Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Hyökkäyspinnan pienentämissääntöjen Microsoft Defender for Endpoint testaamisen avulla voit selvittää, haittaavatko säännöt toimialakohtaisia toimintoja ennen sääntöjen käyttöönottamista. Aloittamalla pienestä, valvotusta ryhmästä voit rajoittaa mahdollisia työhäiriöitä, kun laajennat käyttöönottoa koko organisaatiossasi.
Tässä hyökkäysalueen vähentämissääntöjen käyttöönotto-oppaan osiossa opit seuraavaa:
- Sääntöjen määrittäminen Microsoft Intune avulla
- Hyökkäysalueen pienentämissääntöjen raporttien käyttäminen Microsoft Defender for Endpoint
- Hyökkäyspinnan pienentämissääntöjen poissulkemisten määrittäminen
- Hyökkäyspinnan pienentämissääntöjen käyttöönotto PowerShellin avulla
- Tapahtumienvalvonta käyttäminen hyökkäyspinnan pienentämissääntöjen tapahtumissa
Huomautus
Ennen kuin aloitat hyökkäyspinnan pienentämissääntöjen testaamisen, on suositeltavaa poistaa ensin käytöstä kaikki säännöt, joiden asetuksena oli aiemmin valvonta tai käyttöönotto (jos käytettävissä). Lisätietoja hyökkäyspinnan pienentämissääntöjen käyttämisestä on kohdassa Hyökkäyspinnan vähentämissääntöjen raportit , joissa kerrotaan hyökkäyspinnan vähentämissääntöjen poistamisesta käytöstä.
Aloita hyökkäyspinnan pienentämissääntöjen käyttöönotto renkaalla 1.
Vaihe 1: Hyökkäyksen pinnan vähentämissääntöjen testaaminen valvonnan avulla
Aloita testausvaihe ottamalla käyttöön hyökkäysalueen vähentämissäännöt, joiden sääntöjen asetuksena on Valvonta, alkaen kehän 1 mestarikäyttäjistä tai laitteista. Yleensä suositus on, että otat kaikki säännöt käyttöön (auditoinnissa), jotta voit määrittää, mitkä säännöt käynnistetään testausvaiheessa.
Säännöt, joiden asetuksena on Valvonta, eivät yleensä vaikuta sen entiteetin tai entiteettien toiminnallisuuteen, johon sääntöä sovelletaan, mutta luovat kirjatut tapahtumat arviointia varten. sillä ei ole vaikutusta loppukäyttäjiin.
Hyökkäyspinnan pienentämissääntöjen määrittäminen Intune avulla
Jos haluat määrittää hyökkäysalueen vähentämissääntöjä Microsoft Intune Päätepisteen tietoturvahyökkäyksen pinnan pienentämiskäytännön avulla, katso Päätepisteen suojauskäytännön luominen (avautuu uuteen välilehteen Intune dokumentaatiossa). Kun luot käytäntöä, käytä seuraavia asetuksia:
- Käytäntötyyppi: Hyökkäyspinnan pienentäminen
- Käyttöympäristö: Windows 10, Windows 11 ja Windows Server
- Profiili: Hyökkäyspinnan pienentämissäännöt
- Määritysasetukset: Määritä kaikki säännöt valvontatilaan vaikutuksen arvioimiseksi ennen täytäntöönpanoa
Lisätietoja Microsoft Intune käytettävissä olevista hyökkäyspinnan vähentämisprofiileista on kohdassa Hyökkäyspinnan pienentämisasetusten hallinta Microsoft Intune avulla.
Kun käytäntö on luotu ja määritetty, jatka testausta ja vahvistusta palaamalla tähän artikkeliin.
Vaihe 2: Hyökkäyspinnan vähentämisen sääntöjen raportointisivun ymmärtäminen Microsoft Defender portaalissa
Hyökkäysalueen vähennyssääntöjen raportointisivu löytyy Microsoft Defender portaalin>Raporttien>hyökkäyspinnan pienentämissäännöistä. Tällä sivulla on kolme välilehteä:
- Etsivä
- Määritykset
- Lisää poissulkemisia
Tunnistuksia-välilehti
Tarjoaa 30 päivän aikajanan havaituista auditointi- ja estettyjen tapahtumien tapahtumista.
Hyökkäysalueen pienentämissääntöjen ruutu tarjoaa yleiskatsauksen havaituista tapahtumista sääntökohtaisesti.
Huomautus
Hyökkäyspinnan pienentämissääntöjen raporteissa on joitakin muunnelmia. Microsoft päivittää parhaillaan hyökkäyspinnan vähentämissääntöjen raporttien toimintaa yhdenmukaisen käyttökokemuksen tarjoamiseksi.
Avaa Tunnistuksia-välilehti valitsemalla Näytä tunnistuksia.
Ryhmittelyperuste- ja Suodatin-ruudussa on seuraavat asetukset:
GroupBy palauttaa seuraaville ryhmille asetetut tulokset:
- Ei ryhmittelyä
- Tunnistettu tiedosto
- Valvonta tai lohko
- Sääntö
- Lähdesovellus
- Laite
- Käyttäjä
- Publisher
Huomautus
Kun suodatat säännön mukaan, raportin alemmalla puoliskolla lueteltujen yksittäisten havaittujen kohteiden määrä on tällä hetkellä rajoitettu 200 sääntöön. Vie-toiminnolla voit tallentaa täydellisen tunnistusluettelon Exceliin.
Suodatin avaa Suodata sääntöihin -sivun, jonka avulla voit rajata tulokset vain valittuihin hyökkäysalueen vähentämissääntöihin:
Huomautus
Jos sinulla on Microsoft 365 Security E5-, A5- tai Windows E5- tai A5-käyttöoikeus, seuraava linkki avaa Microsoft Defender portaalin, jossa on tunnistuksia näkyvissä: Hyökkäyspinnan vähentämisen tunnistuksia.
Määritys-välilehti
Luettelee tietokonekohtaisesti hyökkäyksen pinnan vähentämissääntöjen koostetilan: Ei käytössä, Valvonta, Estä.
Määritykset-välilehdessä voit nähdä, mitkä hyökkäyspinnan vähentämissäännöt on otettu käyttöön ja niiden tilan kullekin laitteelle valitsemalla laitteen, jonka haluat tarkastella.
Aloittaminen-linkki avaa Microsoft Intune hallintakeskuksen, jossa voit luoda tai muokata päätepisteen suojauskäytäntöä hyökkäyspinnan pienentämistä varten:
Päätepisteen suojauksessa | Yleiskatsaus, valitse Hyökkäyspinnan pienentäminen:
Päätepisteen suojaus | Hyökkäysalueen pienentämisruutu avautuu:
Huomautus
Jos sinulla on Microsoft Defender 365 E5 (tai Windows E5?) Käyttöoikeus, tämä linkki avaa Microsoft Defender 365 -raportit > Hyökkäyspinnan vähennysten Kokoonpanot-välilehden>.
Lisää poissulkemisia
Tässä välilehdessä on menetelmä, jolla tunnistetut entiteetit (esimerkiksi false-positiiviset) valitaan poissulkemisen vuoksi. Kun poissulkemisia lisätään, raportissa on yhteenveto odotetusta vaikutuksesta.
Huomautus
Attack surface reduction rules honor Microsoft Defender Antivirus (AV) exclusion. Katso Poikkeuksen määrittäminen ja vahvistaminen tunnisteen, nimen tai sijainnin perusteella.
Huomautus
Jos sinulla on asianmukainen käyttöoikeus ja käyttöoikeudet, tämä linkki avaa Microsoft Defender portaalin, jossa poikkeukset näkyvät.
Lisätietoja hyökkäyspinnan pienentämissääntöjen käyttämisestä on kohdassa Hyökkäyspinnan pienentämissääntöjen raportit.
Hyökkäyspinnan säännönkohtaisen vähentämisen poissulkemisten määrittäminen
Hyökkäyspinnan vähentämissäännöt tarjoavat nyt mahdollisuuden määrittää sääntökohtaisia poissulkemisia, joita kutsutaan säännön poissulkemisiksi.
Voit määrittää tiettyjä säännön poissulkemisia käyttämällä Defender for Endpointin suojausasetusten hallintaa, Intune ja ryhmäkäytäntö.
Huomautus
Kun määrität Attack Surface Reduction per-rule Exclusions -määritystä, muista, että vain tiedoston tai sovelluksen nimen määrittäminen (esimerkiksi test1.exe) ei riitä. Sinun on annettava koko tiedosto- tai sovelluspolku (esimerkiksi C:\test1.exe), jotta poikkeus otetaan käyttöön oikein.
Via Intune
Avaa Microsoft Intune hallintakeskus ja siirry kohtaanAloituspäätepisteen> suojaus >Hyökkäyspinnan pienentäminen.
Jos sitä ei ole vielä määritetty, määritä säännöksi, jolle haluat määrittää poissulkemiset , kohtaan Valvonta tai Estä.
Valitse Vain ASR per sääntö poissulkeva -kohdassa vaihtopainike Ei määritetty-asemesta Määritetyksi.
Kirjoita niiden tiedostojen tai sovellusten nimet, jotka haluat jättää pois.
Valitse ohjatun profiilitoiminnon luomisen alareunassa Seuraava ja noudata sitten ohjatun toiminnon ohjeita.
Vihje
Valitse poissulkemismerkintäluettelon vieressä olevien valintaruutujen avulla kohteita, jotka poistetaan, lajitellaan, tuodaan tai viedään.
Via ryhmäkäytäntö
Katso ohjeet kohdasta ASR-sääntöjen määrittäminen ryhmäkäytännön avulla.
Jos ryhmäkäytäntöobjektia ei käytetä laitteissa, katso Microsoft Defender virustentorjunta-asetusten vianmääritys.
Käytä PowerShelliä vaihtoehtoisena menetelmänä hyökkäyspinnan pienentämissääntöjen käyttöön ottamiseksi
Käytä PowerShelliä vaihtoehtona Intune, kun haluat ottaa käyttöön hyökkäyspinnan pienentämissäännöt valvontatilassa. Tämän määrityksen avulla voit tarkastella tietuetta sovelluksista, jotka olisi estetty, jos ominaisuus olisi täysin käytössä. Voit myös nähdä, kuinka usein säännöt käynnistyvät normaalin käytön aikana.
Voit ottaa hyökkäyspinnan pienentämissäännön käyttöön valvontatilassa käyttämällä seuraavaa PowerShellin cmdlet-komentoa:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Missä <rule ID> on hyökkäyspinnan pienentämissäännön GUID-arvo.
Jos haluat ottaa käyttöön kaikki lisätyt hyökkäyspinnan vähentämissäännöt valvontatilassa, käytä seuraavaa PowerShellin cmdlet-komentoa:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
Vihje
Jos haluat valvoa täysin, miten hyökkäyspinnan vähentämissäännöt toimivat organisaatiossasi, sinun on otettava tämä asetus käyttöön verkon laitteissa hallintatyökalun avulla.
Voit käyttää myös ryhmäkäytäntö-, Intune- tai mobiililaitteiden hallinnan (MDM) määrityspalveluntarjoajia asetuksen määrittämiseen ja käyttöönottoon. Lue lisää artikkelista Hyökkäysalueen päävähennyssäännöt .
Windows Tapahtumienvalvonta Reviewin käyttäminen vaihtoehtona hyökkäyspinnan vähentämisen sääntöjen raportointisivulle Microsoft Defender-portaalissa
Jos haluat tarkastella estettyjä sovelluksia, avaa Tapahtumienvalvonta ja suodata tapahtumatunnus 1121 Microsoft-Windows-Windows Defender/Operational-lokissa. Seuraavassa taulukossa on lueteltu kaikki verkon suojaustapahtumat.
| Tapahtuman tunnus | Kuvaus |
|---|---|
| 5007 | Tapahtuma, kun asetuksia muutetaan |
| 1121 | Tapahtuma, kun hyökkäyspinnan pienennyssääntö käynnistyy lohkotilassa |
| 1122 | Tapahtuma, kun hyökkäyspinnan pienentämissääntö käynnistyy valvontatilassa |
Muut tämän käyttöönottokokoelman artikkelit
Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen
Hyökkäyspinnan pienentämissääntöjen käyttöönotto
Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen