Compreender e utilizar as capacidades de redução da superfície de ataque
Aplica-se a:
- Microsoft Defender XDR
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Antivírus do Microsoft Defender
Plataformas
- Windows
Sugestão
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
As superfícies de ataque são todos os locais onde a sua organização está vulnerável a ciberameaças e ataques. O Defender para Endpoint inclui várias funcionalidades para ajudar a reduzir as superfícies de ataque. Veja o seguinte vídeo para saber mais sobre a redução da superfície de ataque.
Configurar capacidades de redução da superfície de ataque
Para configurar a redução da superfície de ataque no seu ambiente, siga estes passos:
Ativar o isolamento baseado em hardware para o Microsoft Edge.
Ativar o controlo de aplicações.
Reveja as políticas de base no Windows. Veja Exemplos de Políticas de Base.
Veja o guia de conceção Windows Defender Controlo de Aplicações.
Veja Implementar Windows Defender políticas de Controlo de Aplicações (WDAC).
Ativar a proteção Web.
Configure a firewall de rede.
Obtenha uma descrição geral da Firewall do Windows com segurança avançada.
Utilize o guia de conceção da Firewall do Windows para decidir como pretende estruturar as políticas de firewall.
Utilize o guia de implementação da Firewall do Windows para configurar a firewall da sua organização com segurança avançada.
Sugestão
Na maioria dos casos, quando configura funcionalidades de redução da superfície de ataque, pode escolher entre vários métodos:
- Microsoft Intune
- Microsoft Configuration Manager
- Política de Grupo
- Cmdlets do PowerShell
Testar a redução da superfície de ataque no Microsoft Defender para Endpoint
Como parte da equipa de segurança da sua organização, pode configurar as capacidades de redução da superfície de ataque para serem executadas no modo de auditoria para ver como funcionam. Pode ativar as seguintes funcionalidades de segurança de redução da superfície de ataque no modo de auditoria:
- Regras de redução da superfície de ataque
- Proteção contra exploits
- Proteção da rede
- Acesso controlado a pastas
- Controlo do dispositivo
O modo de auditoria permite-lhe ver um registo do que teria acontecido se a funcionalidade estivesse ativada.
Pode ativar o modo de auditoria ao testar o funcionamento das funcionalidades. Ativar o modo de auditoria apenas para testes ajuda a impedir que o modo de auditoria afete as suas aplicações de linha de negócio. Também pode ter uma ideia de quantas tentativas suspeitas de modificação de ficheiros ocorrem durante um determinado período de tempo.
As funcionalidades não bloqueiam nem impedem a modificação de aplicações, scripts ou ficheiros. No entanto, o Registo de Eventos do Windows regista eventos como se as funcionalidades estivessem totalmente ativadas. Com o modo de auditoria, pode rever o registo de eventos para ver qual o efeito que a funcionalidade teria se estivesse ativada.
Para localizar as entradas auditadas, aceda a Aplicações e Serviços>Microsoft>Windows>Windows Defender>Operacional.
Utilize o Defender para Endpoint para obter mais detalhes para cada evento. Estes detalhes são especialmente úteis para investigar regras de redução da superfície de ataque. A utilização da consola do Defender para Endpoint permite-lhe investigar problemas como parte da linha cronológica do alerta e cenários de investigação.
Pode ativar o modo de auditoria com Política de Grupo, o PowerShell e os fornecedores de serviços de configuração (CSPs).
| Opções de auditoria | Como ativar o modo de auditoria | Como ver eventos |
|---|---|---|
| A auditoria aplica-se a todos os eventos | Ativar o acesso controlado a pastas | Eventos de acesso controlado a pastas |
| A auditoria aplica-se a regras individuais | Passo 1: Testar as regras de redução da superfície de ataque com o Modo de auditoria | Passo 2: Compreender a página relatório de regras de redução da superfície de ataque |
| A auditoria aplica-se a todos os eventos | Ativar a proteção de rede | Eventos de proteção de rede |
| A auditoria aplica-se a mitigações individuais | Ativar a proteção contra exploits | Eventos de proteção contra exploits |
Por exemplo, pode testar as regras de redução da superfície de ataque no modo de auditoria antes de as ativar no modo de bloqueio. As regras de redução da superfície de ataque são predefinidas para proteger superfícies de ataque comuns e conhecidas. Existem vários métodos que pode utilizar para implementar regras de redução da superfície de ataque. O método preferencial está documentado nos seguintes artigos de implementação de regras de redução da superfície de ataque:
- Descrição geral da implementação das regras de redução da superfície de ataque
- Planear a implementação de regras de redução da superfície de ataque
- Testar regras de redução da superfície de ataque
- Ativar regras de redução da superfície de ataque
- Operacionalizar regras de redução da superfície de ataque
Ver eventos de redução da superfície de ataque
Reveja os eventos de redução da superfície de ataque no Visualizador de Eventos para monitorizar que regras ou definições estão a funcionar. Também pode determinar se as definições são demasiado "ruidosas" ou afetam o seu fluxo de trabalho diário.
Rever eventos é útil quando está a avaliar as funcionalidades. Pode ativar o modo de auditoria para funcionalidades ou definições e, em seguida, rever o que teria acontecido se estivessem totalmente ativados.
Esta secção lista todos os eventos, a respetiva funcionalidade ou definição associada e descreve como criar vistas personalizadas para filtrar eventos específicos.
Obtenha relatórios detalhados sobre eventos, blocos e avisos como parte do Segurança do Windows se tiver uma subscrição E5 e utilizar Microsoft Defender para Endpoint.
Utilizar vistas personalizadas para rever as capacidades de redução da superfície de ataque
Create vistas personalizadas no Windows Visualizador de Eventos para ver apenas eventos para capacidades e definições específicas. A forma mais fácil é importar uma vista personalizada como um ficheiro XML. Pode copiar o XML diretamente a partir desta página.
Também pode navegar manualmente para a área de eventos que corresponde à funcionalidade.
Importar uma vista personalizada XML existente
Create um ficheiro de .txt vazio e copie o XML para a vista personalizada que pretende utilizar no ficheiro de .txt. Efetue este procedimento para cada uma das vistas personalizadas que pretende utilizar. Mude o nome dos ficheiros da seguinte forma (certifique-se de que altera o tipo de .txt para .xml):
- Vista personalizada de eventos de acesso controlado a pastas: cfa-events.xml
- Vista personalizada de eventos de proteção contra exploits: ep-events.xml
- Vista personalizada de eventos de redução da superfície de ataque: asr-events.xml
- Vista personalizada de eventos de rede/proteção: np-events.xml
Escreva visualizador de eventos no menu Iniciar e abra Visualizador de Eventos.
Selecione Importar Ação>Vista Personalizada...
Navegue para onde extraiu o ficheiro XML para a vista personalizada que pretende e selecione-o.
Selecione Abrir.
Cria uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Copiar o XML diretamente
Escreva visualizador de eventos no menu Iniciar e abra o Visualizador de Eventos do Windows.
No painel esquerdo, em Ações, selecione Create Vista Personalizada...
Aceda ao separador XML e selecione Editar consulta manualmente. Verá um aviso a indicar que não pode editar a consulta com o separador Filtro se utilizar a opção XML. Selecione Sim.
Cole o código XML da funcionalidade a partir da qual pretende filtrar eventos na secção XML.
Selecione OK. Especifique um nome para o filtro. Esta ação cria uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
XML para eventos de regra de redução da superfície de ataque
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acesso controlado a pastas
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção contra exploits
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção de rede
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista de eventos de redução da superfície de ataque
Todos os eventos de redução da superfície de ataque estão localizados em Aplicações e Serviços > Regista o Microsoft > Windows e, em seguida, a pasta ou fornecedor, conforme listado na tabela seguinte.
Pode aceder a estes eventos no Visualizador de Eventos do Windows:
Abra o menu Iniciar, escreva visualizador de eventos e, em seguida, selecione o resultado Visualizador de Eventos.
Expanda Registos de Aplicações e Serviços > do Microsoft > Windows e, em seguida, aceda à pasta listada em Fornecedor/origem na tabela abaixo.
Faça duplo clique no sub item para ver eventos. Percorra os eventos para encontrar o que procura.
| Funcionalidade | Fornecedor/origem | ID do Evento | Descrição |
|---|---|---|---|
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 1 | Auditoria ACG |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 2 | APLICAÇÃO ACG |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 3 | Não permitir a auditoria de processos subordinados |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 4 | Não permitir o bloqueio de processos subordinados |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 5 | Bloquear auditoria de imagens de integridade baixa |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 6 | Bloquear bloco de imagens de baixa integridade |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 7 | Bloquear auditoria de imagens remotas |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 8 | Bloquear bloco de imagens remotas |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 9 | Desativar auditoria de chamadas do sistema win32k |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 10 | Desativar o bloco de chamadas do sistema win32k |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 11 | Auditoria de proteção de integridade do código |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 12 | Bloco de proteção de integridade do código |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 13 | Auditoria do EAF |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 14 | Imposição do EAF |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 15 | Auditoria EAF+ |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 16 | Impor EAF+ |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 17 | Auditoria do IAF |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 18 | IAF – impor |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 19 | Auditoria ROP StackPivot |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 20 | Imposição rop stackPivot |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 21 | Auditoria rop callercheck |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 22 | Verificação do Autor da Chamada ROP– impor |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 23 | Auditoria ROP SimExec |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 24 | Impor ROP SimExec |
| Proteção contra exploits | WER-Diagnostics | 5 | Bloco CFG |
| Proteção contra exploits | Win32K (Operacional) | 260 | Tipo de Letra Não Fidedigno |
| Proteção da rede | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Proteção da rede | Windows Defender (Operacional) | 1125 | Evento quando a Proteção de rede é acionada no modo de Auditoria |
| Proteção da rede | Windows Defender (Operacional) | 1126 | Evento quando a Proteção de rede é acionada no modo de Bloqueio |
| Acesso controlado a pastas | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1124 | Evento de acesso a pastas controladas auditadas |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1123 | Evento de acesso a pastas controladas bloqueadas |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1127 | Evento de bloco de escrita do setor de acesso a pastas controlado bloqueado |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1128 | Auditado evento de bloco de escrita do setor de acesso a pastas controladas |
| Redução da superfície de ataque | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Redução da superfície de ataque | Windows Defender (Operacional) | 1122 | Evento quando a regra é acionada no modo de Auditoria |
| Redução da superfície de ataque | Windows Defender (Operacional) | 1121 | Evento quando a regra é acionada no modo de Bloqueio |
Nota
Do ponto de vista do utilizador, as notificações do modo aviso de redução da superfície de ataque são feitas como uma Notificação de Alerta do Windows para regras de redução da superfície de ataque.
Na redução da superfície de ataque, a Proteção de Rede fornece apenas modos de Auditoria e Bloqueio.
Recursos para saber mais sobre a redução da superfície de ataque
Conforme mencionado no vídeo, o Defender para Endpoint inclui várias capacidades de redução da superfície de ataque. Utilize os seguintes recursos para saber mais:
| Artigo | Descrição |
|---|---|
| Controlo de aplicação | Utilize o controlo de aplicações para que as suas aplicações ganhem confiança para poderem ser executadas. |
| Referência das regras de redução da superfície de ataque | Fornece detalhes sobre cada regra de redução da superfície de ataque. |
| Guia de implementação das regras de redução da superfície de ataque | Apresenta informações de descrição geral e pré-requisitos para implementar regras de redução da superfície de ataque, seguido de orientações passo a passo para testes (modo de auditoria), ativação (modo de bloqueio) e monitorização. |
| Acesso controlado a pastas | Ajude a impedir que aplicações maliciosas ou suspeitas (incluindo software maligno de ransomware encriptado por ficheiros) façam alterações aos ficheiros nas pastas do sistema de chaves (Requer Microsoft Defender Antivírus). |
| Controlo de dispositivos | Protege contra a perda de dados ao monitorizar e controlar os suportes de dados utilizados em dispositivos, como armazenamento amovível e unidades USB, na sua organização. |
| Proteção contra exploits | Ajude a proteger os sistemas operativos e as aplicações que a sua organização utiliza contra a exploração. O Exploit Protection também funciona com soluções antivírus de terceiros. |
| Isolamento baseado em hardware | Proteja e mantenha a integridade de um sistema à medida que começa e enquanto está em execução. Valide a integridade do sistema através do atestado local e remoto. Utilize o isolamento de contentores para o Microsoft Edge para ajudar a proteger contra sites maliciosos. |
| Proteção da rede | Expanda a proteção ao tráfego de rede e conectividade nos dispositivos da sua organização. (Requer Microsoft Defender Antivírus). |
| Testar regras de redução da superfície de ataque | Fornece passos para utilizar o modo de auditoria para testar as regras de redução da superfície de ataque. |
| Proteção Web | A proteção Web permite-lhe proteger os seus dispositivos contra ameaças à Web e ajuda-o a regular conteúdos indesejados. |
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.