Aracılığıyla paylaş


Saldırı yüzeyi azaltma kuralları raporu

Şunlar için geçerlidir:

Platform:

  • Windows

Saldırı yüzeyi azaltma kuralları raporu, kuruluşunuzdaki cihazlara uygulanan saldırı yüzeyi azaltma kuralları hakkında bilgi sağlar. Bu rapor aşağıdakiler hakkında da bilgi sağlar:

  • algılanan tehditler
  • engellenen tehditler
  • tehditleri engellemek için standart koruma kurallarını kullanacak şekilde yapılandırılmamış cihazlar

Ayrıca, bu rapor aşağıdakileri gerçekleştirmenizi sağlayan kullanımı kolay bir arabirim sağlar:

  • Tehdit algılamalarını görüntüleme
  • ASR kurallarının yapılandırmasını görüntüleme
  • Dışlamaları yapılandırma (ekleme)
  • Ayrıntılı bilgi toplamak için detaya gitme

Bireysel saldırı yüzeyi azaltma kuralları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralları başvurusu.

Önkoşullar

Önemli

Saldırı yüzeyi azaltma kuralları raporuna erişmek için Microsoft Defender portalı için okuma izinleri gereklidir. Windows Server 2012 R2 ve Windows Server 2016'nın saldırı yüzeyi azaltma kuralları raporunda görünmesi için bu cihazların modern birleşik çözüm paketi kullanılarak eklenmesi gerekir. Daha fazla bilgi için bkz. Windows Server 2012 R2 ve 2016 için modern birleşik çözümde yeni işlevler.

Rapor erişim izinleri

Microsoft Defender portalında saldırı yüzeyi azaltma kuralları raporuna erişmek için aşağıdaki izinler gereklidir:

İzin türü İzin İzin görünen adı
Uygulama Machine.Read.All Read all machine profiles
Temsilci (iş veya okul hesabı) Machine.Read Read machine information

Microsoft Entra Id veya Microsoft Defender portalını kullanarak izinleri atayabilirsiniz.

Saldırı yüzeyi azaltma kuralları raporunun özet kartlarına gitmek için

  1. Microsoft Defender XDR portalını açın.
  2. Sol paneldeRaporlar'a tıklayın ve ana bölümde, Raporlar'ın altında Güvenlik raporu'na tıklayın.
  3. Saldırı yüzeyi azaltma kuralları özet kartlarını bulmak için aşağı kaydırarak Cihazlar'a gidin.

ASR kurallarının özet rapor kartları aşağıdaki şekilde gösterilmiştir.

ASR kuralları rapor özet kartlarını gösterir

ASR kuralları rapor özet kartları

ASR kuralları rapor özeti iki karta ayrılır:

ASR kuralları algılamaları özet kartı

ASR kuralları tarafından engellenen algılanan tehdit sayısının özetini gösterir.

İki 'eylem' düğmesi sağlar:

  • Algılamaları görüntüle - Saldırı yüzeyi azaltma kuralları> ana Algılamalar sekmesini açar
  • Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar

ASR kuralları raporu özet algılamaları kartını gösteren ekran görüntüsü.

Kartın üst kısmındaki ASR kuralları algılamaları bağlantısına tıklanması, ana Saldırı yüzeyi azaltma kuralları Algılamalar sekmesini de açar.

ASR kuralları yapılandırma özet kartı

Üst bölüm , yaygın saldırı tekniklerine karşı koruma sağlayan önerilen üç kurala odaklanır. Bu kart, kuruluşunuzdaki aşağıdaki Üç (ASR) standart koruma kuralıBlok modunda, Denetim modunda veya kapalı (yapılandırılmamış) olarak ayarlanmış bilgisayarlar hakkındaki güncel durum bilgilerini gösterir. Cihazları koru düğmesi yalnızca üç kural için tam yapılandırma ayrıntılarını gösterir; müşteriler bu kuralları etkinleştirmek için hızlı bir şekilde işlem yapabilir.

Alt bölümde, kural başına korumasız cihaz sayısına göre altı kural gösterilir. "Yapılandırmayı görüntüle" düğmesi, tüm ASR kuralları için tüm yapılandırma ayrıntılarını gösterir. "Dışlama ekle" düğmesi, Güvenlik İşlem Merkezi(SOC) tarafından değerlendirilecek tüm algılanan dosya/işlem adlarının listelendiği dışlama ekle sayfasını gösterir. Dışlama ekle sayfası Microsoft Intune'a bağlıdır.

İki 'eylem' düğmesi sağlar:

  • Yapılandırmayı görüntüle - Saldırı yüzeyi azaltma kuralları> ana Algılamalar sekmesini açar
  • Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar

ASR kuralları rapor özeti yapılandırma kartını gösterir.

Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısına tıklanması ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.

Basitleştirilmiş standart koruma seçeneği

Yapılandırma özeti kartı , Cihazları üç standart koruma kuralıyla korumak için bir düğme sağlar. Microsoft en azından bu üç saldırı yüzeyi azaltma standart koruma kuralını etkinleştirmenizi önerir:

Üç standart koruma kuralını etkinleştirmek için:

  1. Cihazları koru'yu seçin. Ana Yapılandırma sekmesi açılır.
  2. Yapılandırma sekmesinde, Temel kurallar otomatik olarak Tüm kurallar'danStandart koruma kuralları etkin seçeneğine geçiş yapar.
  3. Cihazlar listesinde, standart koruma kurallarının uygulanmasını istediğiniz cihazları seçin ve ardından Kaydet'i seçin.

Bu kartta iki gezinti düğmesi daha vardır:

  • Yapılandırmayı görüntüle - Saldırı yüzeyi azaltma kuralları> ana Yapılandırma sekmesini açar.
  • Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar.

Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısına tıklanması ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.

Saldırı yüzeyi azaltma kuralları ana sekmeleri

ASR kuralları rapor özet kartları ASR kuralları durumunuzun hızlı özetini almak için yararlı olsa da, ana sekmeler filtreleme ve yapılandırma özellikleriyle daha ayrıntılı bilgiler sağlar:

Arama özellikleri

Arama özelliği Algılama, Yapılandırma ve Dışlama ekle ana sekmelerine eklenir. Bu özellik sayesinde cihaz kimliğini, dosya adını veya işlem adını kullanarak arama yapabilirsiniz.

ASR kuralları rapor arama özelliğini gösterir.

Süzme

Filtreleme, hangi sonuçların döndürüleceğini belirtmeniz için bir yol sağlar:

  • Tarih , veri sonuçları için bir tarih aralığı belirtmenize olanak tanır.
  • Filtreler

Not

Kurala göre filtreleme yaparken, raporun alt yarısında listelenen tek tek algılanan öğelerin sayısı şu anda 200 kuralla sınırlıdır. Algılamaların tam listesini Excel'e kaydetmek için Dışarı Aktar'ı kullanabilirsiniz.

İpucu

Filtre şu anda bu sürümde çalıştığından, her "gruplandırma ölçütü" istediğinizde, tam veri kümesini yüklemek için önce listede son algılamaya kadar aşağı kaydırmanız gerekir. Veri kümesinin tamamını yükledikten sonra "sıralama ölçütü" filtrelemesini başlatabilirsiniz. Her kullanımda veya filtreleme seçeneklerini değiştirirken (örneğin, geçerli filtre çalıştırmasına uygulanan ASR kuralları) son algılamaya kaydırmıyorsanız, listelenen algılamaların birden fazla görüntülenebilir sayfası olan sonuçlarda sonuçlar yanlış olur.

Yapılandırma sekmesindeKI ASR kuralları rapor arama özelliğini gösteren ekran görüntüsü.

Saldırı yüzeyi azaltma kuralları ana algılamalar sekmesi

  • Denetim AlgılamalarıDenetim modunda ayarlanan kurallar tarafından kaç tehdit algılaması yakalandığını gösterir.
  • Engellenen AlgılamalarEngelle modunda ayarlanan kurallar tarafından kaç tehdit algılamanın engellendiğini gösterir.
  • Büyük, birleştirilmiş grafik Engellenen ve denetlenen algılamaları gösterir.

_Audit detections_ ve _Blocked detections_ ana hatlarıyla asr kuralları raporu ana algılamalar sekmesini gösterir.

Grafikler, görüntülenen tarih aralığı üzerinde algılama verileri sağlar ve tarihe özgü bilgileri toplamak için belirli bir konumun üzerine gelme özelliği sunar.

Raporun alt bölümünde algılanan tehditler (cihaz başına temelinde) aşağıdaki alanlarla listelenir:

Alan adı Tanım
Algılanan dosya Olası veya bilinen bir tehdit içerdiği belirlenen dosya
Algılanan Tehdidin algılandığı tarih
Engellendi/Denetlendi mi? Belirli bir olay için algılama kuralının Engelleme veya Denetim modunda olup olmadığı
Kural Tehdidi algılayan kural
Kaynak uygulama Rahatsız edici "algılanan dosyaya" çağrı yapan uygulama
Cihaz Denetim veya Engelleme olayının gerçekleştiği cihazın adı
Cihaz grubu Cihazın ait olduğu Active Directory grubu
Kullanıcı Aramadan sorumlu makine hesabı
Publisher Belirli bir .exe veya uygulamayı yayınlayan şirket

ASR kural denetimi ve blok modları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralı modları.

Eyleme dönüştürülebilir açılır öğe

"Algılama" ana sayfasında son 30 gün içindeki tüm algılamaların (dosyalar/işlemler) listesi bulunur. Detaya gitme özellikleriyle açmak için algılamalardan herhangi birini seçin.

ASR kuralları raporu ana algılamalar sekmesi açılır penceresini gösterir

Olası dışlama ve etki bölümü, seçilen dosya veya işlemin etkisini sağlar. Şunları yapabilirsiniz:

  • Gelişmiş Tehdit Avcılığı sorgu sayfasını açan Avlanmaya Git'i seçin
  • Dosya aç sayfası Uç Nokta algılaması için Microsoft Defender'ın açılmasını sağlar
  • Dışlama ekle düğmesi, dışlama ekleme ana sayfasıyla bağlantılıdır.

Aşağıdaki görüntüde, eyleme dönüştürülebilir açılır öğedeki bağlantıdan Gelişmiş Tehdit Avcılığı sorgu sayfasının nasıl açıldığını gösterilmektedir:

Saldırı yüzeyi azaltma kuralları raporu ana algılamalar sekmesi açılır bağlantısının Gelişmiş Tehdit Avcılığı'nı açmasını gösterir

Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'de gelişmiş avcılık ile tehditleri proaktif olarak avlama

Saldırı yüzeyi azaltma kuralları ana Yapılandırma sekmesi

ASR kuralları ana Yapılandırma sekmesi, özet ve cihaz başına ASR kuralları yapılandırma ayrıntıları sağlar. Yapılandırma sekmesinin üç ana yönü vardır:

Temel kurallarTemel kurallar ve Tüm Kurallar arasında sonuçları değiştirmek için bir yöntem sağlar. Varsayılan olarak , Temel kurallar seçilidir.

Cihaz yapılandırmasına genel bakış Aşağıdaki durumlardan birinde cihazların geçerli anlık görüntüsünü sağlar:

  • Kullanıma sunulan tüm Cihazlar (önkoşulları eksik olan cihazlar, Denetim modundaki kurallar, yanlış yapılandırılmış kurallar veya yapılandırılmamış kurallar)
  • Kuralları yapılandırılmamış cihazlar
  • Denetim modunda kuralları olan cihazlar
  • Blok modunda kuralları olan cihazlar

Yapılandırma sekmesinin alt, adlandırılmamış bölümü, cihazlarınızın geçerli durumunun bir listesini sağlar (cihaz başına temelinde):

  • Cihaz (ad)
  • Genel yapılandırma (Herhangi bir kuralın açık veya tümünün kapalı olup olmadığı)
  • Blok modundaki kurallar (blok olarak ayarlanan cihaz başına kural sayısı)
  • Denetim modundaki kurallar (denetim modundaki kuralların sayısı)
  • Kurallar kapalı (kapalı veya etkinleştirilmemiş kurallar)
  • Cihaz Kimliği (cihaz GUID'si)

Bu öğeler aşağıdaki şekilde gösterilmiştir.

ASR kuralları raporu ana yapılandırma sekmesini gösterir

ASR kurallarını etkinleştirmek için:

  1. Cihaz'ın altında ASR kurallarını uygulamak istediğiniz cihazı veya cihazları seçin.
  2. Açılır pencerede seçimlerinizi doğrulayın ve İlkeye ekle'yi seçin.

Yapılandırma sekmesi ve kural ekleme açılır öğesi aşağıdaki görüntüde gösterilmiştir.

[NOTE!] Farklı ASR kurallarının uygulanmasını gerektiren cihazlarınız varsa, bu cihazları tek tek yapılandırmanız gerekir.

Cihazlara ASR kuralları eklemek için ASR kuralları açılır penceresini gösterir

Saldırı yüzeyi azaltma kuralları Dışlama ekle sekmesi

Dışlama ekle sekmesi, dosya adına göre sıralı bir algılama listesi sunar ve dışlamaları yapılandırmak için bir yöntem sağlar. Varsayılan olarak, Dışlama ekleme bilgileri üç alan için listelenir:

  • Dosya adı ASR kuralları olayını tetikleyen dosyanın adı.
  • Algılamalar Adlandırılmış dosya için algılanan olayların toplam sayısı. Tek tek cihazlar birden çok ASR kuralı olayını tetikleyebilir.
  • Aygıtları Algılamanın gerçekleştiği cihaz sayısı.

ASR kural raporu dışlama ekleme sekmesini gösterir

Önemli

Dosya veya klasörlerin dışlanması ASR kuralları tarafından sağlanan korumayı ciddi ölçüde azaltabilir. Dışlanan dosyaların çalıştırılmasına izin verilir ve hiçbir rapor veya olay kaydedilmez. ASR kuralları algılanmaması gerektiğini inandığınız dosyaları algılarsa, kuralı test etmek için önce denetim modunu kullanmanız gerekir.

Bir dosya seçtiğinizde, aşağıdaki bilgi türlerini sunan Bir Özet & beklenen etki açılır:

  • Seçili dosyalar Dışlamak için seçtiğiniz dosya sayısı
  • (sayısı) algılamaları Seçilen dışlamaları ekledikten sonra algılamalarda beklenen azalmayı belirtir. Algılamalardaki azalma, Gerçek algılamalar ve Dışlamalardan sonra algılamalar için grafik olarak temsil edilir
  • (sayısı) etkilenen cihazlar Seçili dışlamalar için algılamaları raporlayan cihazlarda beklenen azalmayı belirtir.

Dışlama ekle sayfasında, algılanan tüm dosyalarda (seçimden sonra) kullanılabilecek eylemler için iki düğme vardır. Şunları yapabilirsiniz:

  • Microsoft Intune ASR ilke sayfasını açacak dışlama ekleyin. Daha fazla bilgi için bkz. "ASR kurallarını etkinleştirme alternatif yapılandırma yöntemleri" içindeki Intune .
  • Dosya yollarını csv biçiminde indirecek dışlama yollarını alma

ASR kural raporu ekleme dışlamalar sekmesi açılır öğesi etki özetini gösterir

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.