攻击面减少规则报告
适用于:
平台:
- Windows
攻击面减少规则报告提供有关应用于组织中设备 的攻击面减少规则 的信息。 此报表还提供了有关以下内容的信息:
- 检测到的威胁
- 阻止的威胁
- 未配置为使用标准保护规则来阻止威胁的设备
此外,此报表提供了一个易于使用的界面,使你能够:
- 查看威胁检测
- 查看 ASR 规则的配置
- 配置 (添加) 排除项
- 向下钻取以收集详细信息
有关单个攻击面减少规则的详细信息,请参阅 攻击面减少规则参考。
先决条件
重要
若要访问攻击面减少规则报告,Microsoft Defender 门户需要读取权限。 若要在攻击面减少规则报告中显示 Windows Server 2012 R2 和 Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅 适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能。
报表访问权限
若要访问 Microsoft Defender 门户中的攻击面减少规则报告,需要以下权限:
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Machine.Read.All |
Read all machine profiles |
| 委派(工作或学校帐户) | Machine.Read |
Read machine information |
可以使用 Microsoft Entra ID 或 Microsoft Defender 门户分配权限。
- 若要使用Microsoft Entra ID,请参阅 向用户分配Microsoft Entra 角色
- 若要使用 Microsoft Defender 门户,请参阅 分配用户访问权限。
导航到攻击面减少规则报告
导航到攻击面减少规则报告的摘要卡
- 打开 Microsoft Defender XDR 门户。
- 在左侧面板中,单击“报表”,并在主部分的“ 报告” 下选择“ 安全报表”。
- 向下滚动到 “设备” ,找到 “攻击面减少规则 ”摘要卡片。
下图显示了 ASR 规则的摘要报表卡。
ASR 规则报告摘要卡
ASR 规则报告摘要分为两个卡片:
ASR 规则检测摘要卡
显示 ASR 规则阻止的检测到的威胁数的摘要。
提供两个“操作”按钮:
- 查看检测 - 打开 “攻击面减少规则> ”主“ 检测 ”选项卡
- 添加排除项 - 打开 “攻击面减少规则> ”主 “排除 项”选项卡
单击卡片顶部的 “ASR 规则检测 ”链接还会打开主 “攻击面减少规则”“检测”选项卡。
ASR 规则配置摘要卡
顶部部分 重点介绍三个建议的规则,这些规则可防止常见的攻击技术。 此卡显示组织中具有以下 三个 (ASR 的计算机的当前状态信息,这些计算机) 标准保护规则 设置为 “阻止模式”、“ 审核模式”或 “关闭 ”, (未) 配置。“ 保护设备 ”按钮仅显示三个规则的完整配置详细信息;客户可以快速采取措施来启用这些规则。
底部部分 根据每个规则的未受保护的设备数显示六个规则。 “查看配置”按钮显示所有 ASR 规则的所有配置详细信息。 “添加排除项”按钮显示添加排除页,其中列出了安全操作中心 (SOC) 要评估的所有检测到的文件/进程名称。 “添加排除”页链接到 intune Microsoft。
提供两个“操作”按钮:
- 查看配置 - 打开 “攻击面减少规则> ”主“ 检测 ”选项卡
- 添加排除项 - 打开 “攻击面减少规则> ”主 “排除 项”选项卡
单击卡片顶部的 ASR 规则配置 链接还会打开主 “攻击面减少规则配置”选项卡。
简化的标准保护选项
配置摘要卡提供了一个按钮,用于使用三个标准保护规则保护 设备 。 至少,Microsoft建议启用以下三个攻击面减少标准保护规则:
- 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
- 阻止滥用被利用的易受攻击的已签名驱动程序
- 通过 Windows Management Instrumentation (WMI) 事件订阅阻止持久性
若要启用三个标准保护规则,请执行以下操作:
- 选择 “保护设备”。 此时会打开“ 配置 ”主选项卡。
- 在“ 配置 ”选项卡上, “基本规则 ”自动从 “所有规则 ”切换到“ 启用的标准保护规则 ”。
- 在 “设备 ”列表中,选择要应用标准保护规则的设备,然后选择“ 保存”。
此卡有另外两个导航按钮:
- 查看配置 - 打开 攻击面减少规则> 主 配置 选项卡。
- 添加排除 项 - 打开 “攻击面减少规则> ”主 “排除 项”选项卡。
单击卡片顶部的 ASR 规则配置 链接还会打开主 “攻击面减少规则配置”选项卡。
攻击面减少规则主选项卡
虽然 ASR 规则报告摘要卡有助于快速汇总 ASR 规则状态,但主选项卡提供了更深入的信息以及筛选和配置功能:
搜索功能
搜索功能将添加到 “检测”、“ 配置”和“ 添加排除 ”主选项卡。 使用此功能,可以使用设备 ID、文件名或进程名称进行搜索。
筛选
筛选提供了一种方法来指定返回的结果:
- 使用 Date 可以为数据结果指定日期范围。
- 筛选器
注意
按规则筛选时,报表下半部分列出的单个 检测到 的项目数目前限制为 200 个规则。 可以使用 “导出” 将检测的完整列表保存到 Excel。
提示
由于筛选器当前在此版本中正常运行,因此每次要“分组依据”时,必须首先向下滚动到列表中的最后一个检测,以加载完整的数据集。 加载完整的数据集后,可以启动“排序依据”筛选。 如果不向下滚动到每次使用时列出的最后一个检测,或者更改筛选选项 (例如,应用于当前筛选器的 ASR 规则运行) ,则对于具有列出检测的多个可查看页面的任何结果都不正确。
攻击面减少规则主检测选项卡
- 审核检测 显示在 审核 模式下设置的规则捕获了多少个威胁检测。
- 阻止的检测 显示在 阻止 模式下设置的规则阻止了多少个威胁检测。
- 大型合并图 显示阻止和审核的检测。
图形提供所显示日期范围的检测数据,以及将鼠标悬停在特定位置以收集特定于日期的信息的功能。
报告的底部部分列出了检测到的威胁(基于每个设备)和以下字段:
| 字段名 | 定义 |
|---|---|
| 检测到的文件 | 确定包含可能或已知威胁的文件 |
| 在 上检测到 | 检测到威胁的日期 |
| 已阻止/审核? | 特定事件的检测规则是处于“阻止”还是“审核”模式 |
| Rule | 哪个规则检测到威胁 |
| 源应用 | 调用有问题的“检测到的文件”的应用程序 |
| 设备 | 发生审核或阻止事件的设备的名称 |
| 设备组 | 设备所属的 Active Directory 组 |
| 用户 | 负责呼叫的计算机帐户 |
| Publisher | 发布特定 .exe 或应用程序的公司 |
有关 ASR 规则审核和阻止模式的详细信息,请参阅 攻击面减少规则模式。
可操作浮出控件
“检测”主页包含过去 30 天内 (文件/进程) 的所有检测列表。 选择任何检测以使用向下钻取功能打开。
“ 可能的排除和影响 ”部分提供所选文件或进程的影响。 可以执行下列操作:
- 选择“ 执行搜寻 ”,打开“高级搜寻”查询页
- 打开文件页 将打开Microsoft Defender for Endpoint 检测
- “添加排除”按钮与“添加排除”主页链接。
下图演示了“高级搜寻”查询页如何从可操作浮出控件上的链接打开:
有关高级搜寻的详细信息,请参阅 在 Microsoft Defender XDR 中使用高级搜寻主动搜寻威胁
攻击面减少规则主配置选项卡
ASR 规则主 配置 选项卡提供摘要和每个设备的 ASR 规则配置详细信息。 “配置”选项卡主要有三个方面:
基本规则 提供在 “基本规则” 和“ 所有规则”之间切换结果的方法。 默认情况下,选择 “基本规则 ”。
设备配置概述 提供处于以下状态之一的设备当前快照:
- 所有公开的设备 (缺少先决条件、审核模式下的规则、配置错误的规则或未配置)
- 未配置规则的设备
- 处于审核模式且规则为的设备
- 规则处于块模式的设备
“配置”选项卡的下半部分未命名,其中列出了每个设备 (的当前状态,) :
- 设备 (名称)
- 总体配置 (任何规则是打开还是全部关闭)
- 块模式下的规则 (设置为阻止) 的每个设备的规则数
- 审核模式下的规则 (审核模式下的规则数)
- 关闭的规则 (已关闭或未启用的规则)
- 设备 ID (设备 GUID)
下图显示了这些元素。
若要启用 ASR 规则,请执行以下操作:
- 在“ 设备”下,选择要为其应用 ASR 规则的一个或多个设备。
- 在浮出控件窗口中,验证你的选择,然后选择 “添加到策略”。
下图显示了 “配置 ”选项卡和 “添加规则 ”浮出控件。
[注意!] 如果设备需要应用不同的 ASR 规则,则应单独配置这些设备。
攻击面减少规则“添加排除项”选项卡
“ 添加排除 项”选项卡按文件名显示检测的排名列表,并提供配置排除项的方法。 默认情况下,将列出三个字段的 “添加排除 项”信息:
- 文件名 触发 ASR 规则事件的文件的名称。
- 检测 为命名文件检测到的事件总数。 单个设备可以触发多个 ASR 规则事件。
- 设备 发生检测的设备数。
重要
排除文件或文件夹会严重降低 ASR 规则提供的保护。 允许运行排除的文件,并且不会记录任何报告或事件。 如果 ASR 规则正在检测你认为不应检测到的文件,则应 首先使用审核模式来测试规则。
选择文件时,将打开 “摘要 & 预期影响 ”浮出,其中显示以下类型的信息:
- 所选文件 已选择排除的文件数
- () 检测数指出添加所选排除 () 后检测的预期减少。 实际检测和排除后检测的检测减少以图形方式表示
- (受影响的) 设备数说明报告所选排除项检测的设备的预期减少。
“添加排除”页有两个按钮,用于在选择) 后,可用于任何检测到的文件 (的操作。 可以执行下列操作:
- 添加将 打开 intune ASR 策略页Microsoft排除项。 有关详细信息,请参阅“启用 ASR 规则备用配置方法”中的 Intune 。
- 获取将 下载 csv 格式的文件路径的排除路径
另请参阅
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。