Verwenden des Überwachungsmodus

Betrifft

Sie können Aktivieren von Attack Surface Reduction-Regeln, exploit-Schutz, Netzwerkschutz und kontrollierten Ordnerzugriff im Überwachungsmodus. Auf diese Weise können Sie sehen, was passiert wäre, wenn Sie das Feature aktiviert hätten.

Möglicherweise möchten dies tun, wenn Sie testen, wie die Features in Ihrer Organisation, um sicherzustellen, dass es keine Auswirkung auf Ihre Branchen-apps und um eine Vorstellung davon wie viele verdächtige Datei Änderung erhalten Versuche in der Regel auftreten über einen bestimmten Zeitraum funktioniert.

Die Features blockieren bzw. verhindern zwar nicht, dass Apps, Skripts oder Dateien geändert werden, das Windows-Ereignisprotokoll zeichnet aber Ereignisse auf, als wären die Features vollständig aktiviert. Dies bedeutet, dass Sie den Überwachungsmodus aktivieren und dann im Ereignisprotokoll prüfen können, welche Auswirkungen das Feature bei Aktivierung gehabt hätte.

Um die überwachten Einträge zu suchen, wechseln Sie auf Anwendungen und Dienste > Microsoft > Windows > Windows Defender > Operational.

Sie können Windows Defender Advanced Threat Protection verwenden, um mehr Details für jedes Ereignis, insbesondere für die Untersuchung von Attack Surface Reduction-Regeln zu erhalten. Mithilfe der Microsoft Defender ATP-Konsole können Sie Probleme als Teil der Warnung warnungszeitachse und bei untersuchungsszenarien untersuchen.

Dieses Thema enthält Links, die beschreiben, wie Sie die Überwachungsfunktionalität für jedes Feature aktivieren und wie Sie Ereignisse in der Windows-Ereignisanzeige anzeigen.

Sie können die Gruppenrichtlinie, PowerShell, und die Konfigurationsdienstanbieter (CSPs) verwenden, den Überwachungsmodus aktivieren.

Tipp

Sie können auch die Website von Windows Defender Testground unter demo.wd.microsoft.com besuchen, um zu bestätigen, ob die Funktionen und alles funktionieren.

Überwachungsoptionen Vorgehensweise zum Aktivieren des Überwachungsmodus Vorgehensweise zum Anzeigen von Ereignissen
Die Überwachung gilt für alle Ereignisse Aktivieren des kontrollierten Ordnerzugriffs Ereignisse des kontrollierten Ordnerzugriffs
Die Überwachung gilt für einzelne Regeln Aktivieren von Attack Surface Reduction-Regeln Attack Surface Reduction-Regel-Ereignisse
Die Überwachung gilt für alle Ereignisse Netzwerkschutz aktivieren Netzwerkschutzereignisse
Die Überwachung gilt für einzelne Risikominderungen Aktivieren von Exploit-Schutz Exploit-Schutz-Ereignisse

Verwandte Themen