受攻擊面縮小規則報告
適用於:
平臺:
- Windows
受攻擊面縮小規則報告會提供套用至組織中裝置 之受攻擊面縮小規則 的相關信息。 此報告也提供下列相關信息:
- 偵測到的威脅
- 封鎖的威脅
- 未設定為使用標準保護規則來封鎖威脅的裝置
此外,此報表提供易於使用的介面,可讓您:
- 檢視威脅偵測
- 檢視 ASR 規則的設定
- 設定 (新增) 排除專案
- 向下切入以收集詳細資訊
如需個別受攻擊面縮小規則的詳細資訊,請參閱 受攻擊面縮小規則參考。
必要條件
重要事項
若要存取受攻擊面縮小規則報告,Microsoft Defender 入口網站需要讀取許可權。 若要讓 Windows Server 2012 R2 和 Windows Server 2016 出現在受攻擊面縮小規則報告中,這些裝置必須使用新式整合解決方案套件上線。 如需詳細資訊,請 參閱 Windows Server 2012 R2 和 2016 新式整合解決方案的新功能。
報表訪問許可權
若要在 Microsoft Defender 入口網站中存取受攻擊面縮小規則報告,需要下列許可權:
| 許可權類型 | 權限 | 許可權顯示名稱 |
|---|---|---|
| 應用程式 | Machine.Read.All |
Read all machine profiles |
| 委派 (公司或學校帳戶) | Machine.Read |
Read machine information |
您可以使用 Microsoft Entra ID 或 Microsoft Defender 入口網站來指派許可權。
- 若要使用 Microsoft Entra ID,請參閱 將 Microsoft Entra 角色指派給使用者
- 若要使用 Microsoft Defender 入口網站,請參閱 指派使用者存取權。
流覽至受攻擊面縮小規則報告
流覽至受攻擊面縮小規則報告的摘要卡片
- 開 Microsoft Defender XDR 入口網站。
- 在左面板中,按兩下[報告],然後在主要區段的 [ 報告 ] 底下,選取 [ 安全性報告]。
- 向下捲動至 [裝置 ] 以尋找 受攻擊面縮小規則 摘要卡片。
下圖顯示 ASR 規則的摘要報表卡片。
ASR 規則報告摘要卡片
ASR 規則報告摘要分成兩張卡片:
ASR 規則偵測摘要卡片
顯示 ASR 規則封鎖的偵測到威脅數目摘要。
提供兩個 [動作] 按鈕:
- 檢視偵測 - 開啟 [受攻擊面縮小規則>] 主要 [偵測] 索引標籤
- 新增排除專案 - 開啟 [攻擊面縮小規則> ] 主要 [排除] 索引卷 標
按兩下卡片頂端的 [ASR 規則偵測 ] 連結,也會開啟 [主要 受攻擊面縮小規則偵測] 索引標籤。
ASR 規則設定摘要卡片
上一節 著重於三個建議的規則,以防範常見的攻擊技術。 此卡片會顯示組織中計算機的目前狀態資訊,這些計算機具有下列 三 (ASR) 未設定) 設定的 封鎖模式、 稽核模式或 (關閉 標準保護規則。[ 保護裝置] 按鈕只會顯示三個規則的完整設定詳細數據;客戶可以快速採取動作來啟用這些規則。
底端區段 會根據每個規則未受保護的裝置數目呈現六個規則。 [檢視組態] 按鈕會顯示所有 ASR 規則的所有設定詳細數據。 [新增排除] 按鈕會顯示 [新增排除] 頁面,其中列出所有偵測到的檔案/進程名稱,以供資訊安全作業中心 (SOC) 評估。 [新增排除] 頁面會連結至 Microsoft Intune。
提供兩個 [動作] 按鈕:
- 檢視組態 - 開啟 [受攻擊面縮小規則>] 主要 [偵測] 索引標籤
- 新增排除專案 - 開啟 [攻擊面縮小規則> ] 主要 [排除] 索引卷 標
按兩下卡片頂端的 [ASR 規則 設定] 連結,也會開啟 [主要 受攻擊面縮小規則設定] 索引標籤。
簡化的標準保護選項
設定摘要卡片提供一個按鈕,以使用三個標準保護規則 來保護裝置 。 至少,Microsoft建議您啟用這三個受攻擊面縮小標準保護規則:
- 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
- 封鎖濫用惡意探索易受攻擊的已簽署驅動程式
- 透過 Windows Management Instrumentation (WMI) 事件訂閱封鎖持續性
若要啟用三個標準保護規則:
- 選 取 [保護裝置]。 主要的 [ 組態] 索引 標籤隨即開啟。
- 在 [ 組態] 索引 標籤上, [基本規則] 會自動從 [ 所有規則 ] 切換為 [已啟用 標準保護規則 ]。
- 在 [ 裝置 ] 清單中,選取您要套用標準保護規則的裝置,然後選取 [ 儲存]。
此卡片有兩個其他導覽按鈕:
- 檢視組態 - 開啟 [受攻擊面縮小規則> ] 主要 [ 組態] 索引 標籤。
- 新增排除專案 - 開啟 [攻擊面縮小規則> ] 主要 [ 排除] 索引卷 標。
按兩下卡片頂端的 [ASR 規則 設定] 連結,也會開啟 [主要 受攻擊面縮小規則設定] 索引標籤。
受攻擊面縮小規則主要索引標籤
雖然 ASR 規則報告摘要卡片有助於快速摘要 ASR 規則狀態,但主要索引標籤會提供更深入的信息與篩選和設定功能:
搜尋功能
搜尋功能會新增至 [偵測]、[ 組態] 和 [ 新增排除 ] 主索引卷標。 透過這項功能,您可以使用裝置標識碼、檔名或進程名稱進行搜尋。
篩選
篩選可讓您指定傳回的結果:
- Date 可讓您指定資料結果的日期範圍。
- 篩選
注意事項
依規則篩選時,報表下半部所列的個別 偵測 項目數目目前限制為 200 個規則。 您可以使用 [匯 出] 將完整的偵測清單儲存至 Excel。
提示
因為篩選器目前在此版本中運作,所以每次您想要「分組依據」時,都必須先向下捲動到清單中的最後一個偵測,以載入完整的數據集。 載入完整的資料集之後,您可以接著啟動「排序依據」篩選。 如果您未向下卷動到每次使用時所列的最後一個偵測,或是變更篩選選項時 (例如,套用至目前篩選條件的 ASR 規則會執行) ,則具有一個以上可檢視的已列出偵測頁面的任何結果結果都會不正確。
![顯示 [組態] 索引標籤上 ASR 規則報表搜尋功能的螢幕快照。](media/attack-surface-reduction-rules-report-main-tabs-search-configuration-tab.png#lightbox)
受攻擊面縮小規則主要偵測索引標籤
- 稽核偵測 顯示稽 核模式中 設定的規則所擷取的威脅偵測數目。
- 封鎖的偵測 顯示在 封鎖 模式中設定的規則已封鎖多少個威脅偵測。
- 大型合併圖表 顯示已封鎖和稽核的偵測。
圖形會在顯示的日期範圍上提供偵測數據,並可將滑鼠停留在特定位置上以收集日期特定資訊。
報表底部區段會列出每個裝置上偵測到的威脅,並包含下列欄位:
| 欄位名稱 | 定義 |
|---|---|
| 已偵測的檔案 | 判斷為包含可能或已知威脅的檔案 |
| 偵測到於 | 偵測到威脅的日期 |
| 已封鎖/已稽核? | 特定事件的偵測規則是否處於封鎖或稽核模式 |
| 規則 | 偵測到威脅的規則 |
| 來源應用程式 | 呼叫違規「偵測到的檔案」的應用程式 |
| 裝置 | 發生稽核或封鎖事件的裝置名稱 |
| 裝置群組 | 裝置所屬的 Active Directory 群組 |
| 使用者 | 負責呼叫的電腦帳戶 |
| 發行者 | 發行特定 .exe 或應用程式的公司 |
如需 ASR 規則稽核和封鎖模式的詳細資訊,請參閱 受攻擊面縮小規則模式。
可採取動作的飛出視窗
[偵測] 主頁面包含過去 30 天內 (檔案/進程) 的所有偵測清單。 選取任何偵測,以使用向下切入功能開啟。
[ 可能的排除和影響 ] 區段會提供所選檔案或進程的影響。 您可以:
- 選 取 [搜捕 ] 以開啟 [進階搜捕查詢] 頁面
- [開啟檔案] 頁面隨即 開啟Microsoft適用於端點的 Defender 偵測
- [新增排除] 按鈕會與 [新增排除] 主頁面連結。
下圖說明進階搜捕查詢頁面如何從可採取動作的飛出視窗上的連結開啟:
如需進階搜捕的詳細資訊,請參閱 在 Microsoft Defender XDR 中使用進階搜捕主動搜捕威脅
受攻擊面縮小規則主要設定索引標籤
ASR 規則主要的 [ 設定] 索引 標籤會提供摘要和每個裝置的 ASR 規則設定詳細數據。 [組態] 索引標籤有三個主要層面:
基本規則 提供在 基本規則 和 所有規則之間切換結果的方法。 默認會選取 [基本規則 ]。
裝置設定概觀 提供下列其中一種狀態的裝置目前快照集:
- 所有公開的裝置 (缺少必要條件、稽核模式中的規則、設定錯誤的規則或未設定規則的裝置)
- 未設定規則的裝置
- 具有稽核模式規則的裝置
- 具有封鎖模式規則的裝置
[組態] 索引標籤的下方未命名區段會提供每個裝置 (裝置目前狀態的清單) :
- 裝置 (名稱)
- 整體設定 (是否有任何規則開啟或全部關閉)
- 封鎖模式中的規則 (每個裝置設定的規則數目,以封鎖)
- 稽核模式中的規則 (稽核模式中的規則數目)
- 已關閉 (關閉或未啟用的規則)
- 裝置 GUID) (裝置識別碼
下圖顯示這些元素。
若要啟用 ASR 規則:
- 在 [ 裝置] 下,選取您要套用 ASR 規則的裝置。
- 在飛出視窗中,確認您的選取專案,然後選取 [ 新增至原則]。
下圖顯示 [ 組態 ] 索引標籤和 [新增規則 ] 飛出視窗。
[注意!] 如果您有需要套用不同 ASR 規則的裝置,您應該個別設定這些裝置。
受攻擊面縮小規則 新增排除範圍索引標籤
[ 新增排除專案] 索引標籤 會依檔名顯示偵測的排名清單,並提供設定排除的方法。 根據預設, 新增排除 資訊會列出三個字段:
- 檔名 觸發 ASR 規則事件的檔名。
- 檢測 針對具名檔案偵測到的事件總數。 個別裝置可以觸發多個 ASR 規則事件。
- 設備 發生偵測的裝置數目。
重要事項
排除檔案或資料夾可能會大幅降低 ASR 規則所提供的保護。 允許執行排除的檔案,而且不會記錄任何報表或事件。 如果 ASR 規則偵測到您認為不應該偵測到的檔案,您應該 先使用稽核模式來測試規則。
當您選取檔案時,[ 摘要] & 預期的影響 飛出視窗隨即開啟,並呈現下列類型的資訊:
- 選取的檔案 您已選取排除的檔案數目
- () 偵測數目說明新增選取的排除 () 之後,預期的偵測減少。 在排除之後,實際偵測和偵測會以圖形方式表示偵測的減少
- () 受影響裝置的數目指出報告所選排除專案偵測的裝置預期會減少。
[新增排除範圍] 頁面有兩個按鈕,可用於選取) 之後 (任何偵測到的檔案上的動作。 您可以:
- 新增 將在 Intune ASR 原則頁面Microsoft開啟的排除專案。 For more information, see: Intune in "Enable ASR rules alternate configuration methods."
- 取得將 以 csv 格式下載檔路徑的排除路徑
另請參閱
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。