' ler) de kullanabilirsiniz. Ana Saldırı yüzeyi azaltma kuralları makalesinde daha fazla bilgi edinin.
Microsoft Defender portalındaki saldırı yüzeyi azaltma kuralları raporlama sayfasına alternatif olarak Windows Olay Görüntüleyicisi Gözden Geçirme'yi kullanın
Engellenecek uygulamaları gözden geçirmek için Olay Görüntüleyicisi açın ve Microsoft-Windows-Windows Defender/İşletim günlüğünde Olay Kimliği 1121'i filtreleyin. Aşağıdaki tabloda tüm ağ koruma olayları listelenir.
| Olay Kimliği | Açıklama |
|---|---|
| 5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
| 1121 | Bir saldırı yüzeyi azaltma kuralının blok modunda tetiklenmesi olayı |
| 1122 | Bir saldırı yüzeyi azaltma kuralının denetim modunda tetiklendiğinde gerçekleşen olay |
Bu dağıtım koleksiyonundaki diğer makaleler
Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
Saldırı yüzeyi azaltma kuralları dağıtımı planlama
Saldırı yüzeyi azaltma kurallarını etkinleştirme
Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
Saldırı yüzeyi azaltma kuralları başvurusu
Saldırı yüzeyi azaltma kurallarıyla ilgili sorunları giderme