Saldırı yüzeyi azaltma kurallarıyla ilgili sorunları giderme
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Saldırı yüzeyi azaltma kurallarını kullandığınızda aşağıdaki gibi sorunlarla karşılaşabilirsiniz:
- Kural bir dosyayı, işlemi engeller veya yapmaması gereken başka bir eylem gerçekleştirir (hatalı pozitif)
- Kural açıklandığı gibi çalışmaz veya olması gereken bir dosyayı veya işlemi engellemez (hatalı negatif)
Bu sorunları gidermenin dört adımı vardır:
- Önkoşulları onaylama
- Kuralı test etmek için denetim modunu kullanma
- Belirtilen kural için dışlamalar ekleme (hatalı pozitifler için)
- Destek günlüklerini gönderme
Önkoşulları onaylama
Saldırı yüzeyi azaltma kuralları yalnızca aşağıdaki koşullara sahip cihazlarda çalışır:
Uç noktalar Windows 10 Enterprise veya üzerini çalıştırıyor.
Uç noktalar tek virüsten koruma uygulaması olarak Microsoft Defender Virüsten Koruma kullanıyor. Diğer virüsten koruma uygulamaları Microsoft Defender Virüsten Koruma'nın kendisini devre dışı bırakmasına neden olur.
Gerçek zamanlı koruma etkindir.
Denetim modu etkinleştirilmedi. Saldırı yüzeyi azaltma kurallarını etkinleştirme bölümünde açıklandığı gibi kuralı Devre Dışı (değer: 0) olarak ayarlamak için grup ilkesi kullanın.
Bu önkoşullar karşılanırsa, kuralı denetim modunda test etmek için sonraki adıma geçin.
Kuralı test etmek için denetim modunu kullanma
Sorun yaşadığınız belirli kuralı test etmek için saldırı yüzeyi azaltma kurallarının nasıl çalıştığını görmek için tanıtım aracını kullanma başlığı altında bu yönergeleri izleyin.
Test etmek istediğiniz belirli bir kural için denetim modunu etkinleştirin. Saldırı yüzeyi azaltma kurallarını etkinleştirme bölümünde açıklandığı gibi kuralı Denetim moduna (değer: 2) ayarlamak için grup ilkesi kullanın. Denetim modu, kuralın dosyayı veya işlemi raporlamasına izin verir, ancak çalıştırılmasına izin verir.
Soruna neden olan etkinliği gerçekleştirin (örneğin, engellenmesi gereken ancak izin verilen dosyayı veya işlemi açın veya yürütin).
Kuralın etkin olarak ayarlı olup olmadığını görmek için saldırı yüzeyi azaltma kuralı olay günlüklerini gözden geçirin.
Kural, beklediğiniz bir dosyayı veya işlemi engellemediyse önce denetim modunun etkinleştirilip etkinleştirilmediğini denetleyin.
Denetim modu başka bir özelliği test etme amacıyla veya otomatik bir PowerShell betiği tarafından etkinleştirilebilir ve testler tamamlandıktan sonra devre dışı bırakılmayabilir.
Kuralı tanıtım aracıyla ve denetim moduyla test ettiyseniz ve saldırı yüzeyi azaltma kuralları önceden yapılandırılmış senaryolar üzerinde çalışıyorsa ancak kural beklendiği gibi çalışmıyorsa, durumunuz temelinde aşağıdaki bölümlerden herhangi biriyle devam edin:
Saldırı yüzeyi azaltma kuralı engellememesi gereken bir şeyi engelliyorsa (hatalı pozitif olarak da bilinir), önce bir saldırı yüzeyi azaltma kuralı dışlaması ekleyebilirsiniz.
Saldırı yüzeyi azaltma kuralı engellenmesi gereken bir şeyi engelliyorsa (hatalı negatif olarak da bilinir), tanılama verilerini toplayarak ve sorunu bize göndererek son adıma hemen geçebilirsiniz.
Hatalı pozitif için dışlama ekleme
Saldırı yüzeyi azaltma kuralı engellememesi gereken bir şeyi engelliyorsa (hatalı pozitif olarak da bilinir), saldırı yüzeyi azaltma kurallarının dışlanan dosyaları veya klasörleri değerlendirmesini önlemek için dışlamalar ekleyebilirsiniz.
Dışlama eklemek için bkz . Saldırı yüzeyini azaltmayı özelleştirme.
Önemli
Dışlanacak tek tek dosyaları ve klasörleri belirtebilirsiniz, ancak tek tek kuralları belirtemezsiniz. Bu, dışlanan tüm dosya veya klasörlerin tüm ASR kurallarının dışında tutulacağı anlamına gelir.
Hatalı pozitif veya hatalı negatifi bildirme
Ağ koruması için hatalı negatif veya hatalı pozitif raporlamak için web tabanlı Microsoft Güvenlik Zekası gönderim formunu kullanın. Windows E5 aboneliğiyle , ilişkili tüm uyarıların bağlantısını da sağlayabilirsiniz.
Dosya gönderimleri için tanılama verilerini toplama
Saldırı yüzeyi azaltma kurallarıyla ilgili bir sorun bildirdiğinizde, sorunları gidermeye yardımcı olmak için Microsoft destek ve mühendislik ekipleri tarafından kullanılabilecek tanılama verilerini toplayıp göndermeniz istenir.
Yükseltilmiş bir komut istemi açın ve Windows Defender dizinine geçin:
cd "c:\program files\Windows Defender"
Tanılama günlüklerini oluşturmak için şu komutu çalıştırın:
mpcmdrun -getfiles
Varsayılan olarak, öğesine kaydedilirler
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab
. Dosyayı gönderme formuna ekleyin.
İlgili makaleler
- Saldırı yüzeyini azaltma kuralları
- Saldırı yüzeyi azaltma kurallarını etkinleştirme
- Saldırı yüzeyi azaltma kurallarını değerlendirme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.