Afficher les événements de réduction de la surface d’attaqueView attack surface reduction events

Important

Bienvenue dans Microsoft Defender pour points de terminaison, le nouveau nom de protection avancée contre les menaces Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Pour en savoir plus, consultez cette page.Read more about this and other updates here. Nous allons mettre à jour les noms des produits et des documents dans un futur proche.We'll be updating names in products and in the docs in the near future.

S'applique à:Applies to:

Passez en revue les événements de réduction de surface d’attaque dans l’observateur d’événements pour contrôler les règles ou les paramètres qui fonctionnent.Review attack surface reduction events in Event Viewer to monitor what rules or settings are working. Vous pouvez également déterminer si des paramètres sont trop bruyants ou concernés par votre flux de travail quotidien.You can also determine if any settings are too "noisy" or impacting your day to day workflow.

La révision des événements est pratique lorsque vous évaluez les fonctionnalités.Reviewing events is handy when you're evaluating the features. Vous pouvez activer le mode d’audit pour les fonctionnalités ou les paramètres, puis revoir ce qui aurait été passé s’ils étaient entièrement activés.You can enable audit mode for features or settings, and then review what would have happened if they were fully enabled.

Cet article répertorie tous les événements, leur fonctionnalité ou leur paramètre associés, et décrit comment créer des affichages personnalisés pour filtrer des événements spécifiques.This article lists all the events, their associated feature or setting, and describes how to create custom views to filter to specific events.

Obtenez des rapports détaillés dans des événements et des blocs dans le cadre de la sécurité Windows, si vous avez un abonnement E5 et utilisez Microsoft Defender pour le point de terminaison.Get detailed reporting into events and blocks as part of Windows Security if you have an E5 subscription and use Microsoft Defender for Endpoint.

Utiliser des affichages personnalisés pour vérifier les capacités de réduction de surface d’attaqueUse custom views to review attack surface reduction capabilities

Créez des affichages personnalisés dans l’observateur d’événements Windows pour afficher uniquement les événements relatifs à des fonctionnalités et des paramètres spécifiques.Create custom views in the Windows Event Viewer to only see events for specific capabilities and settings. Le moyen le plus simple consiste à importer un affichage personnalisé sous la forme d’un fichier XML.The easiest way is to import a custom view as an XML file. Vous pouvez copier le code XML directement à partir de cette page.You can copy the XML directly from this page.

Vous pouvez également accéder manuellement à la zone de l’événement qui correspond à la fonctionnalité.You can also manually navigate to the event area that corresponds to the feature.

Importer une vue personnaliséeXML existanteImport an existing XML custom view

  1. Créez un fichier. txt vide et copiez le code XML de l’affichage personnalisé que vous souhaitez utiliser dans le fichier. txt.Create an empty .txt file and copy the XML for the custom view you want to use into the .txt file. Procédez comme suit pour chacun des affichages personnalisés que vous voulez utiliser.Do this for each of the custom views you want to use. Renommez les fichiers comme suit (Assurez-vous de changer le type de. txt en. Xml):Rename the files as follows (ensure you change the type from .txt to .xml):

    • Vue personnalisée d’événements d’Accès contrôlé aux dossiers: cfa-events.xmlControlled folder access events custom view: cfa-events.xml
    • Vue personnalisée d’événements ExploitProtection: ep-events.xmlExploit protection events custom view: ep-events.xml
    • Vue personnalisée d’événements de Réduction de la surface d’attaque: asr-events.xmlAttack surface reduction events custom view: asr-events.xml
    • Affichage personnalisé des événements réseau/protection: np-events.xmlNetwork/ protection events custom view: np-events.xml
  2. Tapez Observateur d’événements dans le menu Démarrer, puis ouvrez l' Observateur d’événements.Type event viewer in the Start menu and open Event Viewer.

  3. Sélectionner le mode personnalisé d’importation d' action > ...Select Action > Import Custom View...

    Animation illustrant l'importation d'une vue personnalisée à gauche de la fenêtre de l’observateur d’événements

  4. Accédez à l’emplacement où vous avez extrait le fichierXML de l’affichage personnalisé voulu et sélectionnez-le.Navigate to where you extracted XML file for the custom view you want and select it.

  5. Sélectionnez ouvrir.Select Open.

  6. Il crée un affichage personnalisé qui filtre pour afficher uniquement les événements liés à cette fonctionnalité.It will create a custom view that filters to only show the events related to that feature.

Copier le codeXML directementCopy the XML directly

  1. Tapez observateur d’événements dans le menu Démarrer et ouvrez l’observateur d’événements Windows.Type event viewer in the Start menu and open the Windows Event Viewer.

  2. Dans le volet gauche, sous actions, sélectionnez créer un affichage personnalisé...On the left panel, under Actions, select Create Custom View...

    Animation illustrant l'option de création d'une vue personnalisée dans la fenêtre de l’observateur d’événements

  3. Accédez à l’onglet XML et sélectionnez modifier la requête manuellement.Go to the XML tab and select Edit query manually. Vous recevez un avertissement indiquant que vous ne pouvez pas modifier la requête à l’aide de l’onglet filtre si vous utilisez l’option XML.You'll see a warning that you can't edit the query using the Filter tab if you use the XML option. Sélectionnez Oui.Select Yes.

  4. Collez le codeXML de la fonctionnalité dont vous souhaitez filtrer les événements dans la sectionXML.Paste the XML code for the feature you want to filter events from into the XML section.

  5. Sélectionnez OK.Select OK. Spécifiez un nom pour le filtre.Specify a name for your filter.

  6. Il crée un affichage personnalisé qui filtre pour afficher uniquement les événements liés à cette fonctionnalité.It will create a custom view that filters to only show the events related to that feature.

XML pour les événements de règle de réduction de surface d’attaqueXML for attack surface reduction rule events

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pour les événements d’accès aux dossiers contrôlésXML for controlled folder access events

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pour les événements de protection contre l’exploitXML for exploit protection events

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML pour les événements de protection du réseauXML for network protection events

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste des événements de réduction de surface d’attaqueList of attack surface reduction events

Tous les événements de réduction de surface d’attaque se trouvent dans les journaux des applications et des Services > de Microsoft > Windows , puis sur le dossier ou le fournisseur tel qu’indiqué dans le tableau suivant.All attack surface reduction events are located under Applications and Services Logs > Microsoft > Windows and then the folder or provider as listed in the following table.

Vous pouvez accéder aux événements d’Accès contrôlé aux dossiers dans l’observateur d’événements Windows:You can access these events in Windows Event viewer:

  1. Ouvrez le menu Démarrer , tapez Observateur d’événements, puis sélectionnez le résultat de l' Observateur d’événements .Open the Start menu and type event viewer, and then select the Event Viewer result.

  2. Développez Journaux des applications et des services > Microsoft > Windows, puis accédez au dossier répertorié sous Fournisseur/source dans le tableau ci-dessous.Expand Applications and Services Logs > Microsoft > Windows and then go to the folder listed under Provider/source in the table below.

  3. Double-cliquez sur le sous-élément pour afficher les événements.Double-click on the sub item to see events. Parcourez les événements pour trouver celui que vous recherchez.Scroll through the events to find the one you're looking.

    Animation illustrant l'utilisation de l’observateur d’événements

FonctionnalitéFeature Fournisseur/sourceProvider/source ID d’événementEvent ID DescriptionDescription
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 11 Audit ACGACG audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) deuxième2 Application ACGACG enforce
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 3D3 Ne pas autoriser l'audit des processus enfantsDo not allow child processes audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) n°44 Ne pas autoriser le blocage des processus enfantsDo not allow child processes block
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) n°55 Bloquer l'audit des images à faible intégritéBlock low integrity images audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 66 Bloquer le blocage des images à faible intégritéBlock low integrity images block
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 67 Bloquer l'audit des images distantesBlock remote images audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) version88 Bloquer le blocage des images distantesBlock remote images block
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 099 Désactiver l'audit des appels système win32kDisable win32k system calls audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 0,1010 Désactiver le blocage des appels système win32kDisable win32k system calls block
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 27,911 Audit de la protection de l'intégrité du codeCode integrity guard audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) midi12 Blocage de la protection de l'intégrité du codeCode integrity guard block
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) n°1313 Audit EAFEAF audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 1314 Application EAFEAF enforce
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 0,1515 EAF+ auditEAF+ audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) Seiz16 EAF+ applicationEAF+ enforce
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) Play17 Audit IAFIAF audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 1918 Application IAFIAF enforce
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 19,619 Audit ROP StackPivotROP StackPivot audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) CX3-2020 Application ROP StackPivotROP StackPivot enforce
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) vingt21 Audit ROP CallerCheckROP CallerCheck audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 2222 Application ROP CallerCheckROP CallerCheck enforce
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 2323 Audit ROP SimExecROP SimExec audit
ExploitProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 2424 Application ROP SimExecROP SimExec enforce
ExploitProtectionExploit protection WER-DiagnosticsWER-Diagnostics n°55 Blocage CFGCFG Block
ExploitProtectionExploit protection Win32K (opérationnel)Win32K (Operational) 260260 Police non approuvéeUntrusted Font
Protection du réseauNetwork protection WindowsDefender (opérationnel)Windows Defender (Operational) 50075007 Événement lors de la modification des paramètresEvent when settings are changed
Protection du réseauNetwork protection WindowsDefender (opérationnel)Windows Defender (Operational) 11251125 Événement lors du déclenchement de la Protection du réseau en mode auditEvent when Network protection fires in Audit-mode
Protection du réseauNetwork protection WindowsDefender (opérationnel)Windows Defender (Operational) 11261126 Événement lors du déclenchement de la Protection du réseau en mode blocageEvent when Network protection fires in Block-mode
Accès contrôlé aux dossiersControlled folder access WindowsDefender (opérationnel)Windows Defender (Operational) 50075007 Événement lors de la modification des paramètresEvent when settings are changed
Accès contrôlé aux dossiersControlled folder access WindowsDefender (opérationnel)Windows Defender (Operational) 11241124 Événement d’Accès contrôlé aux dossiers auditéAudited Controlled folder access event
Accès contrôlé aux dossiersControlled folder access WindowsDefender (opérationnel)Windows Defender (Operational) 11231123 Événement d’Accès contrôlé aux dossiers bloquéBlocked Controlled folder access event
Accès contrôlé aux dossiersControlled folder access WindowsDefender (opérationnel)Windows Defender (Operational) 11271127 Événement de blocage d’écriture du secteur contrôlé bloquéBlocked Controlled folder access sector write block event
Accès contrôlé aux dossiersControlled folder access WindowsDefender (opérationnel)Windows Defender (Operational) 11281128 Événement de blocage d’écriture du secteur contrôlé auditéAudited Controlled folder access sector write block event
Réduction de la surface d’attaqueAttack surface reduction WindowsDefender (opérationnel)Windows Defender (Operational) 50075007 Événement lors de la modification des paramètresEvent when settings are changed
Réduction de la surface d’attaqueAttack surface reduction WindowsDefender (opérationnel)Windows Defender (Operational) 11221122 Événement lors du déclenchement de la règle en mode auditEvent when rule fires in Audit-mode
Réduction de la surface d’attaqueAttack surface reduction WindowsDefender (opérationnel)Windows Defender (Operational) 11211121 Événement lors du déclenchement de la règle en mode blocageEvent when rule fires in Block-mode