Testen von Regeln zur Verringerung der Angriffsfläche

  • Artikel

Gilt für:

Das Testen Microsoft Defender for Endpoint Regeln zur Verringerung der Angriffsfläche hilft Ihnen, festzustellen, ob Regeln branchenspezifische Vorgänge behindern, bevor Sie eine Regel aktivieren. Indem Sie mit einer kleinen, kontrollierten Gruppe beginnen, können Sie potenzielle Arbeitsunterbrechungen begrenzen, wenn Sie Ihre Bereitstellung auf Ihre organization erweitern.

In diesem Abschnitt des Bereitstellungsleitfadens zur Verringerung der Angriffsfläche erfahren Sie, wie Sie:

  • Konfigurieren von Regeln mithilfe von Microsoft Intune
  • Verwenden Microsoft Defender for Endpoint Berichte zu Regeln zur Verringerung der Angriffsfläche
  • Konfigurieren von Ausschlüssen zur Verringerung der Angriffsfläche
  • Aktivieren von Regeln zur Verringerung der Angriffsfläche mithilfe von PowerShell
  • Verwenden von Ereignisanzeige für Ereignisse mit Regeln zur Verringerung der Angriffsfläche

Hinweis

Bevor Sie mit dem Testen von Regeln zur Verringerung der Angriffsfläche beginnen, wird empfohlen, zunächst alle Regeln zu deaktivieren, die Sie zuvor entweder auf Überwachen oder Aktivieren festgelegt haben (falls zutreffend). Informationen zur Verwendung des Berichts zur Verringerung der Angriffsfläche zum Deaktivieren von Regeln zur Verringerung der Angriffsfläche finden Sie unter Berichte zur Verringerung der Angriffsfläche.

Beginnen Sie mit der Bereitstellung ihrer Regeln zur Verringerung der Angriffsfläche mit Ring 1.

Die Microsoft Defender for Endpoint Testschritte zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR-Regeln). Überwachen Sie Regeln zur Verringerung der Angriffsfläche, konfigurieren Sie ASR-Regelausschlüsse. Konfigurieren Sie ASR-Regeln Intune. ASR-Regelausschlüsse. ASR-Regelereignisanzeige.

Schritt 1: Testen von Regeln zur Verringerung der Angriffsfläche mithilfe von Audit

Beginnen Sie die Testphase, indem Sie die Regeln zur Verringerung der Angriffsfläche aktivieren, wobei die Regeln auf Audit festgelegt sind, beginnend mit Ihren Champion-Benutzern oder -Geräten in Ring 1. In der Regel wird empfohlen, alle Regeln (in Audit) zu aktivieren, damit Sie bestimmen können, welche Regeln während der Testphase ausgelöst werden. Regeln, die auf Audit festgelegt sind, wirken sich im Allgemeinen nicht auf die Funktionalität der Entität oder Entitäten aus, auf die die Regel angewendet wird, generieren aber protokollierte Ereignisse für die Auswertung. es gibt keine Auswirkungen auf Endbenutzer.

Konfigurieren von Regeln zur Verringerung der Angriffsfläche mithilfe von Intune

Sie können Microsoft Intune Endpoint Security verwenden, um benutzerdefinierte Regeln zur Verringerung der Angriffsfläche zu konfigurieren.

  1. Öffnen Sie das Microsoft Intune Admin Center.

  2. Navigieren Sie zu Endpunktsicherheit>: Verringerung der Angriffsfläche.

  3. Wählen Sie Richtlinie erstellen.

  4. Wählen Sie unter Plattformdie Optionen Windows 10, Windows 11 und Windows Server aus, und wählen Sie unter Profil die Option Regeln zur Verringerung der Angriffsfläche aus.

    Profilerstellungsseite für ASR-Regeln

  5. Wählen Sie Erstellen aus.

  6. Fügen Sie auf der Registerkarte Grundlagen des Bereichs Profil erstellen unter Name einen Namen für Ihre Richtlinie hinzu. Fügen Sie unter Beschreibung eine Beschreibung für Ihre Richtlinie zur Verringerung der Angriffsfläche hinzu.

  7. Legen Sie auf der Registerkarte Konfigurationseinstellungen unter Regeln zur Verringerung der Angriffsfläche alle Regeln auf Überwachungsmodus fest.

    Konfiguration von Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus

    Hinweis

    Es gibt Abweichungen in einigen Auflistungen der Regel zur Verringerung der Angriffsfläche; Blockiert und Aktiviert stellen die gleiche Funktionalität bereit.

  8. [Optional] Im Bereich Bereichstags können Sie bestimmten Geräten Taginformationen hinzufügen. Sie können auch die rollenbasierte Zugriffssteuerung und Bereichstags verwenden, um sicherzustellen, dass die richtigen Administratoren über den richtigen Zugriff und die richtige Sichtbarkeit für die richtigen Intune Objekte verfügen. Weitere Informationen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT in Intune.

  9. Im Bereich Zuweisungen können Sie das Profil bereitstellen oder Ihren Benutzer- oder Gerätegruppen "zuweisen". Weitere Informationen: Zuweisen von Geräteprofilen in Microsoft Intune

    Hinweis

    Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

  10. Überprüfen Sie Ihre Einstellungen im Bereich Überprüfen + erstellen . Klicken Sie auf Erstellen , um die Regeln anzuwenden.

    Seite

Ihre neue Richtlinie zur Verringerung der Angriffsfläche für Regeln zur Verringerung der Angriffsfläche ist unter Endpunktsicherheit | Verringerung der Angriffsfläche.

Seite zur Verringerung der Angriffsfläche

Schritt 2: Grundlegendes zur Berichterstellungsseite für Regeln zur Verringerung der Angriffsfläche im Microsoft Defender-Portal

Die Berichterstellungsseite für Regeln zur Verringerung der Angriffsfläche finden Sie in Microsoft Defender Portal>Meldet>Regeln zur Verringerung der Angriffsfläche. Diese Seite verfügt über drei Registerkarten:

  • Erkennungen
  • Konfiguration
  • Hinzufügen von Ausschlüssen

Registerkarte "Erkennungen"

Stellt eine 30-tägige Zeitleiste erkannter Überwachungs- und blockierter Ereignisse bereit.

Diagramm, das die Regeln zur Verringerung der Angriffsfläche zeigt, Karte zusammenfassende Erkennungen melden.

Der Bereich "Regeln zur Verringerung der Angriffsfläche" bietet eine Übersicht über erkannte Ereignisse pro Regel.

Hinweis

Es gibt einige Variationen in Berichten zu Regeln zur Verringerung der Angriffsfläche. Microsoft ist dabei, das Verhalten der Berichte zur Verringerung der Angriffsfläche zu aktualisieren, um eine konsistente Erfahrung zu bieten.

Diagramm, das die Regeln zur Verringerung der Angriffsfläche zeigt, Karte.

Wählen Sie Erkennungen anzeigen aus, um die Registerkarte Erkennungen zu öffnen.

Screenshot: Berichtssuche mit Regeln zur Verringerung der Angriffsfläche

Die Bereiche GroupBy und Filter bieten die folgenden Optionen:

GroupBy gibt Ergebnisse zurück, die auf die folgenden Gruppen festgelegt sind:

  • Keine Gruppierung
  • Erkannte Datei
  • Überwachen oder Blockieren
  • Regel
  • Quell-App
  • Gerät
  • Benutzer
  • Publisher

Hinweis

Beim Filtern nach Regel ist die Anzahl der einzelnen erkannten Elemente, die in der unteren Hälfte des Berichts aufgeführt sind, derzeit auf 200 Regeln beschränkt. Sie können exportieren verwenden, um die vollständige Liste der Erkennungen in Excel zu speichern.

Screenshot: Suchfunktion für ASR-Regeln auf der Registerkarte

Filter öffnet die Seite Nach Regeln filtern , auf der Sie die Ergebnisse nur auf die ausgewählten Regeln zur Verringerung der Angriffsfläche festlegen können:

Die Erkennung von Regeln zur Verringerung der Angriffsfläche filtert nach Regeln.

Hinweis

Wenn Sie über eine Microsoft Microsoft 365 Security E5- oder A5-, Windows E5- oder A5-Lizenz verfügen, wird über den folgenden Link die Registerkarte Microsoft Defender 365 Reports >Attack Surface Reductions> Detections geöffnet.

Registerkarte "Konfiguration"

Listen auf Computerbasis den aggregierten Status der Regeln zur Verringerung der Angriffsfläche: Aus, Überwachung, Blockieren.

Screenshot: Bericht zu Regeln zur Verringerung der Angriffsfläche Standard Registerkarte

Auf der Registerkarte Konfigurationen können Sie auf Gerätebasis überprüfen, welche Regeln zur Verringerung der Angriffsfläche und in welchem Modus aktiviert sind, indem Sie das Gerät auswählen, für das Sie die Regeln zur Verringerung der Angriffsfläche überprüfen möchten.

Screenshot: Flyout für ASR-Regeln zum Hinzufügen von ASR-Regeln zu Geräten

Über den Link Erste Schritte wird das Microsoft Intune Admin Center geöffnet, in dem Sie eine Endpoint Protection-Richtlinie zur Verringerung der Angriffsfläche erstellen oder ändern können:

Das Menüelement *Endpunktsicherheit auf der Übersichtsseite

In Endpunktsicherheit | Übersicht, wählen Sie Verringerung der Angriffsfläche aus:

Verringerung der Angriffsfläche in Intune

Die Endpunktsicherheit | Der Bereich zur Verringerung der Angriffsfläche wird geöffnet:

Bereich

Hinweis

Wenn Sie über eine Microsoft Defender 365 E5-Lizenz (oder Windows E5?) verfügen, wird über diesen Link die Registerkarte Microsoft Defender 365 Reports > Attack Surface Reductions >Configurations geöffnet.

Hinzufügen von Ausschlüssen

Diese Registerkarte enthält eine Methode zum Auswählen erkannter Entitäten (z. B. falsch positive Ergebnisse) für den Ausschluss. Wenn Ausschlüsse hinzugefügt werden, enthält der Bericht eine Zusammenfassung der erwarteten Auswirkungen.

Hinweis

Microsoft Defender Antivirus AV-Ausschlüsse werden durch Regeln zur Verringerung der Angriffsfläche berücksichtigt. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen basierend auf Erweiterung, Name oder Standort.

Der Bereich für den Ausschluss der erkannten Datei

Hinweis

Wenn Sie über eine Microsoft Defender 365 E5-Lizenz (oder Windows E5?) verfügen, wird über diesen Link die Registerkarte Microsoft Defender 365 Reports > Attack surface reductions >Ausschlüsse geöffnet.

Weitere Informationen zur Verwendung des Berichts zu Regeln zur Verringerung der Angriffsfläche finden Sie unter Berichte zu Regeln zur Verringerung der Angriffsfläche.

Konfigurieren von Ausschlüssen zur Verringerung der Angriffsfläche pro Regel

Regeln zur Verringerung der Angriffsfläche bieten jetzt die Möglichkeit, regelspezifische Ausschlüsse zu konfigurieren, die als "Ausschlüsse pro Regel" bezeichnet werden.

Hinweis

Ausschlüsse pro Regel können derzeit nicht mithilfe von PowerShell oder Gruppenrichtlinie konfiguriert werden.

So konfigurieren Sie bestimmte Regelausschlüsse:

  1. Öffnen Sie das Microsoft Intune Admin Center, und navigieren Sie zu Start>Endpunktsicherheit>Verringerung der Angriffsfläche.

  2. Wenn sie noch nicht konfiguriert ist, legen Sie die Regel, für die Sie Ausschlüsse konfigurieren möchten, auf Überwachen oder Blockieren fest.

  3. Klicken Sie unter ASR-Ausschluss nur pro Regel auf die Umschaltfläche, um von Nicht konfiguriert in Konfiguriert zu ändern .

  4. Geben Sie die Namen der Dateien oder Anwendungen ein, die Sie ausschließen möchten.

  5. Wählen Sie unten im Assistenten zum Erstellen von Profilendie Option Weiter aus, und folgen Sie den Anweisungen des Assistenten.

Screenshot: Konfigurationseinstellungen zum Hinzufügen von ASR-Ausschlüssen pro Regel

Tipp

Verwenden Sie die Kontrollkästchen neben der Liste der Ausschlusseinträge, um Elemente auszuwählen, die gelöscht, sortiert, importiert oder exportiert werden sollen.

Verwenden von PowerShell als alternative Methode zum Aktivieren von Regeln zur Verringerung der Angriffsfläche

Sie können PowerShell als Alternative zum Intune verwenden, um Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus zu aktivieren, um einen Datensatz von Apps anzuzeigen, die bei vollständiger Aktivierung des Features blockiert worden wären. Sie können sich auch einen Eindruck davon verschaffen, wie oft die Regeln bei normaler Verwendung ausgelöst werden.

Verwenden Sie das folgende PowerShell-Cmdlet, um eine Regel zur Verringerung der Angriffsfläche im Überwachungsmodus zu aktivieren:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Dabei <rule ID> ist ein GUID-Wert der Regel zur Verringerung der Angriffsfläche.

Verwenden Sie das folgende PowerShell-Cmdlet, um alle hinzugefügten Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus zu aktivieren:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Tipp

Wenn Sie vollständig überwachen möchten, wie Regeln zur Verringerung der Angriffsfläche in Ihrem organization funktionieren, müssen Sie ein Verwaltungstool verwenden, um diese Einstellung auf Geräten in Ihren Netzwerken bereitzustellen.

Sie können auch Gruppenrichtlinie, Intune oder MDM-Konfigurationsdienstanbieter (CSPs) verwenden, um die Einstellung zu konfigurieren und bereitzustellen. Weitere Informationen finden Sie im Artikel Standard Regeln zur Verringerung der Angriffsfläche.

Verwenden von Windows Ereignisanzeige Review als Alternative zur Berichtsseite für Die Verringerung der Angriffsfläche im Microsoft Defender-Portal

Um Apps zu überprüfen, die blockiert worden wären, öffnen Sie Ereignisanzeige, und filtern Sie im Protokoll Microsoft-Windows-Windows Defender/Operational nach Ereignis-ID 1121. In der folgenden Tabelle sind alle Netzwerkschutzereignisse aufgeführt.

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1121 Ereignis, wenn eine Regel zur Verringerung der Angriffsfläche im Blockmodus ausgelöst wird
1122 Ereignis, wenn eine Regel zur Verringerung der Angriffsfläche im Überwachungsmodus ausgelöst wird

Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche

Planen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche

Aktivieren der Regeln zur Verringerung der Angriffsfläche

Operationalisieren von Regeln zur Verringerung der Angriffsfläche

Referenz zu Regeln zur Verringerung der Angriffsfläche

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.