Testování pravidel omezení potenciální oblasti útoku

  • Článek

Platí pro:

Testování Microsoft Defender for Endpoint pravidel omezení potenciální oblasti útoku vám pomůže určit, jestli pravidla brání obchodním operacím před povolením jakéhokoli pravidla. Když začnete s malou kontrolovanou skupinou, můžete omezit potenciální přerušení práce při rozšíření nasazení v rámci vaší organizace.

V této části průvodce nasazením pravidel omezení potenciální oblasti útoku se dozvíte, jak:

  • konfigurace pravidel pomocí Microsoft Intune
  • použití Microsoft Defender for Endpoint sestavy pravidel omezení potenciální oblasti útoku
  • konfigurace vyloučení pravidel omezení potenciální oblasti útoku
  • Povolení pravidel omezení potenciální oblasti útoku pomocí PowerShellu
  • použití Prohlížeč událostí pro události pravidel omezení potenciální oblasti útoku

Poznámka

Než začnete testovat pravidla omezení potenciální oblasti útoku, doporučujeme nejprve zakázat všechna pravidla, která jste dříve nastavili na audit nebo povolení (pokud je to možné). Informace o použití sestavy pravidel omezení potenciální oblasti útoku k zakázání pravidel omezení potenciální oblasti útoku najdete v tématu Sestavy pravidel omezení potenciální oblasti útoku.

Zahajte nasazení pravidel omezení potenciální oblasti útoku pomocí okruhu 1.

Testovací kroky Microsoft Defender for Endpoint omezení potenciální oblasti útoku (pravidla ASR). Auditujte pravidla omezení potenciální oblasti útoku a nakonfigurujte vyloučení pravidel ASR. Nakonfigurujte pravidla ASR Intune. Vyloučení pravidel ASR Prohlížeč událostí pravidel ASR.

Krok 1: Testování pravidel omezení potenciální oblasti útoku pomocí auditování

Zahajte testovací fázi zapnutím pravidel omezení potenciální oblasti útoku s pravidly nastavenými na Audit, počínaje uživateli šampionů nebo zařízeními v okruhu 1. Obvykle se doporučuje povolit všechna pravidla (v auditování), abyste mohli určit, která pravidla se aktivují během testovací fáze. Pravidla, která jsou nastavená na Audit, nemají obecně vliv na funkčnost entity nebo entit, na které se pravidlo použije, ale generují protokolované události pro vyhodnocení. nemá žádný vliv na koncové uživatele.

Konfigurace pravidel omezení potenciální oblasti útoku pomocí Intune

Pomocí Microsoft Intune Endpoint Security můžete nakonfigurovat vlastní pravidla omezení potenciální oblasti útoku.

  1. Otevřete Centrum pro správu Microsoft Intune.

  2. Přejděte naomezení potenciálních možností útoku zabezpečení >koncových bodů.

  3. Vyberte Vytvořit zásadu.

  4. V části Platforma vyberte Windows 10, Windows 11 a Windows Server a v části Profil vyberte Pravidla omezení potenciální oblasti útoku.

    Stránka pro vytvoření profilu pro pravidla ASR

  5. Vyberte Vytvořit.

  6. Na kartě Základy v podokně profilu Create přidejte do pole Název název zásady. V části Popis přidejte popis zásad omezení potenciální oblasti útoku.

  7. Na kartě Nastavení konfigurace nastavte v části Pravidla omezení potenciální oblasti útoku všechna pravidla na režim auditování.

    Konfigurace pravidel omezení potenciální oblasti útoku do režimu auditování

    Poznámka

    V některých výpisech režimů omezení potenciální oblasti útoku existují odchylky. Blokované a Povolené poskytují stejné funkce.

  8. [Volitelné] V podokně Značky oboru můžete do konkrétních zařízení přidat informace o značkách. Můžete také použít řízení přístupu na základě role a značky oboru, abyste měli jistotu, že správní správci mají správný přístup a viditelnost ke správnému Intune objekty. Další informace: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT v Intune.

  9. V podokně Přiřazení můžete nasadit nebo "přiřadit" profil skupinám uživatelů nebo zařízení. Další informace: Přiřazení profilů zařízení v Microsoft Intune

    Poznámka

    Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

  10. Zkontrolujte nastavení v podokně Zkontrolovat a vytvořit . Kliknutím na Create pravidla použijte.

    Stránka profilu Create

Vaše nové zásady omezení potenciální oblasti útoku pro pravidla omezení potenciální oblasti útoku jsou uvedené v tématu Zabezpečení koncových bodů | Zmenšení prostoru útoku.

Stránka omezení potenciální oblasti útoku

Krok 2: Seznamte se se stránkou vytváření sestav pravidel omezení potenciální oblasti útoku na portálu Microsoft Defender.

Stránka pro sestavy pravidel omezení potenciální oblasti útoku se nachází na portálu Microsoft Defender portal>ReportsAttack surface reduction rules (Pravidla > omezení potenciální oblasti útoku). Tato stránka má tři karty:

  • Detekcí
  • Konfigurace
  • Přidání vyloučení

Karta Detekce

Poskytuje 30denní časovou osu zjištěných auditovaných a blokovaných událostí.

Graf zobrazující kartu se souhrnnými detekcemi pravidel omezení potenciální oblasti útoku.

Podokno pravidel omezení potenciální oblasti útoku poskytuje přehled zjištěných událostí na základě jednotlivých pravidel.

Poznámka

V sestavách pravidel omezení potenciální oblasti útoku existují určité varianty. Společnost Microsoft právě aktualizuje chování sestav pravidel omezení potenciální oblasti útoku, aby poskytovala konzistentní prostředí.

Graf znázorňující pravidla omezení potenciální oblasti útoku hlásí souhrnnou konfigurační kartu.

Výběrem možnosti Zobrazit detekce otevřete kartu Detekce .

Snímek obrazovky znázorňující funkci vyhledávání sestav pravidel omezení potenciální oblasti útoku

Podokno GroupBy a Filtr nabízí následující možnosti:

Funkce GroupBy vrátí výsledky nastavené na následující skupiny:

  • Žádné seskupení
  • Zjištěný soubor
  • Auditovat nebo blokovat
  • Pravidlo
  • Zdrojová aplikace
  • Device
  • User
  • Vydavatel

Poznámka

Při filtrování podle pravidla je počet jednotlivých zjištěných položek uvedených v dolní polovině sestavy aktuálně omezený na 200 pravidel. Úplný seznam detekcí můžete uložit do Excelu pomocí příkazu Exportovat .

Snímek obrazovky znázorňující funkci vyhledávání sestav pravidel ASR na kartě konfigurace

Filtr otevře stránku Filtrovat podle pravidel , která umožňuje omezit výsledky pouze na vybraná pravidla omezení potenciální oblasti útoku:

Detekce pravidel omezení potenciální oblasti útoku filtruje pravidla.

Poznámka

Pokud máte licenci Microsoft Microsoft 365 Security E5 nebo A5, Windows E5 nebo A5, otevře se na následujícím odkazu karta Microsoft Defender 365 Reports > 365 Attack detections (Detekce omezení> potenciálních oblastí útoku).

Karta Konfigurace

Seznamy agregovaný stav pravidel omezení potenciální oblasti útoku v jednotlivých počítačích: Vypnuto, Audit, Blokovat.

Snímek obrazovky znázorňující hlavní kartu konfigurace pravidel omezení potenciální oblasti útoku

Na kartě Konfigurace můžete na základě jednotlivých zařízení zkontrolovat, která pravidla omezení potenciální oblasti útoku jsou povolená, a v jakém režimu, a to tak, že vyberete zařízení, pro které chcete zkontrolovat pravidla omezení potenciální oblasti útoku.

Snímek obrazovky s informačním rámečkem pravidel ASR pro přidání pravidel ASR do zařízení

Odkaz Začínáme otevře Centrum pro správu Microsoft Intune, kde můžete vytvořit nebo upravit zásady ochrany koncových bodů pro omezení potenciální oblasti útoku:

Položka nabídky *Zabezpečení koncového bodu na stránce Přehled

V části Zabezpečení koncového bodu | Přehled a vyberte Omezení potenciální oblasti útoku:

Snížení prostoru útoku v Intune

Zabezpečení koncového bodu | Otevře se podokno omezení potenciální oblasti útoku:

Podokno omezení potenciální oblasti útoku zabezpečení koncového bodu

Poznámka

Pokud máte licenci Microsoft Defender 365 E5 (nebo Windows E5?), otevře se na tomto odkazu karta Microsoft Defender 365 Reports > 365 Attack surface configurations (Konfigurace snížení počtu > oblastí útoku).

Přidání vyloučení

Tato karta poskytuje metodu pro výběr zjištěných entit (například falešně pozitivních) pro vyloučení. Po přidání vyloučení sestava obsahuje souhrn očekávaného dopadu.

Poznámka

Microsoft Defender Antivirová av vyloučení jsou respektována pravidly omezení potenciální oblasti útoku. Viz Konfigurace a ověření vyloučení na základě rozšíření, názvu nebo umístění.

Podokno pro vyloučení zjištěného souboru

Poznámka

Pokud máte licenci Microsoft Defender 365 E5 (nebo Windows E5?), otevře se na tomto odkazu karta vyloučení Microsoft Defender 365 Reports > 365 Attack surface exclusions (Vyloučení omezení > útoku).

Další informace o použití sestavy pravidel omezení potenciální oblasti útoku najdete v tématu Sestavy pravidel omezení potenciální oblasti útoku.

Konfigurace vyloučení omezení potenciální oblasti útoku podle pravidla

Pravidla omezení potenciální oblasti útoku teď poskytují možnost konfigurovat vyloučení specifická pro pravidla, která se označují jako vyloučení na jednotlivá pravidla.

Poznámka

Vyloučení pro jednotlivá pravidla se v současné době nedá nakonfigurovat pomocí PowerShellu nebo Zásady skupiny.

Konfigurace konkrétních vyloučení pravidel:

  1. Otevřete Centrum pro správu Microsoft Intune a přejděte do částiZabezpečení>domovského> koncového bodu –Omezení potenciální oblasti útoku.

  2. Pokud ještě není nakonfigurované, nastavte pravidlo, pro které chcete nakonfigurovat vyloučení, na Audit nebo Blokovat.

  3. V části Vyloučení pouze ASR podle pravidla klikněte na přepínač, aby se změnilo z Nenakonfigurováno na Nakonfigurované.

  4. Zadejte názvy souborů nebo aplikací, které chcete vyloučit.

  5. V dolní části průvodce profilem Create vyberte Další a postupujte podle pokynů průvodce.

Snímek obrazovky znázorňující nastavení konfigurace pro přidání vyloučení ASR pro jednotlivá pravidla

Tip

Pomocí zaškrtávacích políček vedle seznamu položek vyloučení vyberte položky, které chcete odstranit, seřadit, importovat nebo exportovat.

Použití PowerShellu jako alternativní metody k povolení pravidel omezení potenciální oblasti útoku

Pomocí PowerShellu – jako alternativy k Intune – můžete povolit pravidla omezení potenciální oblasti útoku v režimu auditování a zobrazit záznam aplikací, které by byly blokované, kdyby byla funkce plně povolená. Můžete také získat představu o tom, jak často se pravidla aktivují při běžném používání.

Pokud chcete v režimu auditu povolit pravidlo omezení potenciální oblasti útoku, použijte následující rutinu PowerShellu:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Kde <rule ID> je hodnota GUID pravidla omezení potenciální oblasti útoku.

Pokud chcete povolit všechna přidaná pravidla omezení potenciální oblasti útoku v režimu auditování, použijte následující rutinu PowerShellu:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Tip

Pokud chcete plně auditovat, jak budou pravidla omezení potenciální oblasti útoku ve vaší organizaci fungovat, budete muset použít nástroj pro správu, který toto nastavení nasadí na zařízení ve vaší síti.

Ke konfiguraci a nasazení nastavení můžete také použít poskytovatele konfiguračních služeb Zásady skupiny, Intune nebo MDM (MdM). Další informace najdete v hlavním článku o pravidlech omezení potenciálních oblastí útoku .

Použijte Windows Prohlížeč událostí Review jako alternativu ke stránce pro vytváření sestav pravidel omezení potenciální oblasti útoku na portálu Microsoft Defender.

Pokud chcete zkontrolovat aplikace, které by byly blokované, otevřete Prohlížeč událostí a vyfiltrujte ID události 1121 v protokolu Microsoft-Windows-Windows Defender/Operational. Následující tabulka obsahuje seznam všech událostí ochrany sítě.

ID události Popis
5007 Událost při změně nastavení
1121 Událost, kdy se pravidlo omezení prostoru útoku aktivuje v režimu blokování
1122 Událost, kdy se v režimu auditu aktivuje pravidlo omezení potenciální oblasti útoku

Přehled nasazení pravidel omezení potenciální oblasti útoku

Plánování nasazení pravidel omezení potenciální oblasti útoku

Povolení pravidel omezení potenciální oblasti útoku

Zprovoznění pravidel omezení potenciální oblasti útoku

Referenční informace k pravidlu omezení potenciální oblasti útoku

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.