Microsoft Defender portalında saldırı yüzeyini azaltma (ASR) kuralları raporu

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Saldırı yüzeyi azaltma (ASR) kuralları raporu, kuruluşunuzdaki cihazlarda uygulanan kurallar hakkında ayrıntılı içgörüler sağlar. Örneğin:

  • Algılanan tehditler.
  • Engellenen tehditler.
  • Tehditleri engellemek için standart koruma kurallarını kullanacak şekilde yapılandırılmamış cihazlar.

Rapor, aşağıdaki görevleri tamamlamanızı sağlayan kullanımı kolay bir arabirim sağlar:

  • Tehdit algılamalarını görüntüleyin.
  • ASR kurallarının yapılandırmasını görüntüleyin.
  • Dışlama ekleme ve yönetme.
  • Ayrıntılı bilgi toplayın.

ASR kuralları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma (ASR) kurallarına genel bakış.

Önkoşullar

Desteklenen işletim sistemleri

Rapor erişim izinleri

Bu makaledeki adımları gerçekleştirmeden önce size izinler atanmalıdır. Seçenekleriniz şunlardır:

  • Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC): Güvenlik işlemleri \ Güvenlik verileri \ Güvenlik verileri temel bilgileri (okuma).

  • Uç Nokta için Defender izinleri (Şubat 2025'den önce oluşturulan kuruluşlarda kullanılabilir): Veri>Güvenliği işlemlerini görüntüleyin.

  • Microsoft Entra izinleri: Genel Yönetici*, Güvenlik Yöneticisi, Genel Okuyucu veya Güvenlik Okuyucusu rollerindeki üyelik, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.

    Önemli

    Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Saldırı yüzeyi azaltma kuralları rapor sayfası

konumundaki Microsoft Defender portalında https://security.microsoft.comRaporlar>Uç Noktaları sekmesi >Saldırı yüzeyi azaltma kuralları'na gidin. Veya doğrudan Saldırı yüzeyi azaltma kuralları rapor sayfasına gitmek için kullanın https://security.microsoft.com/asr.

Saldırı yüzeyi azaltma kuralları rapor sayfasında aşağıdaki sekmeler bulunur:

Algılamalar sekmesi

Algılamalar sekmesi, sayfanın varsayılan sekmesidir. Saldırı yüzeyi azaltma kuralları raporunun Algılamalar sekmesine doğrudan gitmek için veya https://security.microsoft.com/asr?viewid=detectionskullanınhttps://security.microsoft.com/asr.

Microsoft Defender portalında Saldırı yüzeyi azaltma kuralları rapor sayfasını gösteren ekran görüntüsü.

Varsayılan olarak, sayfadaki ASR kuralı bilgileri aşağıdaki filtreleri kullanır:

  • Kurallar: Standart koruma değeri varsayılan olarak yalnızca standart koruma kurallarının verilerini göstermek üzere seçilir, ancak tüm ASR kurallarının verilerini göstermek için değeri Tümü olarak değiştirebilirsiniz.

  • Tarih: Son 30 günün tarih aralığı varsayılan olarak seçilidir, ancak Başlangıç saati ve Bitiş saati değerlerini son 30 gün içindeki bir aralığa değiştirebilirsiniz.

  • Kuralları* seçme: Varsayılan olarak Herhangi biri değeri seçilidir, ancak değeri Kurallar filtre değerine göre değiştirebilirsiniz:

    • Standart koruma: Açılan listeden bir veya daha fazla standart koruma kuralı seçin.
    • Tümü: Açılan listeden bir veya daha fazla ASR kuralı (standart koruma kuralları dahil) seçin.

Filtre ekle'yi seçip kullanılabilir seçenekler arasından seçim yaparak varsayılan olarak yapılandırılmamış olan aşağıdaki ek filtreleri kullanabilirsiniz. Sekmenin en üstünde filtre gösterildikten sonra, bunun seçimlerini yapılandırabilirsiniz:

  • Cihaz grubu*: Bir veya daha fazla kullanılabilir cihaz grubu seçin.
  • Engellendi/Denetlendi mi?: Denetlendi veya Engellendi'yi seçin.

* Bu filtre için tüm kullanılabilir değerlerin seçilmesi veya hiçbir değerin seçilmesi aynı sonuçları gösterir.

Filtreyi kaldırmak için Temizle'yi seçin. Tüm filtreleri sıfırlamak için Tümünü sıfırla'yı seçin.

Filtrelerin altında ve grafiğin üstünde aşağıdaki bilgiler gösterilir:

  • Denetim algılamaları: Belirtilen filtreleri kullanan Denetim modunda ASR kurallarına göre tehdit algılamalarının sayısı.

  • Engellenen Algılamalar: Belirtilen filtreleri kullanan Blok modunda ASR kuralları tarafından yapılan tehdit algılamalarının sayısı.

    Denetim modu ve Engelleme modu hakkında daha fazla bilgi için bkz. ASR kural modları.

Grafik, seçilen tarih aralığında günde denetlenen ve engellenen algılamaları gösterir. Geçerli filtrelere göre Denetim veya Engelleme sayılarını görmek için belirli bir günün verilerinin üzerine gelin.

Grafiğin altındaki ayrıntılar tablosu aşağıdaki bilgileri içerir:

  • Algılanan dosya: Olası veya bilinen bir tehdit içerdiği belirlenen dosya.
  • Algılanan tarih: Tehdidin algılandığı tarih.
  • Engellendi/Denetlendi mi?: Belirli bir olay için algılama kuralının Engelleme veya Denetim modunda olup olmadığı.
  • Kural: Tehdidi algılayan kural.
  • Kaynak uygulama: Algılanan dosyaya çağrı yapan uygulama.
  • Cihaz: Denetim veya Engelleme olayının gerçekleştiği cihazın adı.
  • Cihaz grubu: Cihazın ait olduğu cihaz grubu.
  • Kullanıcı: Algılanan dosyayı açan Kaynak uygulamasından sorumlu hesap (örneğin, SYSTEM NT AUTHORITY\SYSTEM hesabı için).
  • Yayımcı: Uygulamayı yayımlayan şirket.

Bu değere göre sıralamak için bir sütun üst bilgisi seçin.

Arama kutusu, ayrıntılar tablosundaki girdileri cihaz kimliğine, dosya adına veya işlem adına göre arayabilir.

GroupBy , ayrıntılar tablosundaki bilgileri aşağıdaki seçeneklerle gruplandırmak için kullanılabilir:

  • Gruplandırma yok (varsayılan)
  • Algılanan dosya
  • Denetim veya engelleme
  • Kural
  • Kaynak uygulama
  • Cihaz
  • Cihaz grubu
  • Kullanıcı
  • Yayımcı

İpucu

Şu anda GroupBy'yi kullanmak için, tam veri kümesini yüklemek için listedeki son algılama girdisine kaydırmanız gerekir. Ardından GroupBy'yi kullanabilirsiniz. Aksi takdirde, listelenen algılamaların birden fazla görüntülenebilir sayfası olan herhangi bir sonuç için sonuçlar yanlıştır.

Şu anda ayrıntılar tablosunda listelenen tek tek algılanan öğelerin sayısı 200 kuralla sınırlıdır. Algılamaların tam listesini csv dosyasına kaydetmek için Dışarı Aktar'ı kullanın.

Uç Nokta Planı 2 için Defender'da tetiklenen tüm ASR kurallarını görüntülemek için , gelişmiş avcılıkta DeviceEvents tablosunu kullanın.

Algılanan dosya ayrıntıları

Algılanan dosya değerinin yanındaki onay kutusunun dışındaki bir satıra tıklayarak Saldırı yüzeyi azaltma kuralları rapor sayfasının Algılamalar sekmesindeki ayrıntılar tablosundan bir algılama olayı seçtiğinizde, aşağıdaki bilgileri içeren bir Dosya bilgileri ayrıntıları açılır penceresi açılır:

  • Algılamalar bölümü:

    Bu bölümde, ana sayfadaki grafiğin dosya için ASR kural algılaması tarafından filtrelenmiş daha küçük bir sürümü gösterilir.

    Bu bölümde aşağıdaki eylemler kullanılabilir:

    • Go hunt: Uç Nokta Için Defender Plan 2'de bu eylem, sorguda belirtilen algılanan dosya adıyla gelişmiş tehdit avcılığı sorgu sayfasını açar. Örneğin, dosyası conhost.exeiçin sorgu aşağıdaki gibi görünür:

      DeviceEvents
    | where Timestamp >= ago(1d)
    | where FileName == 'conhost.exe'
    | where ActionType startswith 'Asr'
    | extend ParsedFields=parse_json(AdditionalFields)
    | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
    | take 1000

      Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'da gelişmiş avcılık ile tehditleri proaktif olarak avlama.

    • Dosya sayfasını açın: Uç Nokta için Defender'da algılanan dosyanın dosya varlığı sayfasında dosyayı açar.

  • Olası dışlama ve etki bölümü: Dosyanın son 30 gün içindeki ASR kurallarına göre algılanmasıyla ilgili ayrıntıları gösterir (toplam algılama sayısı ve yüzde).

  • Açılır listenin en altına dışlama ekleme, Microsoft Intune yönetim merkezini açar. ASR kuralları için dışlamaları yapılandırma hakkında daha fazla bilgi için bkz. Saldırı yüzeyi azaltma (ASR) kurallarını ve dışlamalarını yapılandırma.

Saldırı yüzeyi azaltma kuralları raporunun Algılamalar sekmesindeki ayrıntılar tablosundan bir girdi seçtikten sonra Dosya bilgileri ayrıntıları açılır öğesini gösteren ekran görüntüsü.

Yapılandırma sekmesi

Saldırı yüzeyi azaltma kuralları rapor sayfasının Yapılandırma sekmesine doğrudan gitmek için kullanınhttps://security.microsoft.com/asr?viewid=configuration.

Microsoft Defender portalındaki Saldırı yüzeyi azaltma kuralları rapor sayfasının Yapılandırma sekmesinin ekran görüntüsü.

Yapılandırma sekmesi, özet ve cihaz başına ASR kuralı yapılandırma ayrıntılarını sağlar.

Kurallar , Cihaz yapılandırmasına genel bakış bölümünde sonuçları filtrelemenizi sağlar. Varsayılan olarak, standart koruma yalnızca standart koruma kurallarının verilerini gösterecek şekilde seçilir, ancak tüm ASR kurallarının verilerini göstermek için Tümü'ne geçebilirsiniz.

Cihaz yapılandırmasına genel bakış bölümünde, Standart koruma veya Tümü filtresine göre ASR kural durumlarının toplamları gösterilir:

  • Kullanıma sunulan tüm cihazlar: Yapılandırılmamış ASR kuralları olan cihazların sayısı.
  • Yapılandırılmamış kuralları olan Cihazların sayısı
  • Denetim modunda kuralları olan Cihazların sayısı
  • Blok modunda kuralları olan Cihaz sayısı

Ayrıntılar tablosu, etkilenen her cihaz için aşağıdaki bilgileri gösterir:

  • Cihaz: Cihazın adı.

  • Genel yapılandırma: Cihazdaki tüm ASR kurallarının durumunu özetler. Örneğin:

    • Blok modundaki kurallar: Cihazdaki bazı kurallar Blok modundadır.
    • Kurallar kapalı: Cihazdaki bazı kurallar kapalıdır.

  • Blok modundaki kurallar

  • Denetim modundaki kurallar

  • Uyarı modundaki kurallar

    Farklı ASR kural modları hakkında daha fazla bilgi için bkz. ASR kural modları.

  • Kurallar kapatıldı

  • Geçerli olmayan kurallar: Örneğin, istemci iş istasyonlarında Sunucular için WebShell oluşturmayı engelle kuralı.

  • Unknown

  • Cihaz Kimliği: Uç Nokta için Microsoft Defender'deki cihaz için benzersiz SHA-1 karma değeri tanımlayıcısı. Daha fazla bilgi için bkz . Makine kaynak türü.

Bu değere göre sıralamak için bir sütun üst bilgisi seçin.

Ayrıntılar tablosundaki belirli bir cihazı Cihaz veya Cihaz Kimliği değerine göre bulmak için Arama kutusunu kullanın. Kısmi eşleşmeler desteklenir.

Cihaz ayrıntıları

Saldırı yüzeyi azaltma kuralları rapor sayfasının Yapılandırma sekmesindeki ayrıntılar tablosundan satırda herhangi bir yere tıklayarak bir cihaz girişi seçtiğinizde, aşağıdaki bilgileri içeren bir cihaz ayrıntıları açılır öğesi açılır:

  • Cihazdaki tüm kullanılabilir ASR kurallarının ve durumlarının listesi:

  • Devre Dışı

  • Denetim

  • Engelle

  • Uyarmak

  • Geçerli değil

  • Açılır pencerenin alt kısmındaki ilkeye ekle seçeneği, Microsoft Intune yönetim merkezini açar. ASR kurallarını yapılandırmanın farklı yolları hakkında daha fazla bilgi için bkz. ASR kuralları için dağıtım ve yapılandırma yöntemleri.

Saldırı yüzeyi azaltma kuralları rapor sayfasının Yapılandırma sekmesinden cihaz ayrıntıları açılır öğesinin ekran görüntüsü.

Dışlama ekle sekmesi

Önemli

Dosya veya klasörlerin dışlanması ASR kuralları tarafından sağlanan korumayı ciddi ölçüde azaltabilir. Dışlanan dosyaların çalışmasına izin verilir ve hiçbir rapor veya olay kaydedilmez.

ASR kuralları algılanmaması gerektiğini inandığınız dosyaları algılıyorsa, araştırma için kuralı Denetim moduna geçirmeniz gerekir.

Doğrudan Saldırı yüzeyi azaltma kuralları rapor sayfasının Dışlama ekle sekmesine gitmek için kullanınhttps://security.microsoft.com/asr?viewid=exclusions.

Microsoft Defender portalındaki Saldırı yüzeyi azaltma kuralları rapor sayfasının Dışlama ekle sekmesinin ekran görüntüsü.

Dışlama ekle sekmesi, tüm cihazlarda ASR kurallarına göre dosya algılamalarını listeler.

Filtre > Kurallar veya Filtre , sayfadaki sonuçları filtrelemenizi sağlar. Varsayılan olarak, standart koruma yalnızca standart koruma kurallarının verilerini gösterecek şekilde seçilir, ancak tüm ASR kurallarının verilerini göstermek için Tümü'ne geçebilirsiniz.

Ayrıntılar tablosunda aşağıdaki bilgiler gösterilir:

  • Dosya adı: ASR kural olayını tetikleyen dosyanın adı.
  • Algılamalar: Dosya için algılanan olayların toplam sayısı. Tek tek cihazlar birden çok ASR kuralı olayını tetikleyebilir.
  • Cihazlar: Algılamanın gerçekleştiği cihaz sayısı.

Bu değere göre sıralamak için bir sütun üst bilgisi seçin.

Girdileri dosya adına göre bulmak için Arama kutusunu kullanın.

Özet & beklenen etki bölmesi

Dosya adı sütununun yanındaki onay kutularını seçerek Saldırı yüzeyi azaltma kuralları raporunun Dışlama ekle sekmesindeki ayrıntılar tablosundan bir veya daha fazla dosya girdisi seçtiğinizde, Özet & beklenen etki bölmesi seçili dosyalara ilişkin bilgiler ve eylemlerle doldurulur:

  • Özet bölümü: Seçtiğiniz dosya sayısı.

  • <n> algılamalar bölümü: Seçili dosyaları ASR kurallarının dışında tutarsanız ASR kural algılamalarına ne olur:

    • Kaç kural algılaması hariç tutulacak (<n> algılama, dışlamalardan sonra daha az)
    • Dışlamalardan sonraGerçek algılama ve Algılama sayısını gösteren grafik.

  • <n> etkilenen cihazlar bölümü: Seçili dosyaları ASR kurallarından dışlarsanız cihazlarda ASR kuralı algılamalarına ne olur:

    • <n> etkilenen cihazlar: Kaç cihaz etkilenecek (<dışlamalardan sonra n> cihaz daha az)
    • Algılamaya devam eden ve artık algılaması olmayan cihaz sayısını gösteren bir grafik.

  • Özet & beklenen etki bölmesinin en altında aşağıdaki eylemler bulunur:

    • Dışlama ekleme: Microsoft Intune yönetim merkezini açar. Dosyaları ve klasörleri ASR kurallarının dışında tutmanın farklı yolları hakkında daha fazla bilgi için bkz. ASR kuralları için dosya ve klasör dışlamaları.

    • Seçili dışlama yollarını alma: İndirmek üzere etkilenen dosyaların tam yollarını içeren bir AsrExclusionPaths.csv dosya oluşturur.

Dosya girdilerinin seçili olduğu Saldırı yüzeyi azaltma kuralları rapor sayfasının Dışlama ekle sekmesini gösteren ekran görüntüsü.

İlgili içerik

  • Last updated on