Saldırı yüzeyi azaltma kuralları raporu

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Platform:

• Windows

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Saldırı yüzeyi azaltma kuralları raporu, kuruluşunuzdaki cihazlara uygulanan saldırı yüzeyi azaltma kuralları hakkında bilgi sağlar. Bu rapor aşağıdakiler hakkında da bilgi sağlar:

• algılanan tehditler
• engellenen tehditler
• tehditleri engellemek için standart koruma kurallarını kullanacak şekilde yapılandırılmamış cihazlar

Ayrıca, bu rapor aşağıdakileri gerçekleştirmenizi sağlayan kullanımı kolay bir arabirim sağlar:

• Tehdit algılamalarını görüntüleme
• ASR kurallarının yapılandırmasını görüntüleme
• Dışlamaları yapılandırma (ekleme)
• Tek bir geçişle en çok önerilen üç ASR kuralını etkinleştirerek temel korumayı kolayca etkinleştirin
• Ayrıntılı bilgi toplamak için detaya gitme

Bireysel saldırı yüzeyi azaltma kuralları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralları başvurusu.

Önkoşullar

Önemli

Saldırı yüzeyi azaltma kuralları raporuna erişmek için Microsoft Defender portalı için okuma izinleri gereklidir. Güvenlik Genel Yönetici veya Güvenlik rolü gibi Microsoft Entra rolleri tarafından verilen bu rapora erişim kullanım dışı bırakılıyor ve Nisan 2023'te kaldırılacak. Windows Server 2012 R2 ve Windows Server 2016 Saldırı yüzeyi azaltma kuralları raporunda görüntülenebilmesi için bu cihazların modern birleşik çözüm paketi kullanılarak eklenmelidir. Daha fazla bilgi için bkz. Windows Server 2012 R2 ve 2016 için modern birleşik çözümde yeni işlevler.

Rapor erişim izinleri

Microsoft 365 Güvenlik panosundaki Saldırı yüzeyi azaltma kuralları raporuna erişmek için aşağıdaki izinler gereklidir:

İzin türü	İzin	İzin görünen adı
Uygulama	Machine.Read.All	'Tüm makine profillerini oku'
Temsilci (iş veya okul hesabı)	Machine.Read	'Makine bilgilerini oku'

Bu izinleri atamak için:

1. Güvenlik yöneticisi veya Genel yönetici rolü atanmış hesabı kullanarak Microsoft Defender XDR oturum açın.
2. Gezinti bölmesinde Ayarlar>Uç Noktaları>Rolleri'ni seçin ( İzinler'in altında).
3. Düzenlemek istediğiniz rolü seçin.
4. Düzenle'yi seçin.
5. Rolü düzenle'ninGenel sekmesindeki Rol adı alanına rol için bir ad yazın.
6. Açıklama alanına rolün kısa bir özetini yazın.
7. İzinler'deVerileri Görüntüle'yi seçin ve Verileri Görüntüle'nin altında Saldırı yüzeyi azaltma'yı seçin.

Kullanıcı rolü yönetimi hakkında daha fazla bilgi için bkz. Rol tabanlı erişim denetimi için rolleri İçerik Oluşturucu ve yönetme.

Gezinti

Saldırı yüzeyi azaltma kuralları raporunun özet kartlarına gitmek için

1. Microsoft Defender XDR portalını açın.
2. Sol paneldeRaporlar'a tıklayın ve ana bölümde, Raporlar'ın altında Güvenlik raporu'na tıklayın.
3. Saldırı yüzeyi azaltma kuralları özet kartlarını bulmak için aşağı kaydırarak Cihazlar'a gidin.

ASR kurallarının özet rapor kartları aşağıdaki şekilde gösterilmiştir.

ASR kuralları rapor özet kartları

ASR kuralları rapor özeti iki karta ayrılır:

• ASR kuralı algılamaları özet kartı
• ASR kuralı yapılandırma özet kartı

ASR kuralları algılamaları özet kartı

ASR kuralları tarafından engellenen algılanan tehdit sayısının özetini gösterir.

İki 'eylem' düğmesi sağlar:

• Algılamaları görüntüle - Saldırı yüzeyi azaltma kuralları> ana Algılamalar sekmesini açar
• Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar

Kartın üst kısmındaki ASR kuralları algılamaları bağlantısına tıklanması, ana Saldırı yüzeyi azaltma kuralları Algılamalar sekmesini de açar.

ASR kuralları yapılandırma özet kartı

Üst bölüm , yaygın saldırı tekniklerine karşı koruma sağlayan önerilen üç kurala odaklanır. Bu kart, kuruluşunuzdaki aşağıdaki Üç (ASR) standart koruma kuralıBlok modunda, Denetim modunda veya kapalı (yapılandırılmamış) olarak ayarlanmış bilgisayarlar hakkındaki güncel durum bilgilerini gösterir. Cihazları koru düğmesi yalnızca üç kural için tam yapılandırma ayrıntılarını gösterir; müşteriler bu kuralları etkinleştirmek için hızlı bir şekilde işlem yapabilir.

Alt bölümde, kural başına korumasız cihaz sayısına göre altı kural gösterilir. "Yapılandırmayı görüntüle" düğmesi, tüm ASR kuralları için tüm yapılandırma ayrıntılarını gösterir. "Dışlama ekle" düğmesi, Güvenlik İşlem Merkezi(SOC) tarafından değerlendirilecek tüm algılanan dosya/işlem adlarının listelendiği dışlama ekle sayfasını gösterir. Dışlama ekle sayfası Microsoft Intune bağlıdır.

İki 'eylem' düğmesi sağlar:

• Yapılandırmayı görüntüle - Saldırı yüzeyi azaltma kuralları> ana Algılamalar sekmesini açar
• Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar

Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısına tıklanması ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.

Basitleştirilmiş standart koruma seçeneği

Yapılandırma özeti kartı , Cihazları üç standart koruma kuralıyla korumak için bir düğme sağlar. Microsoft en azından bu üç saldırı yüzeyi azaltma standart koruma kuralını etkinleştirmenizi önerir:

• Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme
• Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
• Windows Yönetim Araçları (WMI) olay aboneliği aracılığıyla kalıcılığı engelleme

Üç standart koruma kuralını etkinleştirmek için:

1. Cihazları koru'yu seçin. Ana Yapılandırma sekmesi açılır.
2. Yapılandırma sekmesinde, Temel kurallar otomatik olarak Tüm kurallar'danStandart koruma kuralları etkin seçeneğine geçiş yapar.
3. Cihazlar listesinde, standart koruma kurallarının uygulanmasını istediğiniz cihazları seçin ve ardından Kaydet'i seçin.

Bu kartta iki gezinti düğmesi daha vardır:

• Yapılandırmayı görüntüle - Saldırı yüzeyi azaltma kuralları> ana Yapılandırma sekmesini açar.
• Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar.

Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısına tıklanması ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.

Saldırı yüzeyi azaltma kuralları ana sekmeleri

ASR kuralları rapor özet kartları ASR kuralları durumunuzun hızlı özetini almak için yararlı olsa da, ana sekmeler filtreleme ve yapılandırma özellikleriyle daha ayrıntılı bilgiler sağlar:

• Algılamalar sekmesi
• Yapılandırma sekmesi
• Dışlamalar sekmesi

Arama özellikleri

Arama özelliği Algılama, Yapılandırma ve Dışlama ekle ana sekmelerine eklenir. Bu özellik sayesinde cihaz kimliğini, dosya adını veya işlem adını kullanarak arama yapabilirsiniz.

Filtreleme

Filtreleme, hangi sonuçların döndürüleceğini belirtmeniz için bir yol sağlar:

• Tarih , veri sonuçları için bir tarih aralığı belirtmenize olanak tanır.
• Filtreler

Not

Kurala göre filtreleme yaparken, raporun alt yarısında listelenen tek tek algılanan öğelerin sayısı şu anda 200 kuralla sınırlıdır. Algılamaların tam listesini Excel'e kaydetmek için Dışarı Aktar'ı kullanabilirsiniz.

İpucu

Filtre şu anda bu sürümde çalıştığından, her "gruplandırma ölçütü" istediğinizde, tam veri kümesini yüklemek için önce listede son algılamaya kadar aşağı kaydırmanız gerekir. Veri kümesinin tamamını yükledikten sonra "sıralama ölçütü" filtrelemesini başlatabilirsiniz. Her kullanımda veya filtreleme seçeneklerini değiştirirken (örneğin, geçerli filtre çalıştırmasına uygulanan ASR kuralları) son algılamaya kaydırmıyorsanız, listelenen algılamaların birden fazla görüntülenebilir sayfası olan sonuçlarda sonuçlar yanlış olur.

Saldırı yüzeyi azaltma kuralları ana algılamalar sekmesi

• Denetim AlgılamalarıDenetim modunda ayarlanan kurallar tarafından kaç tehdit algılaması yakalandığını gösterir.
• Engellenen AlgılamalarEngelle modunda ayarlanan kurallar tarafından kaç tehdit algılamanın engellendiğini gösterir.
• Büyük, birleştirilmiş grafik Engellenen ve denetlenen algılamaları gösterir.

Grafikler, görüntülenen tarih aralığı üzerinde algılama verileri sağlar ve tarihe özgü bilgileri toplamak için belirli bir konumun üzerine gelme özelliği sunar.

Raporun alt bölümünde algılanan tehditler (cihaz başına temelinde) aşağıdaki alanlarla listelenir:

Alan adı	Tanım
Algılanan dosya	Olası veya bilinen bir tehdit içerdiği belirlenen dosya
Algılanan	Tehdidin algılandığı tarih
Engellendi/Denetlendi mi?	Belirli bir olay için algılama kuralının Engelleme veya Denetim modunda olup olmadığı
Kural	Tehdidi algılayan kural
Kaynak uygulama	Rahatsız edici "algılanan dosyaya" çağrı yapan uygulama
Cihaz	Denetim veya Engelleme olayının gerçekleştiği cihazın adı
Cihaz grubu	Cihazın ait olduğu Active Directory grubu
Kullanıcı	Aramadan sorumlu makine hesabı
Publisher	Belirli bir .exe veya uygulamayı yayınlayan şirket

ASR kural denetimi ve blok modları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralı modları.

Eyleme dönüştürülebilir açılır öğe

"Algılama" ana sayfasında son 30 gün içindeki tüm algılamaların (dosyalar/işlemler) listesi bulunur. Detaya gitme özellikleriyle açmak için algılamalardan herhangi birini seçin.

Olası dışlama ve etki bölümü, seçilen dosya veya işlemin etkisini sağlar. Şunları yapabilirsiniz:

• Gelişmiş Tehdit Avcılığı sorgu sayfasını açan Avlanmaya Git'i seçin
• Dosya sayfasını açma Uç Nokta için Microsoft Defender algılama açılır
• Dışlama ekle düğmesi, dışlama ekleme ana sayfasıyla bağlantılıdır.

Aşağıdaki görüntüde, eyleme dönüştürülebilir açılır öğedeki bağlantıdan Gelişmiş Tehdit Avcılığı sorgu sayfasının nasıl açıldığını gösterilmektedir:

Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'de gelişmiş avcılık ile tehditleri proaktif olarak avlama

Saldırı yüzeyi azaltma kuralları ana Yapılandırma sekmesi

ASR kuralları ana Yapılandırma sekmesi, özet ve cihaz başına ASR kuralları yapılandırma ayrıntıları sağlar. Yapılandırma sekmesinin üç ana yönü vardır:

Temel kurallarTemel kurallar ve Tüm Kurallar arasında sonuçları değiştirmek için bir yöntem sağlar. Varsayılan olarak , Temel kurallar seçilidir.

Cihaz yapılandırmasına genel bakış Aşağıdaki durumlardan birinde cihazların geçerli anlık görüntüsünü sağlar:

• Kullanıma sunulan tüm Cihazlar (önkoşulları eksik olan cihazlar, Denetim modundaki kurallar, yanlış yapılandırılmış kurallar veya yapılandırılmamış kurallar)
• Kuralları yapılandırılmamış cihazlar
• Denetim modunda kuralları olan cihazlar
• Blok modunda kuralları olan cihazlar

Yapılandırma sekmesinin alt, adlandırılmamış bölümü, cihazlarınızın geçerli durumunun bir listesini sağlar (cihaz başına temelinde):

• Cihaz (ad)
• Genel yapılandırma (Herhangi bir kuralın açık veya tümünün kapalı olup olmadığı)
• Blok modundaki kurallar (blok olarak ayarlanan cihaz başına kural sayısı)
• Denetim modundaki kurallar (denetim modundaki kuralların sayısı)
• Kurallar kapalı (kapalı veya etkinleştirilmemiş kurallar)
• Cihaz Kimliği (cihaz GUID'si)

Bu öğeler aşağıdaki şekilde gösterilmiştir.

ASR kurallarını etkinleştirmek için:

1. Cihaz'ın altında ASR kurallarını uygulamak istediğiniz cihazı veya cihazları seçin.
2. Açılır pencerede seçimlerinizi doğrulayın ve İlkeye ekle'yi seçin.

Yapılandırma sekmesi ve kural ekleme açılır öğesi aşağıdaki görüntüde gösterilmiştir.

[NOTE!] Farklı ASR kurallarının uygulanmasını gerektiren cihazlarınız varsa, bu cihazları tek tek yapılandırmanız gerekir.

Saldırı yüzeyi azaltma kuralları Dışlama ekle sekmesi

Dışlama ekle sekmesi, dosya adına göre sıralı bir algılama listesi sunar ve dışlamaları yapılandırmak için bir yöntem sağlar. Varsayılan olarak, Dışlama ekleme bilgileri üç alan için listelenir:

• Dosya adı ASR kuralları olayını tetikleyen dosyanın adı.
• Algılamalar Adlandırılmış dosya için algılanan olayların toplam sayısı. Tek tek cihazlar birden çok ASR kuralı olayını tetikleyebilir.
• Aygıtları Algılamanın gerçekleştiği cihaz sayısı.

Önemli

Dosya veya klasörlerin dışlanması ASR kuralları tarafından sağlanan korumayı ciddi ölçüde azaltabilir. Dışlanan dosyaların çalıştırılmasına izin verilir ve hiçbir rapor veya olay kaydedilmez. ASR kuralları algılanmaması gerektiğini inandığınız dosyaları algılarsa, kuralı test etmek için önce denetim modunu kullanmanız gerekir.

Bir dosya seçtiğinizde, aşağıdaki bilgi türlerini sunan Bir Özet & beklenen etki açılır:

• Seçili dosyalar Dışlamak için seçtiğiniz dosya sayısı
• (sayısı) algılamaları Seçilen dışlamaları ekledikten sonra algılamalarda beklenen azalmayı belirtir. Algılamalardaki azalma, Gerçek algılamalar ve Dışlamalardan sonra algılamalar için grafik olarak temsil edilir
• (sayısı) etkilenen cihazlar Seçili dışlamalar için algılamaları raporlayan cihazlarda beklenen azalmayı belirtir.

Dışlama ekle sayfasında, algılanan tüm dosyalarda (seçimden sonra) kullanılabilecek eylemler için iki düğme vardır. Şunları yapabilirsiniz:

• ASR ilke sayfası Microsoft Intune açılacak dışlama ekleyin. Daha fazla bilgi için bkz. "ASR kurallarını etkinleştirme alternatif yapılandırma yöntemleri" içindeki Intune.
• Dosya yollarını csv biçiminde indirecek dışlama yollarını alma

Ayrıca bkz.

• Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
• Saldırı yüzeyi azaltma kuralları dağıtımı planlama
• Test saldırısı yüzeyi azaltma kuralları
• Saldırı yüzeyi azaltma kurallarını etkinleştirme
• Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
• Saldırı yüzeyi azaltma (ASR) kuralları raporu
• Saldırı yüzeyi azaltma kuralları başvurusu

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.