Testar regras de redução da superfície de ataque

Aplica-se a:

Testar Microsoft Defender para Endpoint regras de redução da superfície de ataque ajuda a determinar se as regras impedem operações de linha de negócio antes de ativar qualquer regra. Ao começar com um grupo pequeno e controlado, pode limitar potenciais interrupções de trabalho à medida que expande a sua implementação em toda a sua organização.

Nesta secção do guia de implementação das regras de redução da superfície de ataque, irá aprender a:

  • configurar regras com Microsoft Intune
  • utilizar Microsoft Defender para Endpoint relatórios de regras de redução da superfície de ataque
  • configurar exclusões de regras de redução da superfície de ataque
  • ativar regras de redução da superfície de ataque com o PowerShell
  • utilizar Visualizador de Eventos para eventos de regras de redução da superfície de ataque

Nota

Antes de começar a testar as regras de redução da superfície de ataque, recomenda-se que desative primeiro todas as regras que definiu anteriormente para auditar ou ativar (se aplicável). Consulte Relatórios de regras de redução da superfície de ataque para obter informações sobre como utilizar o relatório de regras de redução da superfície de ataque para desativar as regras de redução da superfície de ataque.

Inicie a implementação das regras de redução da superfície de ataque com a cadência 1.

Os passos de teste Microsoft Defender para Endpoint redução da superfície de ataque (regras ASR). Auditar regras de redução da superfície de ataque, configurar exclusões de regras ASR. Configure as regras do ASR Intune. Exclusões de regras do ASR. Visualizador de eventos de regras do ASR.

Passo 1: Testar as regras de redução da superfície de ataque com a Auditoria

Inicie a fase de teste ao ativar as regras de redução da superfície de ataque com as regras definidas como Auditoria, começando pelos seus utilizadores ou dispositivos campeões na cadência 1. Normalmente, a recomendação é que ative todas as regras (em Auditoria) para que possa determinar que regras são acionadas durante a fase de teste. As regras definidas como Auditoria não afetam geralmente a funcionalidade da entidade ou entidades às quais a regra é aplicada, mas geram eventos registados para a avaliação; não existe nenhum efeito sobre os utilizadores finais.

Configurar regras de redução da superfície de ataque com Intune

Pode utilizar Microsoft Intune Endpoint Security para configurar regras personalizadas de redução da superfície de ataque.

  1. Abra o centro de administração do Microsoft Intune.

  2. Aceda a Endpoint SecurityAttack surface reduction (Redução da superfície do Ataque de Segurança > de Ponto Final).

  3. Selecione Criar Política.

  4. Em Plataforma, selecione Windows 10, Windows 11 e Windows Server e, em Perfil, selecione Regras de redução da superfície de ataque.

    A página de criação de perfis para regras ASR

  5. Selecione Criar.

  6. No separador Informações Básicas do painel Criar perfil , em Nome , adicione um nome para a sua política. Em Descrição , adicione uma descrição para a política de regras de redução da superfície de ataque.

  7. No separador Definições de configuração , em Regras de Redução da Superfície de Ataque, defina todas as regras como Modo de auditoria.

    A configuração das regras de redução da superfície de ataque para o Modo de auditoria

    Nota

    Existem variações em algumas listas de regras de redução da superfície de ataque; Bloqueados e Ativados fornecem a mesma funcionalidade.

  8. [Opcional] No painel Etiquetas de âmbito , pode adicionar informações de etiquetas a dispositivos específicos. Também pode utilizar o controlo de acesso baseado em funções e etiquetas de âmbito para garantir que os administradores certos têm o acesso e visibilidade certos para os objetos Intune corretos. Saiba mais: Utilizar o controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuída no Intune.

  9. No painel Atribuições , pode implementar ou "atribuir" o perfil aos grupos de utilizadores ou dispositivos. Saiba mais: Atribuir perfis de dispositivo no Microsoft Intune

    Nota

    A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

  10. Reveja as suas definições no painel Rever + criar . Clique em Criar para aplicar as regras.

    A página Criar perfil

A nova política de redução da superfície de ataque para regras de redução da superfície de ataque está listada em Segurança de ponto final | Redução da superfície de ataque.

 A página Redução da superfície de ataque

Passo 2: Compreender a página de relatório de regras de redução da superfície de ataque no portal do Microsoft Defender

A página de relatório de regras de redução da superfície de ataque encontra-se no portal do Microsoft Defender relatórios>Regras> deredução da superfície de ataque. Esta página tem três separadores:

  • Deteções
  • Configuração
  • Adicionar exclusões

Separador Deteções

Fornece uma linha cronológica de 30 dias de eventos de auditoria detetados e bloqueados.

O gráfico que mostra as regras de redução da superfície de ataque reporta o cartão de deteções de resumo.

O painel de regras de redução da superfície de ataque fornece uma descrição geral dos eventos detetados por regra.

Nota

Existem algumas variações nos relatórios de regras de redução da superfície de ataque. A Microsoft está a atualizar o comportamento dos relatórios de regras de redução da superfície de ataque para proporcionar uma experiência consistente.

Gráfico que mostra as regras de redução da superfície de ataque reportam o cartão de configuração de resumo.

Selecione Ver deteções para abrir o separador Deteções .

Captura de ecrã que mostra a funcionalidade de pesquisa de relatórios de regras de redução da superfície de ataque.

O painel GroupBy e Filter fornecem as seguintes opções:

O GroupBy devolve os resultados definidos para os seguintes grupos:

  • Sem agrupamento
  • Ficheiro detetado
  • Auditar ou bloquear
  • Regra
  • Aplicação de origem
  • Dispositivo
  • Utilizador
  • Publisher

Nota

Ao filtrar por regra, o número de itens detetados individuais listados na metade inferior do relatório está atualmente limitado a 200 regras. Pode utilizar Exportar para guardar a lista completa de deteções no Excel.

Captura de ecrã que mostra a funcionalidade de pesquisa de relatórios de regras do ASR no separador de configuração.

O filtro abre a página Filtrar nas regras , que lhe permite definir o âmbito dos resultados apenas para as regras de redução da superfície de ataque selecionadas:

O filtro Deteções de regras de redução da superfície de ataque nas regras

Nota

Se tiver uma licença microsoft Microsoft 365 Security E5 ou A5, Windows E5 ou A5, a seguinte ligação abre o separador Deteções da superfície de ataque Microsoft Defender 365 Relatórios>>.

Separador Configuração

Listas, por computador, o estado agregado das regras de redução da superfície de ataque: Desativado, Auditoria, Bloquear.

Captura de ecrã que mostra o separador de configuração principal relatório de regras de redução da superfície de ataque.

No separador Configurações, pode verificar, por dispositivo, que regras de redução da superfície de ataque estão ativadas e em que modo, selecionando o dispositivo para o qual pretende rever as regras de redução da superfície de ataque.

Captura de ecrã que mostra a lista de opções de regras do ASR para adicionar regras ASR aos dispositivos.

A ligação Introdução abre o centro de administração do Microsoft Intune, onde pode criar ou modificar uma política de proteção de ponto final para a redução da superfície de ataque:

O item de menu *Segurança do ponto final na página Descrição geral

Em Segurança de ponto final | Descrição geral, selecione Redução da superfície de ataque:

A redução da superfície de ataque no Intune

A Segurança de Ponto Final | É aberto o painel de redução da superfície de ataque:

O painel Segurança de ponto final Redução da superfície de ataque

Nota

Se tiver uma licença do Microsoft Defender 365 E5 (ou Windows E5?), esta ligação abrirá o separador Configurações da superfície de ataque Microsoft Defender 365 Relatórios>>.

Adicionar exclusões

Este separador fornece um método para selecionar entidades detetadas (por exemplo, falsos positivos) para exclusão. Quando são adicionadas exclusões, o relatório apresenta um resumo do impacto esperado.

Nota

Microsoft Defender as exclusões AV do Antivírus são respeitadas pelas regras de redução da superfície de ataque. Veja Configurar e validar exclusões com base na extensão, nome ou localização.

O painel para exclusão do ficheiro detetado

Nota

Se tiver uma licença do Microsoft Defender 365 E5 (ou Windows E5?), esta ligação abrirá o separador Exclusões da superfície de ataque Microsoft Defender 365 Relatórios>>.

Para obter mais informações sobre como utilizar o relatório de regras de redução da superfície de ataque, consulte Relatórios de regras de redução da superfície de ataque.

Configurar a redução da superfície de ataque por exclusões de regras

As regras de redução da superfície de ataque fornecem agora a capacidade de configurar exclusões específicas de regras, conhecidas como "Exclusões por Regra".

Nota

Atualmente, as exclusões por regra não podem ser configuradas com o PowerShell ou Política de Grupo.

Para configurar exclusões de regras específicas:

  1. Abra o Microsoft Intune centro de administração e navegue para Home>Endpoint security>Redução da superfície de ataque.

  2. Se ainda não estiver configurada, defina a regra para a qual pretende configurar exclusões como Auditoria ou Bloquear.

  3. No ASR Apenas Por Exclusão de Regra, clique no botão de alternar para mudar de Não configurado para Configurado.

  4. Introduza os nomes dos ficheiros ou da aplicação que pretende excluir.

  5. Na parte inferior do assistente Criar perfil , selecione Seguinte e siga as instruções do assistente.

Captura de ecrã a mostrar as definições de configuração para adicionar exclusões ASR por regra.

Sugestão

Utilize as caixas de verificação junto à sua lista de entradas de exclusão para selecionar itens para Eliminar, Ordenar, Importar ou Exportar.

Utilizar o PowerShell como um método alternativo para ativar as regras de redução da superfície de ataque

Pode utilizar o PowerShell , como alternativa ao Intune, para ativar as regras de redução da superfície de ataque no modo de auditoria para ver um registo de aplicações que teriam sido bloqueadas se a funcionalidade estivesse totalmente ativada. Também pode ter uma ideia da frequência com que as regras são acionadas durante a utilização normal.

Para ativar uma regra de redução da superfície de ataque no modo de auditoria, utilize o seguinte cmdlet do PowerShell:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Em <rule ID> que é um valor GUID da regra de redução da superfície de ataque.

Para ativar todas as regras de redução da superfície de ataque adicionadas no modo de auditoria, utilize o seguinte cmdlet do PowerShell:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Sugestão

Se quiser auditar totalmente como as regras de redução da superfície de ataque funcionarão na sua organização, terá de utilizar uma ferramenta de gestão para implementar esta definição em dispositivos nas suas redes.

Também pode utilizar Política de Grupo, Intune ou fornecedores de serviços de configuração (CSPs) de gestão de dispositivos móveis (MDM) para configurar e implementar a definição. Saiba mais no artigo principal Regras de redução da superfície de ataque .

Utilize o Windows Visualizador de Eventos Review como alternativa à página de relatório de regras de redução da superfície de ataque no portal do Microsoft Defender

Para rever as aplicações que teriam sido bloqueadas, abra Visualizador de Eventos e filtre o ID do Evento 1121 no registo Microsoft-Windows-Windows Defender/Operacional. A tabela seguinte lista todos os eventos de proteção de rede.

ID do Evento Descrição
5007 Evento quando as definições são alteradas
1121 Evento quando uma regra de redução da superfície de ataque é acionada no modo de bloqueio
1122 Evento quando uma regra de redução da superfície de ataque é acionada no modo de auditoria

Descrição geral da implementação das regras de redução da superfície de ataque

Planear a implementação de regras de redução da superfície de ataque

Ativar regras de redução da superfície de ataque

Operacionalizar regras de redução da superfície de ataque

Referência das regras de redução da superfície de ataque

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.