Visão geral das regras de redução de superfície de ataque
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender Antivírus
Plataformas
- Windows
Dica
Como complementar a este artigo, recomendamos usar o guia de instalação automatizado Microsoft Defender para Ponto de Extremidade, que ajuda você a utilizar ferramentas essenciais e recursos automatizados, como redução de superfície de ataque e proteção de próxima geração. Quando conectado ao Centro de administração do Microsoft 365, este guia personalizará sua experiência com base em seu ambiente. Para examinar as práticas recomendadas sem entrar e ativar recursos de instalação automatizados, acesse o guia de instalação do Microsoft 365.
Por que as regras de redução de superfície de ataque são importantes
A superfície de ataque da sua organização inclui todos os lugares em que um invasor pode comprometer os dispositivos ou redes da sua organização. Reduzir a superfície de ataque significa proteger os dispositivos e a rede da sua organização, o que deixa os invasores com menos maneiras de executar ataques. Configurar regras de redução de superfície de ataque no Microsoft Defender para Ponto de Extremidade pode ajudar!
As regras de redução de superfície de ataque visam determinados comportamentos de software, como:
- Iniciar arquivos executáveis e scripts que tentam baixar ou executar arquivos
- Executando scripts ofuscados ou suspeitos
- Executar comportamentos que os aplicativos normalmente não iniciam durante o trabalho normal do dia a dia
Esses comportamentos de software às vezes são vistos em aplicativos legítimos. No entanto, esses comportamentos geralmente são considerados arriscados porque geralmente são abusados por invasores por meio de malware. As regras de redução de superfície de ataque podem restringir comportamentos de risco baseados em software e ajudar a manter sua organização segura.
Para obter um processo sequencial e de ponta a ponta de como gerenciar regras de redução de superfície de ataque, consulte:
- Visão geral da implantação de regras de redução de superfície de ataque
- Planejar a implantação de regras de redução de superfície de ataque
- Testar regras de redução de superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Operacionalizar regras de redução de superfície de ataque
Avaliar regras antes da implantação
Você pode avaliar como uma regra de redução da superfície de ataque pode afetar sua rede abrindo a recomendação de segurança para essa regra em Gerenciamento de Vulnerabilidades do Microsoft Defender.
No painel de detalhes da recomendação, marcar para o impacto do usuário para determinar qual percentual de seus dispositivos pode aceitar uma nova política que habilite a regra no modo de bloqueio sem afetar negativamente a produtividade.
Consulte Requisitos no artigo "Habilitar regras de redução de superfície de ataque" para obter informações sobre sistemas operacionais com suporte e outras informações de requisitos.
Modo de auditoria para avaliação
Modo de auditoria
Use o modo de auditoria para avaliar como as regras de redução de superfície de ataque afetariam sua organização se habilitadas. Execute todas as regras no modo de auditoria primeiro para que você possa entender como elas afetam seus aplicativos de linha de negócios. Muitos aplicativos de linha de negócios são gravados com preocupações de segurança limitadas e podem executar tarefas de maneiras semelhantes ao malware.
Exclusões
Ao monitorar dados de auditoria e adicionar exclusões para aplicativos necessários , você pode implantar regras de redução de superfície de ataque sem reduzir a produtividade.
Exclusões por regra
Para obter informações sobre como configurar exclusões por regra, consulte a seção intitulada Configurar regras de redução de superfície de ataque por regra no artigo Testar regras de redução de superfície de ataque.
Modo de aviso para usuários
(NEW!) Antes de avisar os recursos do modo, as regras de redução de superfície de ataque habilitadas podem ser definidas como modo de auditoria ou modo de bloco. Com o novo modo de aviso, sempre que o conteúdo é bloqueado por uma regra de redução de superfície de ataque, os usuários veem uma caixa de diálogo que indica que o conteúdo está bloqueado. A caixa de diálogo também oferece ao usuário uma opção para desbloquear o conteúdo. Em seguida, o usuário pode repetir sua ação e a operação é concluída. Quando um usuário desbloqueia o conteúdo, o conteúdo permanece desbloqueado por 24 horas e, em seguida, o bloqueio é retomado.
O modo de aviso ajuda sua organização a ter regras de redução de superfície de ataque em vigor sem impedir que os usuários acessem o conteúdo necessário para executar suas tarefas.
Requisitos para que o modo de aviso funcione
Há suporte para o modo de aviso em dispositivos que executam as seguintes versões do Windows:
- Windows 10, versão 1809 ou posterior
- Windows 11
- Windows Server, versão 1809 ou posterior
Microsoft Defender Antivírus deve estar sendo executado com proteção em tempo real no modo Ativo.
Além disso, verifique se Microsoft Defender As atualizações antivírus e antimalware estão instaladas.
- Requisito mínimo de versão da plataforma:
4.18.2008.9
- Requisito mínimo de versão do mecanismo:
1.1.17400.5
Para obter mais informações e obter suas atualizações, consulte Atualizar para Microsoft Defender plataforma antimalware.
Casos em que o modo de aviso não tem suporte
Não há suporte para o modo de aviso para três regras de redução de superfície de ataque ao configurá-las no Microsoft Intune. (Se você usar Política de Grupo para configurar suas regras de redução de superfície de ataque, o modo de aviso terá suporte.) As três regras que não dão suporte ao modo de aviso quando você as configura no Microsoft Intune são as seguintes:
- Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado (GUID
d3e037e1-3eb8-44c8-a917-57927947596d
) - Bloquear a persistência por meio da assinatura de evento WMI (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b
) - Usar proteção avançada contra ransomware (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35
)
Além disso, não há suporte para o modo de aviso em dispositivos que executam versões mais antigas do Windows. Nesses casos, as regras de redução de superfície de ataque configuradas para serem executadas no modo de aviso são executadas no modo de bloco.
Notificações e alertas
Sempre que uma regra de redução da superfície de ataque é disparada, uma notificação é exibida no dispositivo. Você pode personalizar a notificação com os detalhes da sua empresa e informações de contato.
Além disso, quando determinadas regras de redução de superfície de ataque são disparadas, alertas são gerados.
As notificações e os alertas gerados podem ser exibidos no portal Microsoft Defender.
Para obter detalhes específicos sobre a funcionalidade de notificação e alerta, consulte: Por alerta de regra e detalhes de notificação, no artigo Referência de regras de redução de superfície de ataque.
Eventos avançados de redução de superfície de caça e ataque
Você pode usar a caça avançada para exibir eventos de redução de superfície de ataque. Para simplificar o volume de dados de entrada, somente processos exclusivos para cada hora podem ser exibidos com caça avançada. A hora de um evento de redução da superfície de ataque é a primeira vez que esse evento é visto dentro de uma hora.
Por exemplo, suponha que um evento de redução de superfície de ataque ocorra em 10 dispositivos durante a hora das 14h. Suponha que o primeiro evento ocorreu às 2:15 e o último às 2:45. Com a caça avançada, você verá uma instância desse evento (embora realmente tenha ocorrido em 10 dispositivos), e seu carimbo de data/hora será 14h15.
Para obter mais informações sobre a caça avançada, consulte Procurar proativamente ameaças com caça avançada.
Recursos de redução de superfície de ataque em versões do Windows
Você pode definir regras de redução de superfície de ataque para dispositivos que estão executando qualquer uma das seguintes edições e versões do Windows:
Windows 10 Pro, versão 1709 ou posterior
Windows 10 Enterprise, versão 1709 ou posterior
Windows Server, versão 1803 (Canal Semestral) ou posterior
-
Observação
Windows Server 2016 e Windows Server 2012 R2 devem ser integrados usando as instruções em Servidores Windows integrados para que esse recurso funcione.
Embora as regras de redução de superfície de ataque não exijam uma licença do Windows E5, se você tiver o Windows E5, obterá recursos avançados de gerenciamento. Os recursos avançados - disponíveis apenas no Windows E5 - incluem:
- Os fluxos de trabalho, análise e monitoramento disponíveis no Defender para Ponto de Extremidade
- Os recursos de relatório e configuração no Microsoft Defender XDR.
Esses recursos avançados não estão disponíveis com uma licença do Windows Professional ou do Windows E3. No entanto, se você tiver essas licenças, poderá usar Visualizador de Eventos e Microsoft Defender logs antivírus para revisar os eventos da regra de redução de superfície de ataque.
Examinar eventos de redução de superfície de ataque no portal do Microsoft Defender
O Defender para Ponto de Extremidade fornece relatórios detalhados para eventos e blocos como parte de cenários de investigação de alerta.
Você pode consultar dados do Defender para Ponto de Extremidade no Microsoft Defender XDR usando a caça avançada.
Veja um exemplo de consulta:
DeviceEvents
| where ActionType startswith 'Asr'
Revisar eventos de redução de superfície de ataque no Windows Visualizador de Eventos
Você pode examinar o log de eventos do Windows para exibir eventos gerados por regras de redução de superfície de ataque:
Baixe o Pacote de Avaliação e extraia o arquivocfa-events.xml para um local de fácil acesso no dispositivo.
Insira as palavras, Visualizador de Eventos, no menu Iniciar para abrir a Visualizador de Eventos do Windows.
Em Ações, selecione Importar exibição personalizada....
Selecione o arquivocfa-events.xml de onde ele foi extraído. Como alternativa, copie o XML diretamente.
Selecione OK.
Você pode criar uma exibição personalizada que filtra eventos para mostrar apenas os seguintes eventos, todos relacionados ao acesso controlado à pasta:
ID do Evento | Descrição |
---|---|
5007 | Evento quando as configurações são alteradas |
1121 | Evento quando a regra é disparada no modo de bloco |
1122 | Evento quando a regra é disparada no modo de auditoria |
A "versão do mecanismo" listada para eventos de redução de superfície de ataque no log de eventos é gerada pelo Defender para Ponto de Extremidade, não pelo sistema operacional. O Defender para Ponto de Extremidade é integrado a Windows 10 e Windows 11, portanto, esse recurso funciona em todos os dispositivos com Windows 10 ou Windows 11 instalados.
Confira também
- Visão geral da implantação de regras de redução de superfície de ataque
- Planejar a implantação de regras de redução de superfície de ataque
- Testar regras de redução de superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Operacionalizar regras de redução de superfície de ataque
- Relatório de regras de redução de superfície de ataque
- Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
Dica
Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de