Aracılığıyla paylaş


Saldırı yüzeyi azaltma kurallarına genel bakış

Şunlar için geçerlidir:

Platform

  • Windows

İpucu

Bu makalenin eşlikçisi olarak en iyi uygulamaları gözden geçirmek ve savunmayı güçlendirmeyi, uyumluluğu iyileştirmeyi ve siber güvenlik manzarasında güvenle gezinmeyi öğrenmek için Güvenlik Çözümleyicisi kurulum kılavuzumuza bakın. Ortamınızı temel alan özelleştirilmiş bir deneyim için Microsoft 365 yönetim merkezi Güvenlik Çözümleyicisi otomatik kurulum kılavuzuna erişebilirsiniz.

Saldırı yüzeyi azaltma kuralları neden önemlidir?

Kuruluşunuzun saldırı yüzeyi, bir saldırganın kuruluşunuzun cihazlarını veya ağlarını tehlikeye atabileceği tüm yerleri içerir. Saldırı yüzeyinizi azaltmak, kuruluşunuzun cihazlarını ve ağını korumak anlamına gelir ve bu da saldırganlara saldırı gerçekleştirmenin daha az yolunu bırakır. Uç Nokta için Microsoft Defender'de saldırı yüzeyi azaltma kurallarının yapılandırılması yardımcı olabilir!

Saldırı yüzeyi azaltma kuralları aşağıdakiler gibi belirli yazılım davranışlarını hedefler:

  • Dosyaları indirmeye veya çalıştırmaya çalışan yürütülebilir dosyaları ve betikleri başlatma
  • Karartılmış veya başka bir şekilde şüpheli betikleri çalıştırma
  • Uygulamaların genellikle normal gündelik iş sırasında başlatmayabilecekleri davranışlar gerçekleştirme

Bu tür yazılım davranışları bazen meşru uygulamalarda görülür. Ancak bu davranışlar genellikle kötü amaçlı yazılım aracılığıyla saldırganlar tarafından yaygın olarak kötüye kullanıldıklarından riskli olarak kabul edilir. Saldırı yüzeyi azaltma kuralları yazılım tabanlı riskli davranışları kısıtlayabilir ve kuruluşunuzun güvende kalmasına yardımcı olabilir.

Saldırı yüzeyi azaltma kurallarını yönetmeye yönelik sıralı, uçtan uca bir işlem için bkz:

Dağıtımdan önce kuralları değerlendirme

Bir saldırı yüzeyi azaltma kuralının ağınızı nasıl etkileyebileceğini değerlendirmek için Microsoft Defender Güvenlik Açığı Yönetimi'da bu kuralın güvenlik önerisini açabilirsiniz.

Saldırı yüzeyini azaltma önerisi

Öneri ayrıntıları bölmesinde, cihazlarınızın hangi yüzdesinin üretkenliği olumsuz etkilemeden engelleme modunda kuralı etkinleştiren yeni bir ilkeyi kabul edebildiğini belirlemek için kullanıcı etkisini denetleyin.

Desteklenen işletim sistemleri ve diğer gereksinim bilgileri hakkında bilgi için "Saldırı yüzeyi azaltma kurallarını etkinleştirme" makalesindeki Gereksinimler bölümüne bakın.

Değerlendirme için denetim modu

Denetim modu

Saldırı yüzeyi azaltma kurallarının etkinse kuruluşunuzu nasıl etkileyeceğini değerlendirmek için denetim modunu kullanın. İlk olarak tüm kuralları denetim modunda çalıştırarak bunların iş kolu uygulamalarınızı nasıl etkilediğini anlayabilirsiniz. Birçok iş kolu uygulaması sınırlı güvenlik kaygılarıyla yazılır ve kötü amaçlı yazılımlara benzer şekilde görevler gerçekleştirebilir.

Dışlamalar

Denetim verilerini izleyerek ve gerekli uygulamalar için dışlamalar ekleyerek , üretkenliği azaltmadan saldırı yüzeyi azaltma kurallarını dağıtabilirsiniz.

Kural başına dışlamalar

Kural başına dışlamaları yapılandırma hakkında bilgi için , Saldırı yüzeyi azaltma kurallarını test etme makalesinin Kural başına saldırı yüzeyi azaltma kurallarını yapılandırma başlıklı bölüme bakın.

Kullanıcılar için uyarı modu

(YENİ!) Uyarı modu özelliklerinden önce, etkinleştirilen saldırı yüzeyi azaltma kuralları denetim moduna veya blok moduna ayarlanabilir. Yeni uyarı moduyla, içerik bir saldırı yüzeyi azaltma kuralı tarafından her engellendiğinde, kullanıcılar içeriğin engellendiğini belirten bir iletişim kutusu görür. İletişim kutusu ayrıca kullanıcıya içeriğin engellemesini kaldırma seçeneği sunar. Kullanıcı daha sonra eylemini yeniden deneyebilir ve işlem tamamlar. Kullanıcı içeriğin engellemesini kaldırdığında, içerik 24 saat boyunca engellenmemiş olarak kalır ve ardından engelleme özgeçmişleri devam eder.

Uyarı modu, kuruluşunuzun kullanıcıların görevlerini gerçekleştirmek için ihtiyaç duydukları içeriğe erişmesini engellemeden saldırı yüzeyi azaltma kurallarının mevcut olmasını sağlar.

Uyarı modunun çalışması için gereksinimler

Uyarı modu, Windows'un aşağıdaki sürümlerini çalıştıran cihazlarda desteklenir:

Microsoft Defender Virüsten Koruma etkin modda gerçek zamanlı koruma ile çalışıyor olmalıdır.

Ayrıca virüsten koruma ve kötü amaçlı yazılımdan koruma güncelleştirmelerinin Microsoft Defender yüklendiğinden emin olun.

  • En düşük platform sürümü gereksinimi: 4.18.2008.9
  • En düşük altyapı sürümü gereksinimi: 1.1.17400.5

Daha fazla bilgi edinmek ve güncelleştirmelerinizi almak için bkz. Microsoft Defender kötü amaçlı yazılımdan koruma platformu için güncelleştirme.

Uyarı modunun desteklenmediği durumlar

Uyarı modu, Microsoft Intune'da yapılandırdığınızda üç saldırı yüzeyi azaltma kuralı için desteklenmez. (Saldırı yüzeyi azaltma kurallarınızı yapılandırmak için grup ilkesi kullanıyorsanız uyarı modu desteklenir.) uyarı modunu Microsoft Intune yapılandırırken desteklemeyen üç kural şunlardır:

Ayrıca uyarı modu, Windows'un eski sürümlerini çalıştıran cihazlarda desteklenmez. Bu gibi durumlarda, uyarı modunda çalışacak şekilde yapılandırılmış saldırı yüzeyi azaltma kuralları blok modunda çalışır.

Bildirimler ve uyarılar

Bir saldırı yüzeyi azaltma kuralı tetiklendiğinde cihazda bir bildirim görüntülenir. Bildirimi şirketinizin ayrıntıları ve iletişim bilgileriyle özelleştirebilirsiniz .

Ayrıca, belirli saldırı yüzeyi azaltma kuralları tetiklendiğinde uyarılar oluşturulur.

Bildirimler ve oluşturulan tüm uyarılar Microsoft Defender portalında görüntülenebilir.

Bildirim ve uyarı işlevselliği hakkında belirli ayrıntılar için bkz. Saldırı yüzeyi azaltma kuralları başvurusu makalesindeki Kural uyarı ve bildirim ayrıntılarına göre.

Gelişmiş avcılık ve saldırı yüzeyi azaltma olayları

Saldırı yüzeyi azaltma olaylarını görüntülemek için gelişmiş avcılığı kullanabilirsiniz. Gelen verilerin hacmini kolaylaştırmak için gelişmiş avcılık ile yalnızca her saat için benzersiz işlemler görüntülenebilir. Saldırı yüzeyini azaltma olayının zamanı, olay bir saat içinde ilk kez görülür.

Örneğin, saat 14:00 sırasında 10 cihazda bir saldırı yüzeyi azaltma olayının gerçekleştiğini varsayalım. İlk olayın 2:15 ve sonuncunun 2:45'te gerçekleştiğini varsayalım. Gelişmiş avcılık ile bu olayın bir örneğini görürsünüz (aslında 10 cihazda gerçekleşse de) ve zaman damgası 14:15 olacaktır.

Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Gelişmiş avcılık ile tehditleri proaktif olarak avlama.

Windows sürümleri genelinde saldırı yüzeyi azaltma özellikleri

Windows'un aşağıdaki sürümlerinden ve sürümlerinden herhangi birini çalıştıran cihazlar için saldırı yüzeyi azaltma kuralları ayarlayabilirsiniz:

Saldırı yüzeyi azaltma kuralları windows E5 lisansı gerektirmez, ancak Windows E5'iniz varsa gelişmiş yönetim özelliklerine sahip olursunuz. Yalnızca Windows E5'te kullanılabilen gelişmiş özellikler şunlardır:

Bu gelişmiş özellikler Windows Professional veya Windows E3 lisansıyla kullanılamaz. Ancak, bu lisanslara sahipseniz saldırı yüzeyi azaltma kuralı olaylarınızı gözden geçirmek için Olay Görüntüleyicisi ve Microsoft Defender Virüsten Koruma günlüklerini kullanabilirsiniz.

Microsoft Defender portalında saldırı yüzeyi azaltma olaylarını gözden geçirme

Uç Nokta için Defender, uyarı araştırma senaryolarının bir parçası olarak olaylar ve bloklar için ayrıntılı raporlama sağlar.

Gelişmiş avcılığı kullanarak Microsoft Defender XDR'de Uç Nokta için Defender verilerini sorgulayabilirsiniz.

Aşağıda örnek bir sorgu verilmişti:

DeviceEvents
| where ActionType startswith 'Asr'

Windows Olay Görüntüleyicisi'de saldırı yüzeyi azaltma olaylarını gözden geçirme

Saldırı yüzeyi azaltma kuralları tarafından oluşturulan olayları görüntülemek için Windows olay günlüğünü gözden geçirebilirsiniz:

  1. Değerlendirme Paketi'ni indirin ve dosya cfa-events.xml cihazda kolayca erişilebilen bir konuma ayıklayın.

  2. Windows Olay Görüntüleyicisi açmak için Başlat menüsüne Olay Görüntüleyicisi sözcükleri girin.

  3. Eylemler'in altında Özel görünümü içeri aktar... öğesini seçin.

  4. Ayıklandığı konumdan cfa-events.xml dosyayı seçin. Alternatif olarak , XML'yi doğrudan kopyalayın.

  5. Tamam'ı seçin.

Olayları yalnızca aşağıdaki olayları gösterecek şekilde filtreleyen ve tümü denetimli klasör erişimiyle ilgili olan özel bir görünüm oluşturabilirsiniz:

Olay Kimliği Açıklama
5007 Ayarlar değiştirildiğinde gerçekleşen olay
1121 Kuralın Blok modunda tetiklenmesi olayı
1122 Denetim modunda kural tetiklendiğinde gerçekleşen olay

Olay günlüğünde saldırı yüzeyi azaltma olayları için listelenen "altyapı sürümü", işletim sistemi tarafından değil Uç Nokta için Defender tarafından oluşturulur. Uç Nokta için Defender Windows 10 ve Windows 11 ile tümleşiktir, bu nedenle bu özellik Windows 10 veya Windows 11 yüklü tüm cihazlarda çalışır.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.