攻击面减少规则报告
适用于:
平台:
- Windows
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
攻击面减少规则报告提供有关应用于组织中设备 的攻击面减少规则 的信息。 此报表还提供了有关以下内容的信息:
- 检测到的威胁
- 阻止的威胁
- 未配置为使用标准保护规则来阻止威胁的设备
此外,此报表提供了一个易于使用的界面,使你能够:
- 查看威胁检测
- 查看 ASR 规则的配置
- 配置 (添加) 排除项
- 通过单个切换启用三个最推荐的 ASR 规则,轻松激活基本保护
- 向下钻取以收集详细信息
有关单个攻击面减少规则的详细信息,请参阅 攻击面减少规则参考。
先决条件
重要
若要访问攻击面减少规则报告,Microsoft Defender门户需要读取权限。 已弃用Microsoft Entra角色(如安全全局管理员或安全角色)授予的此报表的访问权限,并将在 2023 年 4 月删除。 若要在攻击面减少规则报告中显示Windows Server 2012 R2 和Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能。
报表访问权限
若要访问 Microsoft 365 安全仪表板中的攻击面减少规则报告,需要以下权限:
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Machine.Read.All | “读取所有计算机配置文件” |
| 委派(工作或学校帐户) | Machine.Read | “读取计算机信息” |
若要分配这些权限,请执行以下操作:
- 使用分配有安全管理员或全局管理员角色的帐户登录到Microsoft Defender XDR。
- 在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。
- 选择要编辑的角色。
- 选择“编辑”。
- 在 “编辑角色”的“ 常规 ”选项卡上的“ 角色名称”中,键入角色的名称。
- 在 “说明” 中,键入角色的简要摘要。
- 在 “权限”中,选择“ 查看数据”,然后在“ 查看数据” 下选择“ 攻击面减少”。
有关用户角色管理的详细信息,请参阅 创建和管理基于角色的访问控制的角色。
导航
导航到攻击面减少规则报告的摘要卡
- 打开Microsoft Defender XDR门户。
- 在左侧面板中,单击“报表”,然后在“main”部分的“报表”下选择“安全报表”。
- 向下滚动到 “设备” ,找到 “攻击面减少规则 ”摘要卡片。
下图显示了 ASR 规则的摘要报表卡。
ASR 规则报告摘要卡
ASR 规则报告摘要分为两个卡片:
ASR 规则检测摘要卡
显示 ASR 规则阻止的检测到的威胁数的摘要。
提供两个“操作”按钮:
- 查看检测 - 打开“攻击面减少规则>main检测”选项卡
- 添加排除项 - 打开“攻击面减少规则>main排除项”选项卡
单击卡顶部的 ASR 规则检测链接还会打开“main攻击面减少规则”“检测”选项卡。
ASR 规则配置摘要卡
顶部部分 重点介绍三个建议的规则,这些规则可防止常见的攻击技术。 此卡显示组织中具有以下三个 (ASR 的计算机的当前状态信息,这些计算机) 标准保护规则设置为“阻止模式”、“审核模式”或“关闭”, (未) 配置。“保护设备”按钮仅显示三个规则的完整配置详细信息;客户可以快速采取措施来启用这些规则。
底部部分 根据每个规则的未受保护的设备数显示六个规则。 “查看配置”按钮显示所有 ASR 规则的所有配置详细信息。 “添加排除项”按钮显示添加排除页,其中列出了安全操作中心 (SOC) 要评估的所有检测到的文件/进程名称。 “添加排除”页链接到Microsoft Intune。
提供两个“操作”按钮:
- 查看配置 - 打开“攻击面减少规则>main检测”选项卡
- 添加排除项 - 打开“攻击面减少规则>main排除项”选项卡
单击卡顶部的 ASR 规则配置链接还会打开“main攻击面减少规则配置”选项卡。
简化的标准保护选项
配置摘要卡提供了一个按钮,用于使用三个标准保护规则保护设备。 Microsoft 建议至少启用以下三个攻击面减少标准保护规则:
- 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
- 阻止滥用被利用的易受攻击的已签名驱动程序
- 通过 Windows Management Instrumentation (WMI) 事件订阅阻止持久性
若要启用三个标准保护规则,请执行以下操作:
- 选择 “保护设备”。 此时会打开“main配置”选项卡。
- 在“ 配置 ”选项卡上, “基本规则 ”自动从 “所有规则 ”切换到“ 启用的标准保护规则 ”。
- 在 “设备 ”列表中,选择要应用标准保护规则的设备,然后选择“ 保存”。
此卡有另外两个导航按钮:
- 查看配置 - 打开“配置”选项卡main攻击面减少规则>。
- 添加排除项 - 打开“攻击面减少规则>”main“排除项”选项卡。
单击卡顶部的 ASR 规则配置链接还会打开“main攻击面减少规则配置”选项卡。
选项卡main攻击面减少规则
虽然 ASR 规则报告摘要卡有助于快速汇总 ASR 规则状态,但main选项卡提供了更深入的信息以及筛选和配置功能:
搜索功能
搜索功能将添加到“检测”、“配置”和“添加排除main选项卡。 使用此功能,可以使用设备 ID、文件名或进程名称进行搜索。
筛选
筛选提供了一种方法来指定返回的结果:
- 使用 Date 可以为数据结果指定日期范围。
- 筛选器
注意
按规则筛选时,报表下半部分列出的单个 检测到 的项目数目前限制为 200 个规则。 可以使用 “导出” 将检测的完整列表保存到 Excel。
提示
由于筛选器当前在此版本中正常运行,因此每次要“分组依据”时,必须首先向下滚动到列表中的最后一个检测,以加载完整的数据集。 加载完整的数据集后,可以启动“排序依据”筛选。 如果不向下滚动到每次使用时列出的最后一个检测,或者更改筛选选项 (例如,应用于当前筛选器的 ASR 规则运行) ,则对于具有列出检测的多个可查看页面的任何结果都不正确。
“检测”选项卡main攻击面减少规则
- 审核检测 显示在 审核 模式下设置的规则捕获了多少个威胁检测。
- 阻止的检测 显示在 阻止 模式下设置的规则阻止了多少个威胁检测。
- 大型合并图 显示阻止和审核的检测。
图形提供所显示日期范围的检测数据,以及将鼠标悬停在特定位置以收集特定于日期的信息的功能。
报告的底部部分列出了检测到的威胁(基于每个设备)和以下字段:
| 字段名 | 定义 |
|---|---|
| 检测到的文件 | 确定包含可能或已知威胁的文件 |
| 在 上检测到 | 检测到威胁的日期 |
| 已阻止/审核? | 特定事件的检测规则是处于“阻止”还是“审核”模式 |
| Rule | 哪个规则检测到威胁 |
| 源应用 | 调用有问题的“检测到的文件”的应用程序 |
| 设备 | 发生审核或阻止事件的设备的名称 |
| 设备组 | 设备所属的 Active Directory 组 |
| 用户 | 负责呼叫的计算机帐户 |
| Publisher | 发布特定 .exe 或应用程序的公司 |
有关 ASR 规则审核和阻止模式的详细信息,请参阅 攻击面减少规则模式。
可操作浮出控件
“检测”main页列出了过去 30 天内 (文件/进程) 的所有检测。 选择任何检测以使用向下钻取功能打开。
“ 可能的排除和影响 ”部分提供所选文件或进程的影响。 可以执行下列操作:
- 选择“ 执行搜寻 ”,打开“高级搜寻”查询页
- 打开文件页将打开Microsoft Defender for Endpoint检测
- “添加排除”按钮与“添加排除main”页链接。
下图演示了“高级搜寻”查询页如何从可操作浮出控件上的链接打开:
有关高级搜寻的详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁
“配置”选项卡main攻击面减少规则
“配置”选项卡main ASR 规则提供摘要和每个设备的 ASR 规则配置详细信息。 “配置”选项卡有三main方面:
基本规则 提供在 “基本规则” 和“ 所有规则”之间切换结果的方法。 默认情况下,选择 “基本规则 ”。
设备配置概述提供当前处于以下状态之一的设备快照:
- 所有公开的设备 (缺少先决条件、审核模式下的规则、配置错误的规则或未配置)
- 未配置规则的设备
- 处于审核模式且规则为的设备
- 规则处于块模式的设备
“配置”选项卡的下半部分未命名,其中列出了每个设备 (的当前状态,) :
- 设备 (名称)
- 总体配置 (任何规则是打开还是全部关闭)
- 块模式下的规则 (设置为阻止) 的每个设备的规则数
- 审核模式下的规则 (审核模式下的规则数)
- 关闭的规则 (已关闭或未启用的规则)
- 设备 ID (设备 GUID)
下图显示了这些元素。
若要启用 ASR 规则,请执行以下操作:
- 在“ 设备”下,选择要为其应用 ASR 规则的一个或多个设备。
- 在浮出控件窗口中,验证你的选择,然后选择 “添加到策略”。
下图显示了 “配置 ”选项卡和 “添加规则 ”浮出控件。
[注意!] 如果设备需要应用不同的 ASR 规则,则应单独配置这些设备。
攻击面减少规则“添加排除项”选项卡
“ 添加排除 项”选项卡按文件名显示检测的排名列表,并提供配置排除项的方法。 默认情况下,将列出三个字段的 “添加排除 项”信息:
- 文件名 触发 ASR 规则事件的文件的名称。
- 检测 为命名文件检测到的事件总数。 单个设备可以触发多个 ASR 规则事件。
- 设备 发生检测的设备数。
重要
排除文件或文件夹会严重降低 ASR 规则提供的保护。 允许运行排除的文件,并且不会记录任何报告或事件。 如果 ASR 规则正在检测你认为不应检测到的文件,则应 首先使用审核模式来测试规则。
选择文件时,将打开 “摘要 & 预期影响 ”浮出,其中显示以下类型的信息:
- 所选文件 已选择排除的文件数
- () 检测数指出添加所选排除 () 后检测的预期减少。 实际检测和排除后检测的检测减少以图形方式表示
- (受影响的) 设备数说明报告所选排除项检测的设备的预期减少。
“添加排除”页有两个按钮,用于在选择) 后,可用于任何检测到的文件 (的操作。 可以执行下列操作:
- 添加将打开MICROSOFT INTUNE ASR 策略页的排除项。 有关详细信息,请参阅“启用 ASR 规则备用配置方法”中的Intune。
- 获取将 下载 csv 格式的文件路径的排除路径
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈