Ver eventos de reducción de superficie de ataque

Se aplica a:

Puedes revisar eventos de reducción de superficie de ataque en el Visor de eventos. Esto resulta útil para que puedas supervisar qué reglas u opciones de configuración están trabajando y determinar si alguna de las opciones de configuración es demasiado "ruidosa" o afecta al flujo de trabajo diario.

Revisar los eventos también es útil cuando se están evaluando las funciones, ya que puedes habilitar el modo auditoría para las funciones u opciones y, a continuación, revisar qué habría ocurrido si hubieran estado completamente habilitadas.

Este tema enumera todos los eventos y su función u opción de configuración asociada, además de describir cómo crear vistas personalizadas para filtrar eventos específicos.

También obtener informes detallados de eventos y bloques como parte de la seguridad de Windows, que acceder si tienes una suscripción E5 y usas la Protección contra amenazas de avanzada de Defender de Microsoft.

Usar vistas personalizadas para revisar las funcionalidades de reducción de superficie de ataque

Puedes crear vistas personalizadas en el Visor de eventos de Windows para ver solo los eventos de configuración y las capacidades específicas.

La forma más sencilla de hacerlo es importar una vista personalizada como archivo XML. Puedes copiar el XML directamente desde esta página.

Puedes navegar manualmente al área de evento que corresponde a la función.

Importar una vista personalizada XML existente

  1. Crear un archivo .txt vacío y copia el archivo XML de la vista personalizada que quieras usar en el archivo .txt. Hacer esto para cada una de las vistas personalizadas que quieras usar. El nombre de los archivos como sigue (Asegúrate de cambiar el tipo de .txt a .xml):

    • Vista personalizada de eventos de Acceso controlado a carpetas: cfa events.xml
    • Vista personalizada de eventos de Protección contra vulnerabilidades: ep events.xml
    • Vista personalizada de eventos de Reducción de superficie expuesta a ataques: asr events.xml
    • Red / vista personalizada de eventos de protección: np-events.xml
  2. Escribe el Visor de eventos en el menú Inicio y abre El Visor de eventos.

  3. Haga clic en acción > Importar vista personalizada …

    Animación que resalta la vista personalizada de importación a la izquierda de la ventana del Visor de eventos

  4. Ve a donde extrajiste el archivo XML para la vista personalizada que quieras y selecciónalo.

  5. Haz clic en Abrir.

  6. Esto creará una vista personalizada filtrada para mostrar solo los eventos relacionados con la función en cuestión.

Copiar directamente el XML.

  1. Teclea visor de eventos en el menú Inicio y abre el Visor de eventos de Windows.

  2. En el panel izquierdo, en Acciones, haz clic en Crear vista personalizada...

    Animación que resalta la opción de creación de vista personalizada de importación en la ventana del Visor de eventos

  3. Ve a la pestaña XML y haz clic en Editar consulta manualmente. Verás una advertencia de que no podrás editar la consulta mediante la pestaña Filtro si usas la opción de XML. Haz clic en .

  4. Pega el código XML de la función que quieres que filtre eventos desde la sección XML.

  5. Haz clic en OK. Especifica un nombre para tu filtro.

  6. Esto creará una vista personalizada filtrada para mostrar solo los eventos relacionados con la función en cuestión.

XML para eventos de regla de reducción de superficie de ataque

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de acceso controlado a carpetas

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de protección contra vulnerabilidades

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML para eventos de protección de red

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lista de eventos de reducción de superficie de ataque

Todos los eventos de reductiond de superficie de ataque se encuentran en los registros de servicios de aplicaciones y > Microsoft > Windows y, a continuación, la carpeta o el proveedor, como se muestra en la siguiente tabla.

Puedes acceder a estos eventos en el Visor de eventos de Windows:

  1. Abre el menú Inicio, escribe visor de eventos y, a continuación, haz clic en el resultado Visor de eventos.
  2. Expande Registros de aplicaciones y servicios > Microsoft > Windows y, a continuación, ve a la carpeta que aparece bajo Proveedor/origen en la siguiente tabla.
  3. Haz doble clic en el subelemento para ver los eventos. Desplazarse por los eventos para buscar el que se está buscando.

    Animación que muestra el uso del Visor de eventos

Función Proveedor/origen Id. de evento Descripción
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 1 Auditoría de ACG
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 2 Obligación de ACG
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 3 No permitir auditoría de procesos secundarios
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 4 No permitir bloqueo de procesos secundarios
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 5 Bloquear auditoría de imágenes de baja integridad
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 6 Impedir bloqueo de auditoría de imágenes de baja integridad
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 7 Bloquear auditoría de imágenes remotas
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 8 Impedir bloqueo de imágenes remotas
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 9 Deshabilitar auditoría de llamadas del sistema win32k
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 10 Deshabilitar bloqueo de llamadas del sistema win32k
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 11 Auditoría de protección de integridad de código
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 12 Bloqueo de protección de integridad de código
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 13 Auditoría de EAF
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 14 Obligación de EAF
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 15 EAF + auditoría
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 16 EAF + obligación
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 17 Auditoría de IAF
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 18 Obligación de IAF
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 19 Auditoría ROP StackPivot
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 20 Obligación de ROP StackPivot
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 21 Auditoría ROP CallerCheck
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 22 Obligación de ROP CallerCheck
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 23 Auditoría ROP SimExec
Protección contra vulnerabilidades Mitigaciones de seguridad (modo de usuario o el modo de Kernel) 24 Obligación de ROP SimExec
Protección contra vulnerabilidades Diagnóstico WER 5 Bloqueo de CFG
Protección contra vulnerabilidades Win32K (operacional) 260 Fuente no de confianza
Protección de red Windows Defender (Operacional) 5007 Evento al cambiar la configuración
Protección de red Windows Defender (Operacional) 1125 Evento cuando se activa Protección de red en modo auditoría
Protección de red Windows Defender (Operacional) 1126 Evento cuando se activa Protección de red en modo bloqueo
Acceso controlado a carpetas Windows Defender (Operacional) 5007 Evento al cambiar la configuración
Acceso controlado a carpetas Windows Defender (Operacional) 1124 Evento auditado de Acceso controlado a carpetas
Acceso controlado a carpetas Windows Defender (Operacional) 1123 Evento de Acceso controlado a carpetas bloqueado
Acceso controlado a carpetas Windows Defender (Operacional) 1127 Controlado a carpetas carpeta sector escritura bloque evento de acceso bloqueado
Acceso controlado a carpetas Windows Defender (Operacional) 1128 Evento del bloque de inspeccionado controlado a carpetas carpeta acceso sector escritura
Reducción de superficie expuesta a ataques Windows Defender (Operacional) 5007 Evento al cambiar la configuración
Reducción de superficie expuesta a ataques Windows Defender (Operacional) 1122 Evento cuando se dispara la regla en modo auditoría
Reducción de superficie expuesta a ataques Windows Defender (Operacional) 1121 Evento cuando se dispara la regla en modo de bloqueo