Test saldırısı yüzeyi azaltma kuralları
Şunlar için geçerlidir:
Saldırı yüzeyi azaltma kurallarını test Uç Nokta için Microsoft Defender, kuralların herhangi bir kuralı etkinleştirmeden önce iş kolu işlemlerini engellenip engellenmediğini belirlemenize yardımcı olur. Küçük, denetimli bir grupla başlayarak, dağıtımınızı kuruluşunuz genelinde genişletirken olası iş kesintilerini sınırlayabilirsiniz.
Saldırı yüzeyi azaltma kuralları dağıtım kılavuzunun bu bölümünde şunları nasıl yapacağınızı öğreneceksiniz:
- Microsoft Intune kullanarak kuralları yapılandırma
- saldırı yüzeyi azaltma kuralları raporlarını Uç Nokta için Microsoft Defender kullanma
- saldırı yüzeyi azaltma kuralları dışlamalarını yapılandırma
- PowerShell kullanarak saldırı yüzeyi azaltma kurallarını etkinleştirme
- saldırı yüzeyi azaltma kuralları olayları için Olay Görüntüleyicisi kullanma
Not
Saldırı yüzeyi azaltma kurallarını test etmeye başlamadan önce, önceden denetle veya etkinleştir (varsa) olarak ayarlamış olduğunuz tüm kuralları devre dışı bırakmanız önerilir. Saldırı yüzeyi azaltma kurallarını devre dışı bırakmak için saldırı yüzeyi azaltma kuralları raporunu kullanma hakkında bilgi için bkz. Saldırı yüzeyi azaltma kuralları raporları.
1. halka ile saldırı yüzeyi azaltma kuralları dağıtımınıza başlayın.
1. Adım: Denetim kullanarak saldırı yüzeyi azaltma kurallarını test edin
1. halkadaki şampiyon kullanıcılarınız veya cihazlarınızdan başlayarak, denetim olarak ayarlanmış kurallarla saldırı yüzeyi azaltma kurallarını açarak test aşamasına başlayın. Genellikle, test aşamasında hangi kuralların tetiklendiğini belirleyebilmeniz için tüm kuralları (Denetim'de) etkinleştirmeniz öneridir. Denetim olarak ayarlanan kurallar genellikle kuralın uygulandığı varlığın veya varlıkların işlevselliğini etkilemez, ancak değerlendirme için günlüğe kaydedilen olaylar oluşturur; son kullanıcılar üzerinde hiçbir etkisi yoktur.
Intune kullanarak saldırı yüzeyi azaltma kurallarını yapılandırma
Özel saldırı yüzeyi azaltma kurallarını yapılandırmak için Microsoft Intune Endpoint Security kullanabilirsiniz.
Endpoint Security>Attack yüzey azaltma bölümüne gidin.
İlke İçerik Oluşturucu'ı seçin.
Platform'daWindows 10, Windows 11 ve Windows Server'ı seçin ve Profil'deSaldırı yüzeyi azaltma kuralları'yı seçin.
Oluştur’u seçin.
İçerik Oluşturucu profil bölmesinin Temel Bilgiler sekmesindeki Ad bölümünde ilkeniz için bir ad ekleyin. Açıklama bölümünde, saldırı yüzeyi azaltma kuralları ilkeniz için bir açıklama ekleyin.
Yapılandırma ayarları sekmesindeki Saldırı Yüzeyi Azaltma Kuralları'nın altında tüm kuralları Denetim moduna ayarlayın.
Not
Bazı saldırı yüzeyi azaltma kuralları modu listelerinde çeşitlemeler vardır; Engellendi ve Etkin aynı işlevi sağlar.
[İsteğe bağlı] Kapsam etiketleri bölmesinde, belirli cihazlara etiket bilgileri ekleyebilirsiniz. Ayrıca, doğru yöneticilerin doğru Intune nesnelere doğru erişime ve görünürlüğe sahip olduğundan emin olmak için rol tabanlı erişim denetimi ve kapsam etiketlerini de kullanabilirsiniz. Daha fazla bilgi edinin: Intune'de dağıtılmış BT için rol tabanlı erişim denetimi (RBAC) ve kapsam etiketlerini kullanın.
Atamalar bölmesinde, profili kullanıcı veya cihaz gruplarınıza dağıtabilir veya "atayabilirsiniz". Daha fazla bilgi edinin: Microsoft Intune'de cihaz profilleri atama
Not
Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.
Gözden Geçir ve oluştur bölmesinde ayarlarınızı gözden geçirin. Kuralları uygulamak için İçerik Oluşturucu'e tıklayın.
Saldırı yüzeyi azaltma kuralları için yeni saldırı yüzeyi azaltma ilkeniz Uç nokta güvenliği bölümünde listelenmiştir | Saldırı yüzeyi azaltma.
2. Adım: Microsoft Defender portalındaki saldırı yüzeyi azaltma kuralları raporlama sayfasını anlama
Saldırı yüzeyi azaltma kuralları raporlama sayfası Microsoft Defender portalında>Saldırı yüzeyi azaltma kurallarınıraporlar> sayfasında bulunur. Bu sayfada üç sekme vardır:
- Algılamalar
- Yapılandırma
- Dışlama ekleme
Algılamalar sekmesi
Algılanan denetim ve engellenen olayların 30 günlük zaman çizelgesini sağlar.
Saldırı yüzeyi azaltma kuralları bölmesi, kural başına algılanan olaylara genel bir bakış sağlar.
Not
Saldırı yüzeyi azaltma kuralları raporlarında bazı farklılıklar vardır. Microsoft, tutarlı bir deneyim sağlamak için saldırı yüzeyi azaltma kuralları raporlarının davranışını güncelleştirme sürecindedir.
Algılamaları görüntüle'yi seçerek Algılamalar sekmesini açın.
GroupBy ve Filter bölmesi aşağıdaki seçenekleri sağlar:
GroupBy, aşağıdaki gruplara ayarlanmış sonuçları döndürür:
- Gruplandırma yok
- Algılanan dosya
- Denetim veya engelleme
- Kural
- Kaynak uygulama
- Cihaz
- Kullanıcı
- Publisher
Not
Kurala göre filtreleme yaparken, raporun alt yarısında listelenen tek tek algılanan öğelerin sayısı şu anda 200 kuralla sınırlıdır. Algılamaların tam listesini Excel'e kaydetmek için Dışarı Aktar'ı kullanabilirsiniz.
Filtre , sonuçların kapsamını yalnızca seçili saldırı yüzeyi azaltma kurallarıyla kapsamanızı sağlayan Kurallarda filtrele sayfasını açar:
Not
Microsoft Microsoft 365 Güvenlik E5 veya A5, Windows E5 veya A5 lisansınız varsa, aşağıdaki bağlantı Microsoft Defender 365 Raporlar >Saldırı yüzeyi Algılamaları azaltıyor> sekmesini açar.
Yapılandırma sekmesi
Listeler(bilgisayar başına) saldırı yüzeyi azaltma kurallarının toplam durumu: Kapalı, Denetim, Blok.
Yapılandırmalar sekmesinde, saldırı yüzeyi azaltma kurallarını gözden geçirmek istediğiniz cihazı seçerek cihaz başına, hangi saldırı yüzeyi azaltma kurallarının etkinleştirildiğini ve hangi modda olduğunu kontrol edebilirsiniz.
Başlarken bağlantısı Microsoft Intune yönetim merkezini açar ve burada saldırı yüzeyini azaltmak için bir uç nokta koruma ilkesi oluşturabilir veya değiştirebilirsiniz:
Uç nokta güvenliğinde | Genel bakış'ta Saldırı yüzeyini azaltma'yı seçin:
Uç Nokta Güvenliği | Saldırı yüzeyini azaltma bölmesi açılır:
Not
Microsoft Defender 365 E5 (veya Windows E5?) lisansınız varsa, bu bağlantı Microsoft Defender 365 Raporlar > Saldırı yüzeyi Azaltma Yapılandırmaları> sekmesini açar.
Dışlama ekleme
Bu sekme, dışlama için algılanan varlıkları (örneğin, hatalı pozitifler) seçmek için bir yöntem sağlar. Dışlamalar eklendiğinde rapor, beklenen etkinin bir özetini sağlar.
Not
Microsoft Defender Virüsten Koruma AV dışlamaları, saldırı yüzeyi azaltma kuralları tarafından kabul edilir. Bkz . Uzantı, ad veya konuma göre dışlamaları yapılandırma ve doğrulama.
Not
Microsoft Defender 365 E5 (veya Windows E5?) lisansınız varsa, bu bağlantı Microsoft Defender 365 Raporlar > Saldırı yüzeyi azaltmaları Dışlamalar> sekmesini açar.
Saldırı yüzeyi azaltma kuralları raporunu kullanma hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralları raporları.
Kural başına saldırı yüzeyi azaltma dışlamalarını yapılandırma
Saldırı yüzeyi azaltma kuralları artık kurala özgü dışlamaları yapılandırma özelliği sağlar ve "Kural Başına Dışlamalar" olarak bilinir.
Not
Kural başına dışlamalar şu anda PowerShell veya grup ilkesi kullanılarak yapılandırılamaz.
Belirli kural dışlamalarını yapılandırmak için:
Microsoft Intune yönetim merkezini açın ve Giriş>Uç Noktası güvenlik>Saldırısı yüzey azaltma bölümüne gidin.
Henüz yapılandırılmadıysa, dışlamaları yapılandırmak istediğiniz kuralı Denetim veya Engelle olarak ayarlayın.
Yalnızca Kural Başına ASR Dışlama'da, Yapılandırılmadı olan iki durumlu düğmeyi Yapılandırıldı olarak değiştirin.
Dışlamak istediğiniz dosyaların veya uygulamanın adlarını girin.
İçerik Oluşturucu profili sihirbazının en altında İleri'yi seçin ve sihirbaz yönergelerini izleyin.
İpucu
Sil, Sırala, İçeri veya Dışarı Aktar öğelerini seçmek için dışlama girdileri listenizin yanındaki onay kutularını kullanın.
PowerShell'i saldırı yüzeyi azaltma kurallarını etkinleştirmek için alternatif bir yöntem olarak kullanma
PowerShell'i Intune alternatifi olarak kullanarak denetim modunda saldırı yüzeyi azaltma kurallarını etkinleştirerek özellik tam olarak etkinleştirildiğinde engellenecek uygulamaların kaydını görüntüleyebilirsiniz. Ayrıca, normal kullanım sırasında kuralların ne sıklıkta tetiklendiğinden de bir fikir edinebilirsiniz.
Denetim modunda bir saldırı yüzeyi azaltma kuralını etkinleştirmek için aşağıdaki PowerShell cmdlet'ini kullanın:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Burada <rule ID>
, saldırı yüzeyi azaltma kuralının GUID değeridir.
Denetim modunda eklenen tüm saldırı yüzeyi azaltma kurallarını etkinleştirmek için aşağıdaki PowerShell cmdlet'ini kullanın:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
İpucu
Saldırı yüzeyi azaltma kurallarının kuruluşunuzda nasıl çalışacağını tam olarak denetlemek istiyorsanız, bu ayarı ağınızdaki cihazlara dağıtmak için bir yönetim aracı kullanmanız gerekir.
Ayarı yapılandırmak ve dağıtmak için grup ilkesi, Intune veya mobil cihaz yönetimi (MDM) yapılandırma hizmeti sağlayıcılarını (CSP' ler) de kullanabilirsiniz. Ana Saldırı yüzeyi azaltma kuralları makalesinde daha fazla bilgi edinin.
Microsoft Defender portalındaki saldırı yüzeyi azaltma kuralları raporlama sayfasına alternatif olarak Windows Olay Görüntüleyicisi Gözden Geçirme'yi kullanın
Engellenmiş olabilecek uygulamaları gözden geçirmek için Olay Görüntüleyicisi açın ve Microsoft-Windows-Windows Defender/İşletim günlüğünde Olay Kimliği 1121'i filtreleyin. Aşağıdaki tabloda tüm ağ koruma olayları listelenir.
Olay Kimliği | Açıklama |
---|---|
5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
1121 | Bir saldırı yüzeyi azaltma kuralının blok modunda tetiklenmesi olayı |
1122 | Bir saldırı yüzeyi azaltma kuralının denetim modunda tetiklendiğinde gerçekleşen olay |
Bu dağıtım koleksiyonundaki diğer makaleler
Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
Saldırı yüzeyi azaltma kuralları dağıtımı planlama
Saldırı yüzeyi azaltma kurallarını etkinleştirme
Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
Saldırı yüzeyi azaltma kuralları başvurusu
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.