Operacionalizar regras de redução da superfície de ataque

  • Artigo

Aplica-se a:

Depois de implementar completamente as regras de redução da superfície de ataque, é vital que tenha processos implementados para monitorizar e responder a atividades relacionadas com o ASR. As atividades incluem:

Gerir regras asr falsos positivos

Podem ocorrer falsos positivos/negativos com qualquer solução de proteção contra ameaças. Os falsos positivos são casos em que uma entidade (como um ficheiro ou processo) é detetada e identificada como maliciosa, embora a entidade não seja realmente uma ameaça. Por outro lado, um falso negativo é uma entidade que não foi detetada como uma ameaça, mas que é maliciosa. Para obter mais informações sobre falsos positivos e falsos negativos, consulte: Resolver falsos positivos/negativos no Microsoft Defender para Endpoint

Manter-se atualizado com os relatórios de regras do ASR

A revisão regular e consistente dos relatórios é um aspeto essencial para manter a implementação das regras de redução da superfície de ataque e manter-se a par das ameaças recém-emergentes. A sua organização deve ter revisões agendadas de eventos de regras de redução da superfície de ataque numa cadência que se mantém atualizada com eventos comunicados pelas regras de redução da superfície de ataque. Consoante o tamanho da sua organização, as revisões podem ser monitorizações diárias, horárias ou contínuas.

As regras do ASR – Investigação Avançada

Uma das características mais poderosas do Microsoft Defender XDR é a caça avançada. Se não estiver familiarizado com a investigação avançada, consulte: Proativamente, procure ameaças com investigação avançada.

A página Investigação Avançada no portal Microsoft Defender. Microsoft Defender para Endpoint regras de redução da superfície de ataque utilizadas na caça avançada

A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas (Linguagem de Pesquisa Kusto) que lhe permite explorar até 30 dias dos dados capturados. Através da investigação avançada, pode inspecionar proativamente eventos para localizar indicadores e entidades interessantes. O acesso flexível aos dados facilita a investigação sem restrições para ameaças conhecidas e potenciais.

Através da investigação avançada, é possível extrair informações sobre regras de redução da superfície de ataque, criar relatórios e obter informações aprofundadas sobre o contexto de uma determinada auditoria de regras de redução da superfície de ataque ou evento de bloqueio.

Pode consultar eventos de regra de redução da superfície de ataque a partir da tabela DeviceEvents na secção de investigação avançada do portal Microsoft Defender. Por exemplo, a consulta seguinte mostra como comunicar todos os eventos que têm regras de redução da superfície de ataque como origem de dados, nos últimos 30 dias. Em seguida, a consulta resume pela contagem ActionType com o nome da regra de redução da superfície de ataque.

Os eventos de redução da superfície de ataque mostrados no portal de investigação em avanço são limitados a processos exclusivos vistos a cada hora. A hora do evento de redução da superfície de ataque é a primeira vez que o evento é visto dentro dessa hora.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

A consulta Investigação avançada resulta no portal do Microsoft Defender

O acima mostra que foram registados 187 eventos para AsrLsassCredentialTheft:

  • 102 para Bloqueado
  • 85 para Auditado
  • Dois eventos para AsrOfficeChildProcess (1 para Audited e 1 para Block)
  • Oito eventos para AsrPsexecWmiChildProcessAudited

Se quiser focar-se na regra AsrOfficeChildProcess e obter detalhes sobre os processos e ficheiros reais envolvidos, altere o filtro de ActionType e substitua a linha resumida por uma projeção dos campos pretendidos (neste caso, são DeviceName, FileName, FolderPath, etc.).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

A consulta investigação avançada centrou os resultados no portal do Microsoft Defender

O verdadeiro benefício da investigação avançada é que pode moldar as consultas de acordo com as suas preferências. Ao moldar a sua consulta, pode ver a história exata do que estava a acontecer, independentemente de querer identificar algo numa máquina individual ou de extrair informações de todo o seu ambiente.

Para obter mais informações sobre as opções de investigação, consulte: Desmistificar as regras de redução da superfície de ataque – Parte 3.

Artigos nesta coleção de implementação

Descrição geral da implementação das regras de redução da superfície de ataque

Planear a implementação de regras de redução da superfície de ataque

Testar regras de redução da superfície de ataque

Ativar regras de redução da superfície de ataque

Referência das regras de redução da superfície de ataque

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.