Afficher les événements de réduction de surface d’attaque

S'applique à:

Vous pouvez passer en revue les événements de réduction de surface d’attaque dans l’observateur d’événements. Cela est utile pour vérifier quels paramètres ou règles fonctionnent et déterminer si certains paramètres font trop de «bruit» ou ont un impact sur votre flux de travail quotidien.

La vérification des événements est également utile lors de l’évaluation des fonctionnalités, car vous pouvez activer le mode audit pour les fonctionnalités ou les paramètres, puis examiner ce qui se passerait si les fonctionnalités étaient entièrement activées.

Cette rubrique répertorie tous les événements et les fonctionnalités ou paramètres associés, et décrit comment créer des vues personnalisées pour filtrer des événements spécifiques.

Vous pouvez également accéder à des rapports détaillés dans des événements et des blocs dans le cadre de la sécurité Windows, à laquelle vous avez accès si vous disposez d’un abonnement E5 et que vous utilisez Microsoft Defender Advanced Threat Protection.

Utiliser des affichages personnalisés pour vérifier les capacités de réduction de surface d’attaque

Vous pouvez créer des affichages personnalisés dans l’observateur d’événements Windows pour afficher uniquement les événements relatifs à des fonctionnalités et des paramètres spécifiques.

Pour ce faire, le plus simple consiste à importer une vue personnalisée sous la forme d’un fichierXML. Vous pouvez copier le code XML directement à partir de cette page.

Vous pouvez également accéder manuellement à la zone de l’événement qui correspond à la fonctionnalité.

Importer une vue personnaliséeXML existante

  1. Créez un fichier. txt vide et copiez le code XML de l’affichage personnalisé que vous souhaitez utiliser dans le fichier. txt. Procédez comme suit pour chacun des affichages personnalisés que vous voulez utiliser. Renommez les fichiers comme suit (Assurez-vous de changer le type de. txt en. Xml):

    • Vue personnalisée d’événements d’Accès contrôlé aux dossiers: cfa-events.xml
    • Vue personnalisée d’événements ExploitProtection: ep-events.xml
    • Vue personnalisée d’événements de Réduction de la surface d’attaque: asr-events.xml
    • Affichage personnalisé des événements réseau/protection: NP-Events. xml
  2. Tapez Observateur d’événements dans le menu Démarrer, puis ouvrez l' Observateur d’événements.

  3. Cliquez sur action > importer le mode personnalisé...

    Animation illustrant l'importation d'une vue personnalisée à gauche de la fenêtre de l’observateur d’événements

  4. Accédez à l’emplacement où vous avez extrait le fichierXML de l’affichage personnalisé voulu et sélectionnez-le.

  5. Cliquez sur Ouvrir.

  6. Cela crée une vue personnalisée qui filtre les événements de façon à afficher uniquement les événements associés à la fonctionnalité.

Copier le codeXML directement

  1. Tapez observateur d’événements dans le menu Démarrer et ouvrez l’observateur d’événements Windows.

  2. Dans le volet gauche, sous Actions, cliquez sur Créer une vue personnalisée...

    Animation illustrant l'option de création d'une vue personnalisée dans la fenêtre de l’observateur d’événements

  3. Accédez à l’ongletXML et cliquez sur Modifier la requête. Un message d’avertissement vous indique que vous ne serez pas en mesure de modifier la requête à l’aide de l’onglet Filtre si vous utilisez l’optionXML. Cliquez sur Oui.

  4. Collez le codeXML de la fonctionnalité dont vous souhaitez filtrer les événements dans la sectionXML.

  5. Cliquez sur OK. Spécifiez un nom pour le filtre.

  6. Cela crée une vue personnalisée qui filtre les événements de façon à afficher uniquement les événements associés à la fonctionnalité.

XML pour les événements de règle de réduction de surface d’attaque

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pour les événements d’accès aux dossiers contrôlés

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pour les événements de protection contre l’exploit

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML pour les événements de protection du réseau

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste des événements de réduction de surface d’attaque

Le tableau suivant répertorie tous les événements de réfaction de surface d’attaque dans les journaux des applications et des Services > Microsoft > Windows , puis sur le dossier ou le fournisseur.

Vous pouvez accéder aux événements d’Accès contrôlé aux dossiers dans l’observateur d’événements Windows:

  1. Ouvrez le menu Démarrer et tapez observateur d'événements, puis cliquez sur le résultat observateur d'événements.
  2. Développez Journaux des applications et des services > Microsoft > Windows, puis accédez au dossier répertorié sous Fournisseur/source dans le tableau ci-dessous.
  3. Double-cliquez sur le sous-élément pour afficher les événements. Faites défiler les événements pour trouver celui que vous recherchez.

    Animation illustrant l'utilisation de l’observateur d’événements

Fonctionnalité Fournisseur/source ID d’événement Description
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 1 Audit ACG
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) deuxième Application ACG
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 3D Ne pas autoriser l'audit des processus enfants
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) n°4 Ne pas autoriser le blocage des processus enfants
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) n°5 Bloquer l'audit des images à faible intégrité
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 6 Bloquer le blocage des images à faible intégrité
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 6 Bloquer l'audit des images distantes
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) version8 Bloquer le blocage des images distantes
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 09 Désactiver l'audit des appels système win32k
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 0,10 Désactiver le blocage des appels système win32k
ExploitProtection Security-Mitigation (mode noyau/mode utilisateur) 27,9 Audit de la protection de l'intégrité du code
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) midi Blocage de la protection de l'intégrité du code
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) n°13 Audit EAF
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 13 Application EAF
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 0,15 EAF+ audit
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) Seiz EAF+ application
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) Play Audit IAF
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 19 Application IAF
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 19,6 Audit ROP StackPivot
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) CX3-20 Application ROP StackPivot
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) vingt Audit ROP CallerCheck
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 22 Application ROP CallerCheck
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 23 Audit ROP SimExec
Exploit Protection Security-Mitigation (mode noyau/mode utilisateur) 24 Application ROP SimExec
Exploit Protection WER-Diagnostics n°5 Blocage CFG
ExploitProtection Win32K (opérationnel) 260 Police non approuvée
Protection du réseau WindowsDefender (opérationnel) 5007 Événement lors de la modification des paramètres
Protection du réseau WindowsDefender (opérationnel) 1125 Événement lors du déclenchement de la Protection du réseau en mode audit
Protection du réseau WindowsDefender (opérationnel) 1126 Événement lors du déclenchement de la Protection du réseau en mode blocage
Accès contrôlé aux dossiers WindowsDefender (opérationnel) 5007 Événement lors de la modification des paramètres
Accès contrôlé aux dossiers WindowsDefender (opérationnel) 1124 Événement d’Accès contrôlé aux dossiers audité
Accès contrôlé aux dossiers WindowsDefender (opérationnel) 1123 Événement d’Accès contrôlé aux dossiers bloqué
Accès contrôlé aux dossiers WindowsDefender (opérationnel) 1127 Événement de blocage d’écriture du secteur contrôlé bloqué
Accès contrôlé aux dossiers WindowsDefender (opérationnel) 1128 Événement de blocage d’écriture du secteur contrôlé audité
Réduction de la surface d’attaque WindowsDefender (opérationnel) 5007 Événement lors de la modification des paramètres
Réduction de la surface d’attaque WindowsDefender (opérationnel) 1122 Événement lors du déclenchement de la règle en mode audit
Réduction de la surface d’attaque WindowsDefender (opérationnel) 1121 Événement lors du déclenchement de la règle en mode blocage