Testar a redução de superfície de ataque no Microsoft Defender para Ponto de ExtremidadeTest attack surface reduction in Microsoft Defender for Endpoint

Aplica-se a:Applies to:

Como parte da equipe de segurança da sua organização, você pode configurar recursos de redução de superfície de ataque para executar no modo de auditoria para ver como eles funcionarão.As part of your organization's security team, you can configure attack surface reduction capabilities to run in audit mode to see how they'll work. No modo de auditoria, você pode habilitar:In audit mode, you can enable:

  • Regras de redução de superfície de ataqueAttack surface reduction rules
  • Proteção de exploraçãoExploit protection
  • Proteção de redeNetwork protection
  • E acesso controlado a pastas no modo de auditoriaAnd controlled folder access in audit mode

O modo de auditoria permite que você veja um registro do que teria ocorrido se você tivesse habilitado o recurso.Audit mode lets you see a record of what would have happened if you had enabled the feature.

Você pode habilitar o modo de auditoria ao testar como os recursos funcionarão.You can enable audit mode when testing how the features will work. Isso ajudará a garantir que seus aplicativos de linha de negócios não sejam afetados.This will help make sure your line-of-business apps aren't affected. Você também pode ter uma ideia de quantas tentativas suspeitas de modificação de arquivo ocorrem em um determinado período de tempo.You can also get an idea of how many suspicious file modification attempts occur over a certain period of time.

Os recursos não bloquearão ou impedirão que aplicativos, scripts ou arquivos seja modificado.The features won't block or prevent apps, scripts, or files from being modified. No entanto, o Windows log de eventos registrará eventos como se os recursos fossem totalmente habilitados.However, the Windows Event Log will record events as if the features were fully enabled. Com o modo de auditoria, você pode revisar o log de eventos para ver o que afetaria o recurso se ele estivesse habilitado.With audit mode, you can review the event log to see what affect the feature would have had if it was enabled.

Para encontrar as entradas auditadas, acesse Aplicativos e Serviços > microsoft > Windows > Windows Defender > Operacional.To find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

Use o Defender para o Ponto de Extremidade para obter maiores detalhes para cada evento, especialmente para investigar regras de redução de superfície de ataque.Use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. Usar o console defender para ponto de extremidade permite investigar problemas como parte da linha do tempo de alerta e cenários de investigação.Using the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

Você pode habilitar o modo de auditoria usando a Política de Grupo, o PowerShell e os provedores de serviços de configuração (CSPs).You can enable audit mode using Group Policy, PowerShell, and configuration service providers (CSPs).

Dica

Você também pode visitar o site Windows Defender Testground no demo.wd.microsoft.com para confirmar se os recursos estão funcionando e ver como eles funcionam.You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

Opções de auditoriaAudit options Como habilitar o modo de auditoriaHow to enable audit mode Como exibir eventosHow to view events
Auditoria se aplica a todos os eventosAudit applies to all events Habilitar o acesso controlado a pastasEnable controlled folder access Eventos de acesso controlado a pastasControlled folder access events
Auditoria se aplica a regras individuaisAudit applies to individual rules Habilitar regras da redução da superfície de ataqueEnable attack surface reduction rules Eventos de regra de redução de superfície de ataqueAttack surface reduction rule events
Auditoria se aplica a todos os eventosAudit applies to all events Habilitar a proteção de redeEnable network protection Eventos de proteção de redeNetwork protection events
A auditoria se aplica a mitigações individuaisAudit applies to individual mitigations Habilitar a proteção de exploraçãoEnable exploit protection Explorar eventos de proteçãoExploit protection events