Saldırı yüzeyi azaltma kurallarını uygulama

Şunlar için geçerlidir:

Saldırı yüzeyi azaltma kurallarının uygulanması, ilk test halkasını etkin, işlevsel bir duruma taşır.

Saldırı yüzeyi azaltma kurallarını uygulama yordamı

1. Adım: Denetimden Blok'a geçiş saldırısı yüzey azaltma kuralları

  1. Denetim modundayken tüm dışlamalar belirlendikten sonra, tetiklenen en az olayı içeren kuraldan başlayarak bazı saldırı yüzeyi azaltma kurallarını "engelleme" moduna ayarlamaya başlayın. Bkz . Saldırı yüzeyi azaltma kurallarını etkinleştirme.
  2. Microsoft Defender portalındaki raporlama sayfasını gözden geçirin; bkz. Uç Nokta için Microsoft Defender'da tehdit koruma raporu. Ayrıca şampiyonlarınızdan gelen geri bildirimleri de gözden geçirin.
  3. Dışlamaları daraltma veya gerektiğinde yeni dışlamalar oluşturma.
  4. Sorunlu kuralları Denetim'e geri dönün.

Not

Sorunlu kurallar (çok fazla gürültü oluşturan kurallar) için, kuralları kapatmak veya Denetim'e geri dönmek yerine dışlamalar oluşturmak daha iyidir. Ortamınız için en iyi olanı belirlemeniz gerekir.

İpucu

Kullanılabilir olduğunda, kesintileri sınırlamak için kurallardaki Uyarı modu ayarından yararlanın. Uyarı modunda saldırı yüzeyi azaltma kurallarını etkinleştirmek, son kullanıcı erişimini engellemeden tetiklenen olayları yakalamanıza ve olası kesintilerini görüntülemenize olanak tanır. Daha fazla bilgi edinin: Kullanıcılar için uyarı modu.

Uyarı modu nasıl çalışır?

Uyarı modu etkili bir Şekilde Engelleme yönergesidir, ancak kullanıcının verilen akışın veya uygulamanın sonraki yürütmelerini "engellemesini kaldırma" seçeneğiyle birlikte. Uyarı modu cihaz, kullanıcı, dosya ve işlem birleşimi başına engellemeleri kaldırır. Uyarı modu bilgileri yerel olarak depolanır ve süresi 24 saattir.

2. Adım: Dağıtımı n + 1 kademesine genişlet

Kademe 1 için saldırı yüzeyi azaltma kurallarını doğru yapılandırdığınızda dağıtımınızın kapsamını bir sonraki halkaya genişletebilirsiniz (halka n + 1).

1- 3. adım olan dağıtım işlemi, sonraki her kademe için temelde aynıdır:

  1. Denetim'de test kuralları
  2. Microsoft Defender portalında saldırı yüzeyi azaltma ile tetiklenen denetim olaylarını gözden geçirin
  3. dışlamaları İçerik Oluşturucu
  4. Gözden geçirme: Gerektiğinde dışlamaları daraltma, ekleme veya kaldırma
  5. Kuralları "engelle" olarak ayarlayın
  6. Microsoft Defender portalındaki raporlama sayfasını gözden geçirin.
  7. dışlamaları İçerik Oluşturucu.
  8. Sorunlu kuralları devre dışı bırakın veya yeniden Denetim'e geçin.

Saldırı yüzeyi azaltma kurallarını özelleştirme

Saldırı yüzeyi azaltma kuralları dağıtımınızı genişletmeye devam ettikçe, etkinleştirdiğiniz saldırı yüzeyi azaltma kurallarını özelleştirmeyi gerekli veya yararlı bulabilirsiniz.

Dosya ve klasörleri dışlama

Saldırı yüzeyi azaltma kuralları tarafından değerlendirilen dosya ve klasörleri dışlamamayı seçebilirsiniz. Dışlandığında, bir saldırı yüzeyi azaltma kuralı dosyanın kötü amaçlı davranış içerdiğini algılasa bile dosyanın çalışması engellenmez.

Örneğin fidye yazılımı kuralını göz önünde bulundurun:

Fidye yazılımı kuralı, kurumsal müşterilerin iş sürekliliğini sağlarken fidye yazılımı saldırılarının risklerini azaltmasına yardımcı olmak için tasarlanmıştır. Varsayılan olarak, fidye yazılımı kural hataları uyarı tarafında ve henüz yeterli saygınlığa ve güvene ulaşmamış dosyalara karşı koruma sağlar. Yeniden başlatmak için fidye yazılımı kuralı yalnızca milyonlarca müşterilerimizin kullanım ölçümlerine bağlı olarak yeterli olumlu itibar ve yaygınlık kazanmamış dosyalarda tetikler. Her dosyanın "saygınlık ve güven" değerleri sorunlu olmayan kullanım arttıkça artımlı olarak yükseltildiğinden bloklar genellikle kendi kendine çözülür.

Blokların zamanında kendi kendine çözümlenmediği durumlarda, müşteriler kendi riskleriyle self servis mekanizmasını veya dosyaların engellemesini kaldırmak için Risk Göstergesi (IOC) tabanlı "izin verilenler listesi" özelliğini kullanabilir.

Uyarı

Dosyaların veya klasörlerin dışlanması veya engeli kaldırıldığında güvenli olmayan dosyaların çalıştırılmasına ve cihazlarınıza bulaşmasına izin verebilir. Dosyaları veya klasörleri dışlama, saldırı yüzeyini azaltma kuralları tarafından sağlanan korumayı ciddi ölçüde azaltabilir. Bir kural tarafından engellenen dosyaların çalıştırılmasına izin verilir ve hiçbir rapor veya olay kaydedilmez.

Dışlama, dışlamalara izin veren tüm kurallar için geçerli olabilir veya kural başına dışlamaları kullanarak belirli kurallara uygulanabilir. Tek bir dosya, klasör yolu veya kaynak için tam etki alanı adı belirtebilirsiniz.

Dışlama yalnızca dışlanan uygulama veya hizmet başlatıldığında uygulanır. Örneğin, zaten çalışmakta olan bir güncelleştirme hizmeti için bir dışlama eklerseniz, hizmet durdurulup yeniden başlatılana kadar güncelleştirme hizmeti olayları tetiklemeye devam eder.

Saldırı yüzeyini azaltma, ortam değişkenlerini ve joker karakterleri destekler. Joker karakterleri kullanma hakkında daha fazla bilgi için bkz. Dosya adı ve klasör yolu veya uzantı dışlama listelerindeki joker karakterleri kullanma. Algılanmaması gerektiğini inandığınız dosyaları algılayan kurallarla ilgili sorunlarla karşılaşıyorsanız, kuralı test etmek için denetim modunu kullanın.

Her kuralla ilgili ayrıntılar için saldırı yüzeyi azaltma kuralları başvuru makalesine bakın.

Dosyaları ve klasörleri dışlamak için grup ilkesi kullanma
  1. grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu açın. Yapılandırmak istediğiniz grup ilkesi Nesnesine sağ tıklayın ve Düzenle'yi seçin.

  2. Grup İlkesi Yönetimi Düzenleyicisi'nde Bilgisayar yapılandırması'na gidin ve Yönetim şablonları'nı seçin.

  3. Ağacı Windows bileşenlerine>genişletin Microsoft Defender Virüsten Koruma>Microsoft Defender Exploit Guard>Saldırı yüzeyi azaltma.

  4. Saldırı yüzeyi azaltma Kuralları'ndan dosyaları ve yolları dışla ayarına çift tıklayın ve seçeneği Etkin olarak ayarlayın. Göster'i seçin ve Değer adı sütununa her dosyayı veya klasörü girin. Her öğe için Değer sütununa 0 girin.

Uyarı

Değer adı sütunu veya Değer sütunu için desteklenmediğinden tırnak işaretleri kullanmayın.

Dosyaları ve klasörleri dışlamak için PowerShell kullanma
  1. Başlat menüsüne powershell yazın, Windows PowerShell'e sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.

  2. Aşağıdaki cmdlet'i girin:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Listeye daha fazla klasör eklemek için kullanmaya Add-MpPreference -AttackSurfaceReductionOnlyExclusions devam edin.

    Önemli

    Listeye uygulama eklemek veya eklemek için kullanın Add-MpPreference . cmdlet'ini Set-MpPreference kullanmak varolan listenin üzerine yazılır.

Dosyaları ve klasörleri dışlamak için MDM CSP'lerini kullanma

Dışlama eklemek için ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions yapılandırma hizmeti sağlayıcısını (CSP) kullanın.

Bildirimi özelleştirme

Bir kuralın tetiklenip bir uygulama veya dosyayı engellemesi için bildirimi özelleştirebilirsiniz. Windows Güvenliği makalesine bakın.

Bu dağıtım koleksiyonundaki ek makaleler

Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış

Saldırı yüzeyi azaltma kuralları dağıtımı planlama

Test saldırısı yüzeyi azaltma kuralları

Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme

Saldırı yüzeyi azaltma kuralları başvurusu

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.