Evaluar las reglas de reducción de superficie de ataque

Se aplica a:

Las reglas de reducción de superficie de ataques ayudan a evitar las acciones y aplicaciones que suelen usar los ataques de malware para infectar equipos. Las reglas de reducción de superficie de ataques son compatibles con los clientes Windows Server 2019 y Windows 10.

Este tema te ayuda a evaluar las reglas de reducción de superficie de ataques. Explica cómo habilitar el modo auditoría para que pueda probar la característica directamente en su organización.

Sugerencia

También puedes visitar el sitio web de base de pruebas de Windows Defender en demo.wd.microsoft.com para confirmar que la función actúa y ver cómo funciona.

Usar el modo auditoría para medir la incidencia

Puede habilitar las reglas de reducción de superficie de ataque en el modo auditoría. Esto le permite ver un registro de las aplicaciones que se habrían bloqueado si hubiera habilitado las reglas de reducción de superficie de ataque.

Puede interesarte hacer esto al probar cómo trabajará la función en la organización, para garantizar que no afecte a las aplicaciones de la línea de negocio y para hacerte una idea de cuán a menudo se desencadenarán las reglas durante el uso normal.

Para habilitar el modo de auditoría, usa el siguiente cmdlet de PowerShell:

Set-MpPreference -AttackSurfaceReductionRules_Actions AuditMode

Esto permite todas las reglas de reducción de superficie de ataque en el modo auditoría.

Sugerencia

Si desea auditar por completo cómo funcionarán las reglas de reducción de superficie de ataques en su organización, tendrá que usar una herramienta de administración para implementar esta configuración en los equipos de su red. También puede usar la Directiva de grupo, Intune o CSP de MDM para configurar e implementar la configuración, como se describe en el tema principal reglas de reducciónde la superficie de ataque.

Revisar los eventos de reducción de superficie de ataque en el visor de eventos de Windows

Para revisar las aplicaciones que se habrían bloqueado, abra el visor de eventos y filtre por el identificador de evento 1121 en el registro Microsoft-Windows-Windows-Defender/Operational. En la siguiente tabla se enumeran todos los eventos de protección de red.

Id. de evento Descripción
5007 Evento al cambiar la configuración
1121 Evento cuando una regla de reducción de superficie de ataque se activa en el modo de bloqueo
1122 Evento cuando una regla de reducción de la superficie de ataque se desencadena en el modo auditoría

Personalizar las reglas de reducción de superficie de ataque

Durante la evaluación, puedes querer configurar cada regla individualmente o excluir determinados archivos y procesos de su evaluación por parte de la función.

Consulta el tema personalizar las reglas de reducción de la superficie de ataques para obtener información sobre cómo configurar la característica con herramientas de administración, como directivas de grupo y directivas de MDM CSP.

Temas relacionados