攻击面减少规则报告

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

平台：

• Windows

攻击面减少规则报告提供有关应用于组织中设备 的攻击面减少规则 的信息。 此报表还提供了有关以下内容的信息：

• 检测到的威胁
• 阻止的威胁
• 未配置为使用标准保护规则来阻止威胁的设备

此外，此报表提供了一个易于使用的界面，使你能够：

• 查看威胁检测
• 查看 ASR 规则的配置
• 配置 (添加) 排除项
• 向下钻取以收集详细信息

有关单个攻击面减少规则的详细信息，请参阅 攻击面减少规则参考。

先决条件

报表访问权限

若要访问 Microsoft Defender 门户中的攻击面减少规则报告，需要以下权限：

可以使用 Microsoft Entra ID 或 Microsoft Defender 门户分配权限。

• 若要使用Microsoft Entra ID，请参阅 向用户分配Microsoft Entra 角色
• 若要使用 Microsoft Defender 门户，请参阅 分配用户访问权限。

导航到攻击面减少规则报告

导航到攻击面减少规则报告的摘要卡

1. 打开 Microsoft Defender XDR 门户。
2. 在左侧面板中，单击“报表”，并在主部分的“ 报告” 下选择“ 安全报表”。
3. 向下滚动到 “设备” ，找到 “攻击面减少规则 ”摘要卡片。

下图显示了 ASR 规则的摘要报表卡。

ASR 规则报告摘要卡

ASR 规则报告摘要分为两个卡片：

• ASR 规则检测 摘要卡
• ASR 规则配置 摘要卡

ASR 规则检测摘要卡

显示 ASR 规则阻止的检测到的威胁数的摘要。

提供两个“操作”按钮：

• 查看检测 - 打开 “攻击面减少规则> ”主“ 检测 ”选项卡
• 添加排除项 - 打开 “攻击面减少规则> ”主 “排除 项”选项卡

单击卡片顶部的 “ASR 规则检测 ”链接还会打开主 “攻击面减少规则”“检测”选项卡。

ASR 规则配置摘要卡

顶部部分 重点介绍三个建议的规则，这些规则可防止常见的攻击技术。 此卡显示组织中具有以下 三个 (ASR 的计算机的当前状态信息，这些计算机) 标准保护规则 设置为 “阻止模式”、“ 审核模式”或 “关闭 ”， (未) 配置。“ 保护设备 ”按钮仅显示三个规则的完整配置详细信息;客户可以快速采取措施来启用这些规则。

底部部分 根据每个规则的未受保护的设备数显示六个规则。 “查看配置”按钮显示所有 ASR 规则的所有配置详细信息。 “添加排除项”按钮显示添加排除页，其中列出了安全操作中心 (SOC) 要评估的所有检测到的文件/进程名称。 “添加排除”页链接到 intune Microsoft。

提供两个“操作”按钮：

• 查看配置 - 打开 “攻击面减少规则> ”主“ 检测 ”选项卡
• 添加排除项 - 打开 “攻击面减少规则> ”主 “排除 项”选项卡

单击卡片顶部的 ASR 规则配置 链接还会打开主 “攻击面减少规则配置”选项卡。

简化的标准保护选项

配置摘要卡提供了一个按钮，用于使用三个标准保护规则保护 设备 。 至少，Microsoft建议启用以下三个攻击面减少标准保护规则：

• 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
• 阻止滥用被利用的易受攻击的已签名驱动程序
• 通过 Windows Management Instrumentation (WMI) 事件订阅阻止持久性

若要启用三个标准保护规则，请执行以下操作：

1. 选择 “保护设备”。 此时会打开“ 配置 ”主选项卡。
2. 在“ 配置 ”选项卡上， “基本规则 ”自动从 “所有规则 ”切换到“ 启用的标准保护规则 ”。
3. 在 “设备 ”列表中，选择要应用标准保护规则的设备，然后选择“ 保存”。

此卡有另外两个导航按钮：

• 查看配置 - 打开 攻击面减少规则> 主 配置 选项卡。
• 添加排除 项 - 打开 “攻击面减少规则> ”主 “排除 项”选项卡。

单击卡片顶部的 ASR 规则配置 链接还会打开主 “攻击面减少规则配置”选项卡。

攻击面减少规则主选项卡

虽然 ASR 规则报告摘要卡有助于快速汇总 ASR 规则状态，但主选项卡提供了更深入的信息以及筛选和配置功能：

• “检测”选项卡
• “配置”选项卡
• “排除”选项卡

搜索功能

搜索功能将添加到 “检测”、“ 配置”和“ 添加排除 ”主选项卡。 使用此功能，可以使用设备 ID、文件名或进程名称进行搜索。

筛选

筛选提供了一种方法来指定返回的结果：

• 使用 Date 可以为数据结果指定日期范围。
• 筛选器

攻击面减少规则主检测选项卡

• 审核检测 显示在 审核 模式下设置的规则捕获了多少个威胁检测。
• 阻止的检测 显示在 阻止 模式下设置的规则阻止了多少个威胁检测。
• 大型合并图 显示阻止和审核的检测。

图形提供所显示日期范围的检测数据，以及将鼠标悬停在特定位置以收集特定于日期的信息的功能。

报告的底部部分列出了检测到的威胁（基于每个设备）和以下字段：

有关 ASR 规则审核和阻止模式的详细信息，请参阅 攻击面减少规则模式。

可操作浮出控件

“检测”主页包含过去 30 天内 (文件/进程) 的所有检测列表。 选择任何检测以使用向下钻取功能打开。

“ 可能的排除和影响 ”部分提供所选文件或进程的影响。 可以执行下列操作：

• 选择“ 执行搜寻 ”，打开“高级搜寻”查询页
• 打开文件页 将打开Microsoft Defender for Endpoint 检测
• “添加排除”按钮与“添加排除”主页链接。

下图演示了“高级搜寻”查询页如何从可操作浮出控件上的链接打开：

有关高级搜寻的详细信息，请参阅 在 Microsoft Defender XDR 中使用高级搜寻主动搜寻威胁

攻击面减少规则主配置选项卡

ASR 规则主 配置 选项卡提供摘要和每个设备的 ASR 规则配置详细信息。 “配置”选项卡主要有三个方面：

基本规则 提供在 “基本规则” 和“ 所有规则”之间切换结果的方法。 默认情况下，选择 “基本规则 ”。

设备配置概述 提供处于以下状态之一的设备当前快照：

• 所有公开的设备 (缺少先决条件、审核模式下的规则、配置错误的规则或未配置)
• 未配置规则的设备
• 处于审核模式且规则为的设备
• 规则处于块模式的设备

“配置”选项卡的下半部分未命名，其中列出了每个设备 (的当前状态，) ：

• 设备 (名称)
• 总体配置 (任何规则是打开还是全部关闭)
• 块模式下的规则 (设置为阻止) 的每个设备的规则数
• 审核模式下的规则 (审核模式下的规则数)
• 关闭的规则 (已关闭或未启用的规则)
• 设备 ID (设备 GUID)

下图显示了这些元素。

若要启用 ASR 规则，请执行以下操作：

1. 在“ 设备”下，选择要为其应用 ASR 规则的一个或多个设备。
2. 在浮出控件窗口中，验证你的选择，然后选择 “添加到策略”。

下图显示了 “配置 ”选项卡和 “添加规则 ”浮出控件。

[注意！] 如果设备需要应用不同的 ASR 规则，则应单独配置这些设备。

攻击面减少规则“添加排除项”选项卡

“ 添加排除 项”选项卡按文件名显示检测的排名列表，并提供配置排除项的方法。 默认情况下，将列出三个字段的 “添加排除 项”信息：

• 文件名 触发 ASR 规则事件的文件的名称。
• 检测 为命名文件检测到的事件总数。 单个设备可以触发多个 ASR 规则事件。
• 设备 发生检测的设备数。

选择文件时，将打开 “摘要 & 预期影响 ”浮出，其中显示以下类型的信息：

• 所选文件 已选择排除的文件数
• () 检测数指出添加所选排除 () 后检测的预期减少。 实际检测和排除后检测的检测减少以图形方式表示
• (受影响的) 设备数说明报告所选排除项检测的设备的预期减少。

“添加排除”页有两个按钮，用于在选择) 后，可用于任何检测到的文件 (的操作。 可以执行下列操作：

• 添加将 打开 intune ASR 策略页Microsoft排除项。 有关详细信息，请参阅“启用 ASR 规则备用配置方法”中的 Intune 。
• 获取将 下载 csv 格式的文件路径的排除路径

另请参阅

• 攻击面减少规则部署概述
• 规划攻击面减少规则部署
• 测试攻击面减少规则
• 启用攻击面减少规则
• 操作攻击面减少规则
• ASR) 规则报告 (攻击面减少
• 攻击面减少规则参考