Descrição geral das regras de redução da superfície de ataque
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Antivírus do Microsoft Defender
Plataformas
- Windows
Sugestão
Como complemento deste artigo, recomendamos que utilize o guia de configuração automatizada Microsoft Defender para Endpoint quando tiver sessão iniciada no centro de administração do Microsoft 365. Este guia irá personalizar a sua experiência com base no seu ambiente. Para rever as melhores práticas sem iniciar sessão e ativar as funcionalidades de configuração automatizada, aceda ao Guia de configuração do Microsoft 365.
Por que motivo as regras de redução da superfície de ataque são importantes
A superfície de ataque da sua organização inclui todos os locais onde um atacante pode comprometer os dispositivos ou redes da sua organização. Reduzir a superfície de ataque significa proteger os dispositivos e a rede da sua organização, o que deixa os atacantes com menos formas de realizar ataques. Configurar regras de redução da superfície de ataque no Microsoft Defender para Endpoint pode ajudar!
As regras de redução da superfície de ataque visam determinados comportamentos de software, tais como:
- Iniciar ficheiros executáveis e scripts que tentam transferir ou executar ficheiros
- Executar scripts ocultados ou suspeitos
- Executar comportamentos que as aplicações normalmente não iniciam durante o trabalho normal do dia-a-dia
Por vezes, estes comportamentos de software são vistos em aplicações legítimas. No entanto, estes comportamentos são muitas vezes considerados arriscados porque são geralmente abusados por atacantes através de software maligno. As regras de redução da superfície de ataque podem restringir comportamentos de risco baseados em software e ajudar a manter a sua organização segura.
Para obter um processo sequencial ponto a ponto sobre como gerir as regras de redução da superfície de ataque, consulte:
- Descrição geral da implementação das regras de redução da superfície de ataque
- Planear a implementação de regras de redução da superfície de ataque
- Testar regras de redução da superfície de ataque
- Ativar regras de redução da superfície de ataque
- Operacionalizar regras de redução da superfície de ataque
Avaliar regras antes da implementação
Pode avaliar como uma regra de redução da superfície de ataque pode afetar a sua rede ao abrir a recomendação de segurança para essa regra no Gestão de vulnerabilidades do Microsoft Defender.
No painel de detalhes da recomendação, verifique o impacto do utilizador para determinar que percentagem dos seus dispositivos podem aceitar uma nova política que permita a regra no modo de bloqueio sem afetar negativamente a produtividade.
Veja Requisitos no artigo "Ativar regras de redução da superfície de ataque" para obter informações sobre sistemas operativos suportados e outras informações de requisitos.
Modo de auditoria para avaliação
Modo de auditoria
Utilize o modo de auditoria para avaliar como as regras de redução da superfície de ataque afetariam a sua organização, se ativada. Execute primeiro todas as regras no modo de auditoria para que possa compreender como estas afetam as suas aplicações de linha de negócio. Muitas aplicações de linha de negócio são escritas com preocupações de segurança limitadas e podem realizar tarefas de formas semelhantes a software maligno.
Exclusões
Ao monitorizar os dados de auditoria e adicionar exclusões às aplicações necessárias, pode implementar regras de redução da superfície de ataque sem reduzir a produtividade.
Exclusões por regra
Para obter informações sobre como configurar exclusões por regra, consulte a secção intitulada Configurar as regras de redução da superfície de ataque por regra no artigo Testar regras de redução da superfície de ataque.
Modo de aviso para utilizadores
(NOVO!) Antes de avisar as capacidades do modo, as regras de redução da superfície de ataque que estão ativadas podem ser definidas para o modo de auditoria ou modo de bloqueio. Com o novo modo de aviso, sempre que o conteúdo é bloqueado por uma regra de redução da superfície de ataque, os utilizadores veem uma caixa de diálogo que indica que o conteúdo está bloqueado. A caixa de diálogo também oferece ao utilizador uma opção para desbloquear o conteúdo. Em seguida, o utilizador pode repetir a ação e a operação é concluída. Quando um utilizador desbloqueia o conteúdo, o conteúdo permanece desbloqueado durante 24 horas e, em seguida, bloqueia os currículos.
O modo de aviso ajuda a sua organização a ter regras de redução da superfície de ataque implementadas sem impedir que os utilizadores acedam ao conteúdo de que precisam para realizar as suas tarefas.
Requisitos para o modo de aviso funcionar
O modo de aviso é suportado em dispositivos com as seguintes versões do Windows:
- Windows 10, versão 1809 ou posterior
- Windows 11
- Windows Server, versão 1809 ou posterior
Microsoft Defender o Antivírus tem de estar em execução com proteção em tempo real no modo Ativo.
Além disso, certifique-se de Microsoft Defender as atualizações antivírus e antimalware estão instaladas.
- Requisito mínimo de lançamento da plataforma:
4.18.2008.9 - Requisito mínimo de versão do motor:
1.1.17400.5
Para obter mais informações e obter as atualizações, consulte Atualizar para Microsoft Defender plataforma antimalware.
Casos em que o modo de aviso não é suportado
O modo de aviso não é suportado para três regras de redução da superfície de ataque quando as configura no Microsoft Intune. (Se utilizar Política de Grupo para configurar as regras de redução da superfície de ataque, o modo de aviso é suportado.) As três regras que não suportam o modo de aviso quando as configura no Microsoft Intune são as seguintes:
- Bloquear o JavaScript ou o VBScript de iniciar o conteúdo executável transferido (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) - Bloquear a persistência através da subscrição de eventos WMI (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) - Utilizar proteção avançada contra ransomware (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
Além disso, o modo de aviso não é suportado em dispositivos com versões mais antigas do Windows. Nesses casos, as regras de redução da superfície de ataque configuradas para serem executadas no modo de aviso são executadas no modo de bloqueio.
Notificações e alertas
Sempre que uma regra de redução da superfície de ataque é acionada, é apresentada uma notificação no dispositivo. Pode personalizar a notificação com os detalhes da empresa e as informações de contacto.
Além disso, quando determinadas regras de redução da superfície de ataque são acionadas, são gerados alertas.
As notificações e quaisquer alertas gerados podem ser visualizados no portal do Microsoft Defender.
Para obter detalhes específicos sobre a funcionalidade de notificações e alertas, consulte: Detalhes de alertas e notificações por regra, no artigo Referência de regras de redução da superfície de ataque.
Eventos avançados de investigação e redução da superfície de ataque
Pode utilizar a investigação avançada para ver eventos de redução da superfície de ataque. Para simplificar o volume de dados recebidos, apenas os processos exclusivos para cada hora são visíveis com investigação avançada. A hora de um evento de redução da superfície de ataque é a primeira vez que esse evento é visto dentro da hora.
Por exemplo, suponha que um evento de redução da superfície de ataque ocorre em 10 dispositivos durante a hora das 14:00. Suponha que o primeiro evento ocorreu às 2:15 e o último às 2:45. Com a investigação avançada, verá uma instância desse evento (apesar de ter ocorrido em 10 dispositivos) e o carimbo de data/hora será 14:15.
Para obter mais informações sobre a investigação avançada, veja Proativamente investigar ameaças com investigação avançada.
Funcionalidades de redução da superfície de ataque em versões do Windows
Pode definir regras de redução da superfície de ataque para dispositivos que executem qualquer uma das seguintes edições e versões do Windows:
Windows 10 Pro, versão 1709 ou posterior
Windows 10 Enterprise, versão 1709 ou posterior
Windows Server, versão 1803 (Via de Atualizações Semianuais) ou posterior
-
Nota
Windows Server 2016 e Windows Server 2012 R2 terão de ser integrados com as instruções em Integrar servidores Windows para que esta funcionalidade funcione.
Embora as regras de redução da superfície de ataque não necessitem de uma licença do Windows E5, se tiver o Windows E5, obterá capacidades de gestão avançadas. As capacidades avançadas - disponíveis apenas no Windows E5 - incluem:
- A monitorização, análise e fluxos de trabalho disponíveis no Defender para Endpoint
- As capacidades de criação de relatórios e configuração no Microsoft Defender XDR.
Estas capacidades avançadas não estão disponíveis com uma licença do Windows Professional ou Windows E3. No entanto, se tiver essas licenças, pode utilizar Visualizador de Eventos e Microsoft Defender registos antivírus para rever os eventos da regra de redução da superfície de ataque.
Rever os eventos de redução da superfície de ataque no portal do Microsoft Defender
O Defender para Endpoint fornece relatórios detalhados para eventos e blocos como parte de cenários de investigação de alertas.
Pode consultar dados do Defender para Endpoint no Microsoft Defender XDR através da investigação avançada.
Eis uma consulta de exemplo:
DeviceEvents
| where ActionType startswith 'Asr'
Rever eventos de redução da superfície de ataque no Windows Visualizador de Eventos
Pode rever o registo de eventos do Windows para ver os eventos gerados pelas regras de redução da superfície de ataque:
Transfira o Pacote de Avaliação e extraia o ficheiro cfa-events.xml para uma localização facilmente acessível no dispositivo.
Introduza as palavras, Visualizador de Eventos, no menu Iniciar para abrir a Visualizador de Eventos do Windows.
Em Ações, selecione Importar vista personalizada....
Selecione o ficheiro cfa-events.xml a partir do local onde foi extraído. Em alternativa, copie o XML diretamente.
Selecione OK.
Pode criar uma vista personalizada que filtra eventos para mostrar apenas os seguintes eventos, todos relacionados com o acesso controlado a pastas:
| ID do Evento | Descrição |
|---|---|
| 5007 | Evento quando as definições são alteradas |
| 1121 | Evento quando a regra é acionada no modo de Bloqueio |
| 1122 | Evento quando a regra é acionada no modo de Auditoria |
A "versão do motor" listada para eventos de redução da superfície de ataque no registo de eventos é gerada pelo Defender para Endpoint e não pelo sistema operativo. O Defender para Endpoint está integrado com Windows 10 e Windows 11, pelo que esta funcionalidade funciona em todos os dispositivos com Windows 10 ou Windows 11 instalados.
Consulte também
- Descrição geral da implementação das regras de redução da superfície de ataque
- Planear a implementação de regras de redução da superfície de ataque
- Testar regras de redução da superfície de ataque
- Ativar regras de redução da superfície de ataque
- Operacionalizar regras de redução da superfície de ataque
- Relatório de regras de redução da superfície de ataque
- Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender
Sugestão
Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Endpoint no macOS
- Microsoft Defender para Endpoint no Mac
- Definições de política de Antivírus do macOS para o Antivírus do Microsoft Defender para Intune
- Definir preferências para o Microsoft Defender para Endpoint no Linux
- Microsoft Defender para Endpoint no Linux
- Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
- Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários