Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme

  • Makale

Şunlar için geçerlidir:

Saldırı yüzeyi azaltma kurallarını tam olarak dağıttıktan sonra, ASR ile ilgili etkinlikleri izlemek ve yanıtlamak için gerekli işlemlerin olması çok önemlidir. Etkinlikler şunlardır:

ASR kurallarını yönetme hatalı pozitifler

Herhangi bir tehdit koruması çözümünde hatalı pozitifler/negatifler oluşabilir. Hatalı pozitifler, varlığın (dosya veya işlem gibi) algılandığı ve kötü amaçlı olarak tanımlandığı durumlardır, ancak varlık aslında bir tehdit değildir. Buna karşılık, hatalı negatif, tehdit olarak algılanan ancak kötü amaçlı olan bir varlıktır. Hatalı pozitifler ve hatalı negatifler hakkında daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender

ASR kuralları raporlarını takip etme

Raporların tutarlı ve düzenli bir şekilde gözden geçirilmesi, saldırı yüzeyi azaltma kurallarının dağıtımını korumanın ve yeni ortaya çıkan tehditleri yakından izlemenin önemli bir yönüdür. Kuruluşunuzun saldırı yüzeyi azaltma kuralları olayları hakkında, saldırı yüzeyi azaltma kuralları tarafından bildirilen olaylarla güncel kalmasını sağlayan bir tempoda zamanlanmış incelemeleri olmalıdır. Kuruluşunuzun boyutuna bağlı olarak incelemeler günlük, saatlik veya sürekli izleme olabilir.

ASR kuralları Gelişmiş Avcılık

Microsoft Defender XDR en güçlü özelliklerinden biri gelişmiş avcılıktır. Gelişmiş avcılık hakkında bilginiz yoksa bkz. Gelişmiş avcılık ile tehditleri proaktif olarak avlama.

Microsoft Defender portalındaki Gelişmiş Avcılık sayfası. gelişmiş avcılıkta kullanılan Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kuralları

Gelişmiş avcılık, yakalanan verilerin 30 gününe kadar keşfetmenizi sağlayan sorgu tabanlı (Kusto Sorgu Dili) bir tehdit avcılığı aracıdır. Gelişmiş avcılık sayesinde, ilginç göstergeleri ve varlıkları bulmak için olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avlanmayı kolaylaştırır.

Gelişmiş avcılık sayesinde saldırı yüzeyi azaltma kuralları bilgilerini ayıklamak, raporlar oluşturmak ve belirli bir saldırı yüzeyi azaltma kuralı denetimi veya blok olayının bağlamı hakkında ayrıntılı bilgi almak mümkündür.

Microsoft Defender portalının gelişmiş avlanma bölümünde DeviceEvents tablosundan saldırı yüzeyi azaltma kuralı olaylarını sorgulayabilirsiniz. Örneğin, aşağıdaki sorgu, son 30 gün boyunca saldırı yüzeyi azaltma kurallarına sahip tüm olayların veri kaynağı olarak nasıl raporlandığını gösterir. Sorgu daha sonra ActionType sayısına göre saldırı yüzeyi azaltma kuralının adıyla özetler.

İlerleyen tehdit avcılığı portalında gösterilen saldırı yüzeyi azaltma olayları saatte bir görülen benzersiz süreçlere kısıtlanıyor. Saldırı yüzeyini azaltma olayının zamanı, olayın bu saat içinde ilk kez görülmesidir.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Gelişmiş tehdit avcılığı sorgusu, Microsoft Defender portalında sonuçlanıyor

Yukarıdakiler AsrLsassCredentialTheft için 187 olayın kaydedildiğini göstermektedir:

  • Engellenenler için 102
  • Denetim için 85
  • AsrOfficeChildProcess için iki olay (Denetlenen için 1 ve Blok için 1)
  • AsrPsexecWmiChildProcessAudited için sekiz olay

AsrOfficeChildProcess kuralına odaklanmak ve ilgili gerçek dosya ve işlemlerle ilgili ayrıntıları almak istiyorsanız, ActionType filtresini değiştirin ve özet satırını istenen alanların bir projeksiyonuyla değiştirin (bu durumda Bunlar DeviceName, FileName, FolderPath vb.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

Gelişmiş tehdit avcılığı sorgusu odaklı sonuçlar Microsoft Defender portalında

Gelişmiş avcılık özelliğinin gerçek avantajı, sorguları istediğiniz gibi şekillendirebilmenizdir. Sorgunuzu şekillendirerek, tek bir makinede bir şeyi saptamak veya ortamınızın tamamından içgörüler ayıklamak istemeniz fark etmeksizin neler olduğunu tam olarak görebilirsiniz.

Avlanma seçenekleri hakkında daha fazla bilgi için bkz. Saldırı yüzeyini azaltma kurallarını kaldırma - Bölüm 3.

Bu dağıtım koleksiyonundaki makaleler

Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış

Saldırı yüzeyi azaltma kuralları dağıtımı planlama

Test saldırısı yüzeyi azaltma kuralları

Saldırı yüzeyi azaltma kurallarını etkinleştirme

Saldırı yüzeyi azaltma kuralları başvurusu

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.