Test attack surface reduction in Microsoft Defender for EndpointTest attack surface reduction in Microsoft Defender for Endpoint

Van toepassing op:Applies to:

Als u deel uitmaakt van het beveiligingsteam van uw organisatie, kunt u de mogelijkheden voor het verminderen van aanvallen configureren om in de auditmodus uit te voeren om te zien hoe ze in uw organisatie werken.If you're part of your organization's security team, you can configure attack surface reduction capabilities to run in audit mode to see how they'll work in your organization. U kunt in de auditmodus met name regels voor het verminderen van aanvallen, bescherming tegen aanvallen, netwerkbeveiliging en gecontroleerde maptoegang inschakelen.In particular, you can enable attack surface reduction rules, exploit protection, network protection, and controlled folder access in audit mode. Met de auditmodus kunt u een record zien van wat er zou zijn gebeurd als u de functie had ingeschakeld.Audit mode lets you see a record of what would have happened if you had enabled the feature.

Mogelijk wilt u de auditmodus inschakelen wanneer u test hoe de functies in uw organisatie werken.You may want to enable audit mode when testing how the features will work in your organization. Dit helpt ervoor te zorgen dat uw line-of-business-apps niet worden beïnvloed.This will help make sure your line-of-business apps aren't affected. U kunt ook een idee krijgen van het aantal pogingen om verdachte bestanden over een bepaalde periode te wijzigen.You can also get an idea of how many suspicious file modification attempts occur over a certain period of time.

De functies blokkeren of voorkomen niet dat apps, scripts of bestanden worden gewijzigd.The features won't block or prevent apps, scripts, or files from being modified. In het Windows gebeurtenislogboek worden echter gebeurtenissen opgeslagen alsof de functies volledig zijn ingeschakeld.However, the Windows Event Log will record events as if the features were fully enabled. In de auditmodus kunt u het gebeurtenislogboek bekijken om te zien welk effect de functie zou hebben gehad als deze was ingeschakeld.With audit mode, you can review the event log to see what impact the feature would have had if it was enabled.

Als u de gecontroleerde vermeldingen wilt vinden, gaat u naar Toepassingen en services van > Microsoft > Windows > Windows Defender > Operationeel.To find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

U kunt Defender voor eindpunt gebruiken om meer details voor elke gebeurtenis te krijgen, met name voor het onderzoeken van regels voor het verminderen van de surface van de aanval.You can use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. Met de Console Defender voor eindpunt kunt u problemen onderzoeken als onderdeel van de waarschuwingstijdlijn en onderzoeksscenario's.Using the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

U kunt group policy, PowerShell en configuration service providers (CSP's) gebruiken om de auditmodus in te schakelen.You can use Group Policy, PowerShell, and configuration service providers (CSPs) to enable audit mode.

Tip

U kunt ook de website Windows Defender Testground op demo.wd.microsoft.com om te controleren of de functies werken en te zien hoe ze werken. You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

ControleoptiesAudit options Controlemodus inschakelenHow to enable audit mode Gebeurtenissen weergevenHow to view events
Controle is van toepassing op alle gebeurtenissenAudit applies to all events Beheerde maptoegang inschakelenEnable controlled folder access Gebeurtenissen voor gecontroleerde maptoegangControlled folder access events
Controle is van toepassing op afzonderlijke regelsAudit applies to individual rules Regels voor het verminderen van aanvalsoppervlakken inschakelenEnable attack surface reduction rules Regelgebeurtenissen voor surface reduction attackAttack surface reduction rule events
Controle is van toepassing op alle gebeurtenissenAudit applies to all events Netwerkbeveiliging inschakelenEnable network protection NetwerkbeveiligingsgebeurtenissenNetwork protection events
Controle is van toepassing op afzonderlijke risico'sAudit applies to individual mitigations Bescherming tegen misbruik inschakelenEnable exploit protection Beveiligingsgebeurtenissen misbruikenExploit protection events