Aracılığıyla paylaş

Saldırı yüzeyi azaltma kuralları raporu

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Saldırı Yüzeyi Azaltma Kuralları raporu, kuruluşunuzdaki cihazlarda uygulanan kurallar hakkında ayrıntılı içgörüler sağlar. Ayrıca, bu rapor aşağıdakiler hakkında bilgi sunar:

  • algılanan tehditler
  • engellenen tehditler
  • tehditleri engellemek için standart koruma kurallarını kullanacak şekilde yapılandırılmamış cihazlar

Buna ek olarak, rapor aşağıdakileri gerçekleştirmenizi sağlayan kullanımı kolay bir arabirim sağlar:

  • Tehdit algılamalarını görüntüleme
  • ASR kurallarının yapılandırmasını görüntüleme
  • Dışlamaları yapılandırma (ekleme)
  • Ayrıntılı bilgi toplamak için detaya gitme

Bireysel saldırı yüzeyi azaltma kuralları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralları başvurusu.

Önkoşullar

  • Saldırı yüzeyi azaltma kuralları raporuna erişmek için Microsoft Defender portalı için okuma izinleri gereklidir.
  • Windows Server 2012 R2 ve Windows Server 2016 saldırı yüzeyi azaltma kuralları raporunda görüntülenebilmesi için bu cihazların modern birleşik çözüm paketi kullanılarak eklenmelidir. Daha fazla bilgi için bkz. Windows Server 2012 R2 ve 2016 için modern birleşik çözümde yeni işlevler.

Desteklenen işletim sistemleri

  • Windows

Desteklenen işletim sistemleri

  • Windows

Rapor erişim izinleri

Microsoft Defender portalında saldırı yüzeyi azaltma kuralları raporuna erişmek için aşağıdaki izinler gereklidir:

İzin adı İzin türü
Verileri Görüntüle Güvenlik işlemleri

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Bu izinleri atamak için:

  1. Microsoft Defender portalında oturum açın.

  2. Gezinti bölmesinde Ayarlar>Uç Noktaları>Rolleri'ni seçin ( İzinler'in altında).

  3. Düzenlemek istediğiniz rolü seçin ve ardından Düzenle'yi seçin.

  4. Rolü düzenle'ninGenel sekmesindeki Rol adı alanına rol için bir ad yazın.

  5. Açıklama alanına rolün kısa bir özetini yazın.

  6. İzinler'deVerileri Görüntüle'yi seçin ve Verileri Görüntüle'nin altında Güvenlik işlemleri'ne tıklayın.

Saldırı yüzeyi azaltma kuralları raporunun özet kartlarına gitmek için

  1. Microsoft Defender portalını açın.

  2. Gezinti bölmesinde Raporlar'ı seçin. Ana bölümdeki Raporlar'ın altında Güvenlik raporu'na tıklayın.

  3. Saldırı yüzeyi azaltma kuralları özet kartlarını bulmak için aşağı kaydırarak Cihazlar'a gidin. ASR kurallarının özet rapor kartları aşağıdaki görüntüye benzer:

    ASR kuralları rapor özet kartlarını gösterir

ASR kuralları rapor özet kartları

ASR kuralları rapor özeti iki karta ayrılır:

ASR kuralları algılamaları özet kartı

ASR kuralları algılamaları özet kartı, ASR kuralları tarafından engellenen algılanan tehdit sayısının özetini gösterir. Bu kart iki eylem düğmesi içerir:

  • Algılamaları görüntüle: Algılamalar sekmesini açar
  • Dışlama ekleme: Dışlamalar sekmesini açar

ASR kuralları raporu özet algılamaları kartını gösteren ekran görüntüsü.

Kartın üst kısmındaki ASR kuralları algılamaları bağlantısının seçilmesi, ana Saldırı yüzeyi azaltma kuralları Algılamalar sekmesini de açar.

ASR kuralları yapılandırma özet kartı

Üst bölüm, yaygın saldırı tekniklerine karşı koruma sağlayan önerilen üç kurala odaklanır. Bu kart, kuruluşunuzdaki aşağıdaki Üç (ASR) standart koruma kuralıBlok modunda, Denetim modunda veya kapalı (yapılandırılmamış) olarak ayarlanmış bilgisayarlar hakkındaki güncel durum bilgilerini gösterir. Cihazları koru düğmesi yalnızca üç kural için tüm yapılandırma ayrıntılarını gösterir; müşteriler bu kuralları etkinleştirmek için hızlı bir şekilde işlem yapabilir.

Alt bölümde, kural başına korumasız cihaz sayısına göre altı kural gösterilir. Yapılandırmayı görüntüle düğmesi, tüm ASR kuralları için tüm yapılandırma ayrıntılarını gösterir. Dışlama ekle düğmesi, Güvenlik İşlem Merkezi(SOC) tarafından değerlendirilecek tüm algılanan dosya/işlem adlarının listelendiği dışlama ekle sayfasını gösterir. Dışlama ekle sayfası Microsoft Intune'a bağlıdır.

Kartta iki eylem düğmesi de bulunur:

  • Yapılandırmayı görüntüle: Algılamalar sekmesini açar
  • Dışlama ekleme: Dışlamalar sekmesini açar

ASR kuralları rapor özeti yapılandırma kartını gösterir.

Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısının seçilmesi, ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.

Basitleştirilmiş standart koruma seçeneği

Yapılandırma özeti kartı , Cihazları üç standart koruma kuralıyla korumak için bir düğme sağlar. Microsoft en azından bu üç saldırı yüzeyi azaltma standart koruma kuralını etkinleştirmenizi önerir:

Üç standart koruma kuralını etkinleştirmek için:

  1. Cihazları koru'yu seçin. Ana Yapılandırma sekmesi açılır.

  2. Yapılandırma sekmesinde, Temel kurallar otomatik olarak Tüm kurallar'danStandart koruma kuralları etkin seçeneğine geçiş yapar.

  3. Cihazlar listesinde, standart koruma kurallarının uygulanmasını istediğiniz cihazları seçin ve ardından Kaydet'i seçin.

Bu kartta iki gezinti düğmesi daha vardır:

  • Yapılandırmayı görüntüle: Yapılandırma sekmesini açar.
  • Dışlama ekleme: Dışlamalar sekmesini açar.

Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısının seçilmesi, ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.

Saldırı yüzeyi azaltma kuralları ana sekmeleri

ASR kuralları rapor özet kartları ASR kuralları durumunuzun hızlı özetini almak için yararlı olsa da, ana sekmeler filtreleme ve yapılandırma özellikleriyle daha ayrıntılı bilgiler sağlar:

Arama özellikleri

Arama özelliği Algılama, Yapılandırma ve Dışlama ekle ana sekmelerine eklenir. Bu özellik sayesinde cihaz kimliğini, dosya adını veya işlem adını kullanarak arama yapabilirsiniz.

ASR kuralları rapor arama özelliğini gösterir.

Süzme

Filtreleme, hangi sonuçların döndürüleceğini belirtmeniz için bir yol sağlar:

  • Tarih , veri sonuçları için bir tarih aralığı belirtmenize olanak tanır.
  • Filtreler

Not

Kurala göre filtreleme yaparken, raporun alt yarısında listelenen tek tek algılanan öğelerin sayısı şu anda 200 kuralla sınırlıdır. Algılamaların tam listesini Excel'e kaydetmek için Dışarı Aktar'ı kullanabilirsiniz.

İpucu

Filtre şu anda bu sürümde çalıştığından, her "gruplandırma ölçütü" istediğinizde, tam veri kümesini yüklemek için önce listede son algılamaya kadar aşağı kaydırmanız gerekir. Veri kümesinin tamamını yükledikten sonra "sıralama ölçütü" filtrelemesini başlatabilirsiniz. Her kullanımda veya filtreleme seçeneklerini değiştirirken (örneğin, geçerli filtre çalıştırmasına uygulanan ASR kuralları) listelenen algılamaların birden fazla görüntülenebilir sayfasına sahip herhangi bir sonuç için aşağı kaydırmıyorsanız sonuçlar yanlıştır.

Yapılandırma sekmesindeKI ASR kuralları rapor arama özelliğini gösteren ekran görüntüsü.

Kurallardaki saldırı yüzeyi azaltma kuralları algılamaları filtresini gösteren ekran görüntüsü.

Saldırı yüzeyi azaltma kuralları ana algılamalar sekmesi

  • Denetim Algılamaları: Denetim modunda ayarlanan kurallar tarafından kaç tehdit algılaması yakalandığını gösterir.

  • Engellenen Algılamalar: Engelle modunda ayarlanan kurallar tarafından kaç tehdit algılamanın engellendiğini gösterir.

  • Büyük, birleştirilmiş grafik: Engellenen ve denetlenen algılamaları gösterir.

    _Audit detections_ ve _Blocked detections_ ana hatlarıyla asr kuralları raporu ana algılamalar sekmesini gösterir.

Grafikler, görüntülenen tarih aralığı üzerinde algılama verileri sağlar ve tarihe özgü bilgileri toplamak için belirli bir konumun üzerine gelme özelliği sunar.

Raporun alt bölümünde algılanan tehditler (cihaz başına temelinde) aşağıdaki alanlarla listelenir:

Alan adı Tanım
Algılanan dosya Olası veya bilinen bir tehdit içerdiği belirlenen dosya
Algılanan Tehdidin algılandığı tarih
Engellendi/Denetlendi mi? Belirli bir olay için algılama kuralının Engelleme veya Denetim modunda olup olmadığı
Kural Tehdidi algılayan kural
Kaynak uygulama Rahatsız edici "algılanan dosyaya" çağrı yapan uygulama
Cihaz Denetim veya Engelleme olayının gerçekleştiği cihazın adı
Cihaz grubu Cihazın ait olduğu Active Directory grubu
Kullanıcı Aramadan sorumlu makine hesabı
Publisher Belirli bir .exe veya uygulamayı yayınlayan şirket

ASR kural denetimi ve blok modları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralı modları.

Eyleme dönüştürülebilir açılır öğe

"Algılama" ana sayfasında son 30 gün içindeki tüm algılamaların (dosyalar/işlemler) listesi bulunur. Detaya gitme özellikleriyle açmak için algılamalardan herhangi birini seçin.

ASR kuralları raporu ana algılamalar sekmesi açılır penceresini gösterir

Olası dışlama ve etki bölümü, seçilen dosya veya işlemin etkisini sağlar. Yapabilecekleriniz:

  • Gelişmiş Tehdit Avcılığı sorgu sayfasını açan Avlanmaya Git'i seçin.
  • Dosya açma sayfası, algılama Uç Nokta için Microsoft Defender açılır.
  • Dışlama ekle düğmesi, dışlama ekleme ana sayfasıyla bağlantılıdır.

Aşağıdaki görüntüde, eyleme dönüştürülebilir açılır öğedeki bağlantıdan Gelişmiş Tehdit Avcılığı sorgu sayfasının nasıl açıldığını gösterilmektedir:

Saldırı yüzeyi azaltma kuralları raporu ana algılamalar sekmesi açılır bağlantısının Gelişmiş Tehdit Avcılığı'nı açmasını gösterir

Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'de gelişmiş avcılık ile tehditleri proaktif olarak avlama

Saldırı yüzeyi azaltma kuralları ana Yapılandırma sekmesi

ASR kuralları ana Yapılandırma sekmesi, özet ve cihaz başına ASR kuralları yapılandırma ayrıntıları sağlar. Yapılandırma sekmesinin üç ana yönü vardır:

Temel kurallarTemel kurallar ve Tüm Kurallar arasında sonuçları değiştirmek için bir yöntem sağlar. Varsayılan olarak , Temel kurallar seçilidir.

Cihaz yapılandırmasına genel bakış Aşağıdaki durumlardan birinde cihazların geçerli anlık görüntüsünü sağlar:

  • Kullanıma sunulan tüm Cihazlar (önkoşulları eksik olan cihazlar, Denetim modundaki kurallar, yanlış yapılandırılmış kurallar veya yapılandırılmamış kurallar)
  • Kuralları yapılandırılmamış cihazlar
  • Denetim modunda kuralları olan cihazlar
  • Blok modunda kuralları olan cihazlar

Yapılandırma sekmesinin alt, adlandırılmamış bölümü, cihazlarınızın geçerli durumunun bir listesini sağlar (cihaz başına temelinde):

  • Cihaz (ad)
  • Genel yapılandırma (Herhangi bir kuralın açık veya tümünün kapalı olup olmadığı)
  • Blok modundaki kurallar (blok olarak ayarlanan cihaz başına kural sayısı)
  • Denetim modundaki kurallar (denetim modundaki kuralların sayısı)
  • Kurallar kapalı (kapalı veya etkinleştirilmemiş kurallar)
  • Cihaz Kimliği (cihaz GUID'si)

Bu öğeler aşağıdaki şekilde gösterilmiştir.

ASR kuralları raporu ana yapılandırma sekmesini gösterir

ASR kurallarını etkinleştirmek için:

  1. Cihaz'ın altında ASR kurallarını uygulamak istediğiniz cihazı veya cihazları seçin.

  2. Açılır pencerede seçimlerinizi doğrulayın ve İlkeye ekle'yi seçin. Yapılandırma sekmesi ve kural ekleme açılır öğesi aşağıdaki görüntüde gösterilmiştir.

    Cihazlara ASR kuralları eklemek için ASR kuralları açılır penceresini gösterir

[NOTE!] Farklı ASR kurallarının uygulanmasını gerektiren cihazlarınız varsa, bu cihazları tek tek yapılandırmanız gerekir.

Saldırı yüzeyi azaltma kuralları Dışlama ekle sekmesi

Dışlama ekle sekmesi, dosya adına göre sıralı bir algılama listesi sunar ve dışlamaları yapılandırmak için bir yöntem sağlar. Varsayılan olarak, Dışlama ekleme bilgileri üç alan için listelenir:

  • Dosya adı: ASR kuralları olayını tetikleyen dosyanın adı.
  • Algılamalar: Adlandırılmış dosya için algılanan olayların toplam sayısı. Tek tek cihazlar birden çok ASR kuralı olayını tetikleyebilir.
  • Cihazlar: Algılamanın gerçekleştiği cihaz sayısı.

ASR kural raporu dışlama ekleme sekmesini gösterir.

Önemli

Dosya veya klasörlerin dışlanması ASR kuralları tarafından sağlanan korumayı ciddi ölçüde azaltabilir. Dışlanan dosyaların çalışmasına izin verilir ve hiçbir rapor veya olay kaydedilmez. ASR kuralları algılanmaması gerektiğini inandığınız dosyaları algılarsa, kuralı test etmek için önce denetim modunu kullanmanız gerekir.

Bir dosya seçtiğinizde, aşağıdaki bilgi türlerini sunan Bir Özet & beklenen etki açılır:

  • Seçilen dosyalar - Dışlamak için seçtiğiniz dosya sayısı
  • (sayısı) algılamaları - Seçili dışlamalar eklendikten sonra algılamalarda beklenen azalmayı belirtir. Algılamalardaki azalma, Gerçek algılamalar ve Dışlamalardan sonra algılamalar için grafik olarak temsil edilir.
  • (etkilenen cihaz sayısı) - Seçili dışlamalar için algılamaları bildiren cihazlarda beklenen azalmayı belirtir.

Dışlama ekle sayfasında, algılanan tüm dosyalarda (seçimden sonra) kullanılabilecek eylemler için iki düğme vardır. Yapabilecekleriniz:

  • Microsoft Intune ASR ilke sayfasını açan dışlama ekleyin. Daha fazla bilgi için "ASR kurallarını alternatif yapılandırma yöntemlerini etkinleştirme" içindeki Intune'a bakın.

  • Dosya yollarını csv biçiminde indiren dışlama yollarını alın.

    ASR kural raporu ekleme dışlamalar sekmesi açılır öğesi etki özetini gösterir.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.

  • Last updated on