Testare la riduzione della superficie di attacco in Microsoft Defender for EndpointTest attack surface reduction in Microsoft Defender for Endpoint

Si applica a:Applies to:

Come parte del team di sicurezza dell'organizzazione, puoi configurare le funzionalità di riduzione della superficie di attacco per l'esecuzione in modalità di controllo per vedere come funzionano.As part of your organization's security team, you can configure attack surface reduction capabilities to run in audit mode to see how they'll work. In modalità di controllo puoi abilitare:In audit mode, you can enable:

  • Regole per la riduzione della superficie di attaccoAttack surface reduction rules
  • Protezione dagli exploitExploit protection
  • Protezione di reteNetwork protection
  • E l'accesso controllato alle cartelle in modalità di controlloAnd controlled folder access in audit mode

La modalità di controllo consente di visualizzare un record di ciò che sarebbe successo se fosse stata abilitata la funzionalità.Audit mode lets you see a record of what would have happened if you had enabled the feature.

Puoi abilitare la modalità di controllo durante il test del funzionamento delle funzionalità.You can enable audit mode when testing how the features will work. In questo modo puoi assicurarti che le app line-of-business non siano interessate.This will help make sure your line-of-business apps aren't affected. Puoi anche avere un'idea del numero di tentativi sospetti di modifica dei file in un determinato periodo di tempo.You can also get an idea of how many suspicious file modification attempts occur over a certain period of time.

Le funzionalità non bloccano o impediscono la modifica di app, script o file.The features won't block or prevent apps, scripts, or files from being modified. Tuttavia, il Windows eventi registra gli eventi come se le funzionalità fossero completamente abilitate.However, the Windows Event Log will record events as if the features were fully enabled. Con la modalità di controllo, è possibile esaminare il registro eventi per vedere quali effetti avrebbe avuto la funzionalità se fosse stata abilitata.With audit mode, you can review the event log to see what affect the feature would have had if it was enabled.

Per trovare le voci verificate, passare a Applicazioni e servizi > Microsoft > Windows > Windows Defender > Operativo.To find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

Usa Defender for Endpoint per ottenere maggiori dettagli per ogni evento, in particolare per analizzare le regole di riduzione della superficie di attacco.Use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. L'uso della console defender per endpoint consente di analizzare i problemi nell'ambito della sequenza temporale degli avvisi e degli scenari di indagine.Using the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

Puoi abilitare la modalità di controllo usando Criteri di gruppo, PowerShell e provider di servizi di configurazione (CSP).You can enable audit mode using Group Policy, PowerShell, and configuration service providers (CSPs).

Suggerimento

È inoltre possibile visitare il sito Windows Defender Testground all'indirizzo demo.wd.microsoft.com verificare che le funzionalità funzionino e vedere come funzionano.You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

Opzioni di controlloAudit options Come abilitare la modalità di controlloHow to enable audit mode Come visualizzare gli eventiHow to view events
Il controllo si applica a tutti gli eventiAudit applies to all events Abilitare l’accesso controllato alle cartelleEnable controlled folder access Eventi di accesso controllato alle cartelleControlled folder access events
Il controllo si applica a singole regoleAudit applies to individual rules Abilitare regole per la riduzione della superficie di attaccoEnable attack surface reduction rules Eventi delle regole di riduzione della superficie di attaccoAttack surface reduction rule events
Il controllo si applica a tutti gli eventiAudit applies to all events Abilitare la protezione di reteEnable network protection Eventi di protezione di reteNetwork protection events
Il controllo si applica alle singole mitigazioniAudit applies to individual mitigations Abilitare la protezione dagli exploitEnable exploit protection Eventi di protezione da exploitExploit protection events