Evaluar las reglas de reducción de superficie de ataque

Se aplica a:

Reducción de superficie reglas ayudan a evitar acciones y aplicaciones que usan normalmente el malware que busca vulnerabilidades de seguridad para infectar los equipos. Las reglas de reducción de superficie de ataque se admiten en Windows Server 2019, así como los clientes de Windows 10.

En este tema te ayuda a evaluar las reglas de reducción de superficie de ataque. Explica cómo habilitar el modo auditoría para que puedas probar la función directamente en la organización.

Sugerencia

También puedes visitar el sitio web de base de pruebas de Windows Defender en demo.wd.microsoft.com para confirmar que la función actúa y ver cómo funciona.

Usar el modo auditoría para medir la incidencia

Puedes habilitar las reglas de reducción de superficie de ataque en modo auditoría. Esto te permite ver un registro de qué aplicaciones se habrían bloqueado si hubieras habilitado las reglas de reducción de superficie de ataque.

Puede interesarte hacer esto al probar cómo trabajará la función en la organización, para garantizar que no afecte a las aplicaciones de la línea de negocio y para hacerte una idea de cuán a menudo se desencadenarán las reglas durante el uso normal.

Para habilitar el modo de auditoría, usa el siguiente cmdlet de PowerShell:

Set-MpPreference -AttackSurfaceReductionRules_Actions AuditMode

Esto permite que todas las reglas de reducción de superficie de ataque en modo auditoría.

Sugerencia

Si quieres auditar completamente el funcionan de las reglas de reducción de superficie de ataque en la organización, tendrás que usar una herramienta de administración para implementar esta configuración en los equipos de tus redes. También puedes usar la directiva de grupo, Intune o CSP de MDM para configurar e implementar la configuración, como se describe en el tema de las reglas de reducción de superficie de ataquede principal.

Revisar los eventos de reducción de superficie de ataque en el Visor de eventos de Windows

Para revisar las aplicaciones que se habrían bloqueadas, abre el Visor de eventos y filtrar para 1121 de Id. de evento en el registro de Microsoft-Windows-Windows-Defender/Operational. La siguiente tabla enumera todos los eventos de protección de red.

Id. de evento Descripción
5007 Evento al cambiar la configuración
1121 Evento cuando se desencadena una regla de superficie expuesta a ataques en modo de bloqueo
1122 Evento cuando se desencadena una regla de superficie expuesta a ataques en modo auditoría

Personalizar las reglas de reducción de superficie de ataque

Durante la evaluación, puedes querer configurar cada regla individualmente o excluir determinados archivos y procesos de su evaluación por parte de la función.

Consulta el tema de reglas de reducción de superficie de ataque personalizar para obtener información sobre cómo configurar la función con herramientas de administración, incluidas las directivas de la directiva de grupo y CSP de MDM.

Temas relacionados