Verwenden des Überwachungsmodus

Betrifft

Sie können die Regeln für die Angriffsflächen Reduzierung, den Ausnutzungs Schutz, den Netzwerkschutz und den Zugriff auf gesteuerte Ordner im Überwachungsmodus aktivieren. Auf diese Weise können Sie sehen, was passiert wäre, wenn Sie das Feature aktiviert hätten.

Dies empfiehlt sich, wenn Sie testen möchten, wie die Features in Ihrer Organisation funktionieren, um sicherzustellen, dass Sie keine Auswirkungen auf ihre Branchen-apps haben, und um eine Vorstellung davon zu erhalten, wie viele verdächtige Datei Änderungsversuche in der Regel über einen bestimmten Zeitraum erfolgen.

Die Features blockieren bzw. verhindern zwar nicht, dass Apps, Skripts oder Dateien geändert werden, das Windows-Ereignisprotokoll zeichnet aber Ereignisse auf, als wären die Features vollständig aktiviert. Dies bedeutet, dass Sie den Überwachungsmodus aktivieren und dann im Ereignisprotokoll prüfen können, welche Auswirkungen das Feature bei Aktivierung gehabt hätte.

Wenn Sie die überwachten Einträge finden möchten, wechseln Sie zu Anwendungen und Diensten > Microsoft > Windows > Windows Defender > Operational.

Sie können den erweiterten Bedrohungsschutz von Windows Defender verwenden, um ausführlichere Informationen zu den einzelnen Ereignissen zu erhalten, insbesondere bei der Untersuchung von Angriffs Oberflächen Reduktions Regeln. Mithilfe der Microsoft Defender ATP-Konsole können Sie Probleme im Rahmen der Warnungs Zeitachse und unter Suchszenarien untersuchen.

Dieses Thema enthält Links, die beschreiben, wie Sie die Überwachungsfunktionalität für jedes Feature aktivieren und wie Sie Ereignisse in der Windows-Ereignisanzeige anzeigen.

Sie können Gruppenrichtlinien, PowerShell und Configuration Service Providers (LSP) verwenden, um den Überwachungsmodus zu aktivieren.

Tipp

Sie können auch die Website von Windows Defender Testground unter demo.wd.microsoft.com besuchen, um zu bestätigen, ob die Funktionen und alles funktionieren.

Überwachungsoptionen Vorgehensweise zum Aktivieren des Überwachungsmodus Vorgehensweise zum Anzeigen von Ereignissen
Die Überwachung gilt für alle Ereignisse Zugriff auf gesteuerte Ordner aktivieren Ereignisse des kontrollierten Ordnerzugriffs
Die Überwachung gilt für einzelne Regeln Aktivieren von Regeln für die Angriffsflächen Reduzierung Regel Ereignisse für Angriffsflächen Reduzierung
Die Überwachung gilt für alle Ereignisse Aktivieren des Netzwerkschutzes Netzwerkschutzereignisse
Die Überwachung gilt für einzelne Risikominderungen Aktivieren des Exploit-Schutzes Exploit-Schutz-Ereignisse

Verwandte Themen