Saldırı yüzeyi azaltma kuralları raporu
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Platform:
- Windows
Saldırı yüzeyi azaltma kuralları raporu, kuruluşunuzdaki cihazlara uygulanan saldırı yüzeyi azaltma kuralları hakkında bilgi sağlar. Bu rapor aşağıdakiler hakkında da bilgi sağlar:
- algılanan tehditler
- engellenen tehditler
- tehditleri engellemek için standart koruma kurallarını kullanacak şekilde yapılandırılmamış cihazlar
Ayrıca, bu rapor aşağıdakileri gerçekleştirmenizi sağlayan kullanımı kolay bir arabirim sağlar:
- Tehdit algılamalarını görüntüleme
- ASR kurallarının yapılandırmasını görüntüleme
- Dışlamaları yapılandırma (ekleme)
- Ayrıntılı bilgi toplamak için detaya gitme
Bireysel saldırı yüzeyi azaltma kuralları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralları başvurusu.
Önkoşullar
Önemli
Saldırı yüzeyi azaltma kuralları raporuna erişmek için Microsoft Defender portalı için okuma izinleri gereklidir. Windows Server 2012 R2 ve Windows Server 2016'nın saldırı yüzeyi azaltma kuralları raporunda görünmesi için bu cihazların modern birleşik çözüm paketi kullanılarak eklenmesi gerekir. Daha fazla bilgi için bkz. Windows Server 2012 R2 ve 2016 için modern birleşik çözümde yeni işlevler.
Rapor erişim izinleri
Microsoft Defender portalında saldırı yüzeyi azaltma kuralları raporuna erişmek için aşağıdaki izinler gereklidir:
İzin türü | İzin | İzin görünen adı |
---|---|---|
Uygulama | Machine.Read.All |
Read all machine profiles |
Temsilci (iş veya okul hesabı) | Machine.Read |
Read machine information |
Microsoft Entra Id veya Microsoft Defender portalını kullanarak izinleri atayabilirsiniz.
- Microsoft Entra Id'yi kullanmak için bkz. Kullanıcılara Microsoft Entra rolleri atama
- Microsoft Defender portalını kullanmak için bkz. Kullanıcı erişimi atama.
Saldırı yüzeyi azaltma kuralları raporuna gidin
Saldırı yüzeyi azaltma kuralları raporunun özet kartlarına gitmek için
- Microsoft Defender XDR portalını açın.
- Sol paneldeRaporlar'a tıklayın ve ana bölümde, Raporlar'ın altında Güvenlik raporu'na tıklayın.
- Saldırı yüzeyi azaltma kuralları özet kartlarını bulmak için aşağı kaydırarak Cihazlar'a gidin.
ASR kurallarının özet rapor kartları aşağıdaki şekilde gösterilmiştir.
ASR kuralları rapor özet kartları
ASR kuralları rapor özeti iki karta ayrılır:
ASR kuralları algılamaları özet kartı
ASR kuralları tarafından engellenen algılanan tehdit sayısının özetini gösterir.
İki 'eylem' düğmesi sağlar:
- Algılamaları görüntüle - Saldırı yüzeyi azaltma kuralları> ana Algılamalar sekmesini açar
- Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar
Kartın üst kısmındaki ASR kuralları algılamaları bağlantısına tıklanması, ana Saldırı yüzeyi azaltma kuralları Algılamalar sekmesini de açar.
ASR kuralları yapılandırma özet kartı
Üst bölüm , yaygın saldırı tekniklerine karşı koruma sağlayan önerilen üç kurala odaklanır. Bu kart, kuruluşunuzdaki aşağıdaki Üç (ASR) standart koruma kuralıBlok modunda, Denetim modunda veya kapalı (yapılandırılmamış) olarak ayarlanmış bilgisayarlar hakkındaki güncel durum bilgilerini gösterir. Cihazları koru düğmesi yalnızca üç kural için tam yapılandırma ayrıntılarını gösterir; müşteriler bu kuralları etkinleştirmek için hızlı bir şekilde işlem yapabilir.
Alt bölümde, kural başına korumasız cihaz sayısına göre altı kural gösterilir. "Yapılandırmayı görüntüle" düğmesi, tüm ASR kuralları için tüm yapılandırma ayrıntılarını gösterir. "Dışlama ekle" düğmesi, Güvenlik İşlem Merkezi(SOC) tarafından değerlendirilecek tüm algılanan dosya/işlem adlarının listelendiği dışlama ekle sayfasını gösterir. Dışlama ekle sayfası Microsoft Intune'a bağlıdır.
İki 'eylem' düğmesi sağlar:
- Yapılandırmayı görüntüle - Saldırı yüzeyi azaltma kuralları> ana Algılamalar sekmesini açar
- Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar
Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısına tıklanması ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.
Basitleştirilmiş standart koruma seçeneği
Yapılandırma özeti kartı , Cihazları üç standart koruma kuralıyla korumak için bir düğme sağlar. Microsoft en azından bu üç saldırı yüzeyi azaltma standart koruma kuralını etkinleştirmenizi önerir:
- Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme
- Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
- Windows Yönetim Araçları (WMI) olay aboneliği aracılığıyla kalıcılığı engelleme
Üç standart koruma kuralını etkinleştirmek için:
- Cihazları koru'yu seçin. Ana Yapılandırma sekmesi açılır.
- Yapılandırma sekmesinde, Temel kurallar otomatik olarak Tüm kurallar'danStandart koruma kuralları etkin seçeneğine geçiş yapar.
- Cihazlar listesinde, standart koruma kurallarının uygulanmasını istediğiniz cihazları seçin ve ardından Kaydet'i seçin.
Bu kartta iki gezinti düğmesi daha vardır:
- Yapılandırmayı görüntüle - Saldırı yüzeyi azaltma kuralları> ana Yapılandırma sekmesini açar.
- Dışlama ekleme - Saldırı yüzeyi azaltma kuralları> ana Dışlamalar sekmesini açar.
Kartın üst kısmındaki ASR kuralları yapılandırma bağlantısına tıklanması ana Saldırı yüzeyi azaltma kuralları Yapılandırma sekmesini de açar.
Saldırı yüzeyi azaltma kuralları ana sekmeleri
ASR kuralları rapor özet kartları ASR kuralları durumunuzun hızlı özetini almak için yararlı olsa da, ana sekmeler filtreleme ve yapılandırma özellikleriyle daha ayrıntılı bilgiler sağlar:
Arama özellikleri
Arama özelliği Algılama, Yapılandırma ve Dışlama ekle ana sekmelerine eklenir. Bu özellik sayesinde cihaz kimliğini, dosya adını veya işlem adını kullanarak arama yapabilirsiniz.
Süzme
Filtreleme, hangi sonuçların döndürüleceğini belirtmeniz için bir yol sağlar:
- Tarih , veri sonuçları için bir tarih aralığı belirtmenize olanak tanır.
- Filtreler
Not
Kurala göre filtreleme yaparken, raporun alt yarısında listelenen tek tek algılanan öğelerin sayısı şu anda 200 kuralla sınırlıdır. Algılamaların tam listesini Excel'e kaydetmek için Dışarı Aktar'ı kullanabilirsiniz.
İpucu
Filtre şu anda bu sürümde çalıştığından, her "gruplandırma ölçütü" istediğinizde, tam veri kümesini yüklemek için önce listede son algılamaya kadar aşağı kaydırmanız gerekir. Veri kümesinin tamamını yükledikten sonra "sıralama ölçütü" filtrelemesini başlatabilirsiniz. Her kullanımda veya filtreleme seçeneklerini değiştirirken (örneğin, geçerli filtre çalıştırmasına uygulanan ASR kuralları) son algılamaya kaydırmıyorsanız, listelenen algılamaların birden fazla görüntülenebilir sayfası olan sonuçlarda sonuçlar yanlış olur.
Saldırı yüzeyi azaltma kuralları ana algılamalar sekmesi
- Denetim AlgılamalarıDenetim modunda ayarlanan kurallar tarafından kaç tehdit algılaması yakalandığını gösterir.
- Engellenen AlgılamalarEngelle modunda ayarlanan kurallar tarafından kaç tehdit algılamanın engellendiğini gösterir.
- Büyük, birleştirilmiş grafik Engellenen ve denetlenen algılamaları gösterir.
Grafikler, görüntülenen tarih aralığı üzerinde algılama verileri sağlar ve tarihe özgü bilgileri toplamak için belirli bir konumun üzerine gelme özelliği sunar.
Raporun alt bölümünde algılanan tehditler (cihaz başına temelinde) aşağıdaki alanlarla listelenir:
Alan adı | Tanım |
---|---|
Algılanan dosya | Olası veya bilinen bir tehdit içerdiği belirlenen dosya |
Algılanan | Tehdidin algılandığı tarih |
Engellendi/Denetlendi mi? | Belirli bir olay için algılama kuralının Engelleme veya Denetim modunda olup olmadığı |
Kural | Tehdidi algılayan kural |
Kaynak uygulama | Rahatsız edici "algılanan dosyaya" çağrı yapan uygulama |
Cihaz | Denetim veya Engelleme olayının gerçekleştiği cihazın adı |
Cihaz grubu | Cihazın ait olduğu Active Directory grubu |
Kullanıcı | Aramadan sorumlu makine hesabı |
Publisher | Belirli bir .exe veya uygulamayı yayınlayan şirket |
ASR kural denetimi ve blok modları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralı modları.
Eyleme dönüştürülebilir açılır öğe
"Algılama" ana sayfasında son 30 gün içindeki tüm algılamaların (dosyalar/işlemler) listesi bulunur. Detaya gitme özellikleriyle açmak için algılamalardan herhangi birini seçin.
Olası dışlama ve etki bölümü, seçilen dosya veya işlemin etkisini sağlar. Şunları yapabilirsiniz:
- Gelişmiş Tehdit Avcılığı sorgu sayfasını açan Avlanmaya Git'i seçin
- Dosya aç sayfası Uç Nokta algılaması için Microsoft Defender'ın açılmasını sağlar
- Dışlama ekle düğmesi, dışlama ekleme ana sayfasıyla bağlantılıdır.
Aşağıdaki görüntüde, eyleme dönüştürülebilir açılır öğedeki bağlantıdan Gelişmiş Tehdit Avcılığı sorgu sayfasının nasıl açıldığını gösterilmektedir:
Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'de gelişmiş avcılık ile tehditleri proaktif olarak avlama
Saldırı yüzeyi azaltma kuralları ana Yapılandırma sekmesi
ASR kuralları ana Yapılandırma sekmesi, özet ve cihaz başına ASR kuralları yapılandırma ayrıntıları sağlar. Yapılandırma sekmesinin üç ana yönü vardır:
Temel kurallarTemel kurallar ve Tüm Kurallar arasında sonuçları değiştirmek için bir yöntem sağlar. Varsayılan olarak , Temel kurallar seçilidir.
Cihaz yapılandırmasına genel bakış Aşağıdaki durumlardan birinde cihazların geçerli anlık görüntüsünü sağlar:
- Kullanıma sunulan tüm Cihazlar (önkoşulları eksik olan cihazlar, Denetim modundaki kurallar, yanlış yapılandırılmış kurallar veya yapılandırılmamış kurallar)
- Kuralları yapılandırılmamış cihazlar
- Denetim modunda kuralları olan cihazlar
- Blok modunda kuralları olan cihazlar
Yapılandırma sekmesinin alt, adlandırılmamış bölümü, cihazlarınızın geçerli durumunun bir listesini sağlar (cihaz başına temelinde):
- Cihaz (ad)
- Genel yapılandırma (Herhangi bir kuralın açık veya tümünün kapalı olup olmadığı)
- Blok modundaki kurallar (blok olarak ayarlanan cihaz başına kural sayısı)
- Denetim modundaki kurallar (denetim modundaki kuralların sayısı)
- Kurallar kapalı (kapalı veya etkinleştirilmemiş kurallar)
- Cihaz Kimliği (cihaz GUID'si)
Bu öğeler aşağıdaki şekilde gösterilmiştir.
ASR kurallarını etkinleştirmek için:
- Cihaz'ın altında ASR kurallarını uygulamak istediğiniz cihazı veya cihazları seçin.
- Açılır pencerede seçimlerinizi doğrulayın ve İlkeye ekle'yi seçin.
Yapılandırma sekmesi ve kural ekleme açılır öğesi aşağıdaki görüntüde gösterilmiştir.
[NOTE!] Farklı ASR kurallarının uygulanmasını gerektiren cihazlarınız varsa, bu cihazları tek tek yapılandırmanız gerekir.
Saldırı yüzeyi azaltma kuralları Dışlama ekle sekmesi
Dışlama ekle sekmesi, dosya adına göre sıralı bir algılama listesi sunar ve dışlamaları yapılandırmak için bir yöntem sağlar. Varsayılan olarak, Dışlama ekleme bilgileri üç alan için listelenir:
- Dosya adı ASR kuralları olayını tetikleyen dosyanın adı.
- Algılamalar Adlandırılmış dosya için algılanan olayların toplam sayısı. Tek tek cihazlar birden çok ASR kuralı olayını tetikleyebilir.
- Aygıtları Algılamanın gerçekleştiği cihaz sayısı.
Önemli
Dosya veya klasörlerin dışlanması ASR kuralları tarafından sağlanan korumayı ciddi ölçüde azaltabilir. Dışlanan dosyaların çalıştırılmasına izin verilir ve hiçbir rapor veya olay kaydedilmez. ASR kuralları algılanmaması gerektiğini inandığınız dosyaları algılarsa, kuralı test etmek için önce denetim modunu kullanmanız gerekir.
Bir dosya seçtiğinizde, aşağıdaki bilgi türlerini sunan Bir Özet & beklenen etki açılır:
- Seçili dosyalar Dışlamak için seçtiğiniz dosya sayısı
- (sayısı) algılamaları Seçilen dışlamaları ekledikten sonra algılamalarda beklenen azalmayı belirtir. Algılamalardaki azalma, Gerçek algılamalar ve Dışlamalardan sonra algılamalar için grafik olarak temsil edilir
- (sayısı) etkilenen cihazlar Seçili dışlamalar için algılamaları raporlayan cihazlarda beklenen azalmayı belirtir.
Dışlama ekle sayfasında, algılanan tüm dosyalarda (seçimden sonra) kullanılabilecek eylemler için iki düğme vardır. Şunları yapabilirsiniz:
- Microsoft Intune ASR ilke sayfasını açacak dışlama ekleyin. Daha fazla bilgi için bkz. "ASR kurallarını etkinleştirme alternatif yapılandırma yöntemleri" içindeki Intune .
- Dosya yollarını csv biçiminde indirecek dışlama yollarını alma
Ayrıca bkz.
- Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
- Saldırı yüzeyi azaltma kuralları dağıtımı planlama
- Test saldırısı yüzeyi azaltma kuralları
- Saldırı yüzeyi azaltma kurallarını etkinleştirme
- Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
- Saldırı yüzeyi azaltma (ASR) kuralları raporu
- Saldırı yüzeyi azaltma kuralları başvurusu
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.