Descrição geral das regras de redução da superfície de ataque

Artigo
05/18/2022
3 minutos para ler

Aplica-se a:

API do Microsoft Defender para Endpoint 2
Microsoft 365 Defender
Antivírus do Microsoft Defender

Plataformas

Windows

Porque é que as regras de redução da superfície de ataque são importantes

A superfície de ataque da sua organização inclui todos os locais onde um atacante pode comprometer os dispositivos ou redes da sua organização. Reduzir a sua superfície de ataque significa proteger os dispositivos e a rede da sua organização, o que deixa os atacantes com menos formas de efetuar ataques. Configurar regras de redução da superfície de ataque Microsoft Defender para Endpoint pode ajudar!

As regras de redução da superfície de ataque têm como alvo determinados comportamentos de software, tais como:

Iniciar ficheiros e scripts executáveis que tentam transferir ou executar ficheiros
Executar scripts obfuscados ou suspeitos
Executar comportamentos que as aplicações normalmente não iniciam durante o trabalho normal do dia a dia

Por vezes, estes comportamentos de software são vistos em aplicações legítimas. No entanto, estes comportamentos são frequentemente considerados arriscados porque são frequentemente abusados por atacantes através de software maliceiro. As regras de redução da superfície de ataque podem restringer comportamentos de risco baseados em software e ajudar a manter a sua organização segura.

Para obter mais informações sobre a configuração de regras de redução da superfície de ataque, consulte Octam regras de redução da superfície de ataque.

Avaliar o impacto das regras antes da implementação

Pode avaliar como uma regra de redução da superfície de ataque poderá afetar a sua rede ao abrir a recomendação de segurança para essa regra no Gestão de Vulnerabilidades e Ameaças.

No painel de detalhes da recomendação, verifique o impacto do utilizador para determinar que percentagem dos seus dispositivos podem aceitar uma nova política que ativa a regra no modo de bloqueio sem afetar negativamente a produtividade.

Consulte os Requisitos do artigo "Ativar regras de redução da superfície de ataque" para obter informações sobre sistemas operativos suportados e informações adicionais sobre requisitos.

Modo de auditoria para avaliação

Utilize o modo de auditoria para avaliar como as regras de redução da superfície de ataque afetariam a sua organização se ativada. Primeiro, execute todas as regras no modo de auditoria para compreender como afetam as suas aplicações de linha de negócio. Muitas aplicações de linha de negócio são escritas com questões de segurança limitadas e podem desempenhar tarefas de formas semelhantes a software malware. Ao monitorizar os dados de auditoria e adicionar exclusões de aplicações necessárias, pode implementar regras de redução da superfície de ataque sem reduzir a produtividade.

Modo de aviso para utilizadores

(NOVO!) Antes das capacidades do modo de aviso, as regras de redução da superfície de ataque que estão ativadas podem ser definidas para o modo de auditoria ou de bloqueio. Com o novo modo de aviso, sempre que o conteúdo for bloqueado por uma regra de redução da superfície de ataque, os utilizadores veem uma caixa de diálogo que indica que os conteúdos estão bloqueados. A caixa de diálogo também oferece ao utilizador uma opção para desbloquear os conteúdos. Em seguida, o utilizador pode repetir a ação e a operação é concluída. Quando um utilizador desbloqueia conteúdo, os conteúdos permanecem desbloqueados durante 24 horas e, em seguida, bloqueia os currículos.

O modo de aviso ajuda a sua organização a ter regras de redução da superfície de ataque sem impedir que os utilizadores acedam aos conteúdos de que precisam para efetuar as tarefas.

Requisitos para o modo de aviso funcionar

O modo de aviso é suportado em dispositivos que executam as seguintes versões do Windows:

Windows 10, versão 1809 ou posterior
Windows 11
Windows Server, versão 1809 ou posterior

Antivírus do Microsoft Defender de estar em execução com proteção em tempo real no modo Ativo.

Além disso, certifique-se Antivírus do Microsoft Defender atualizações de antimalware e de que estão instaladas.

Requisitos mínimos de lançamento da plataforma: 4.18.2008.9
Requisitos mínimos de lançamento do motor: 1.1.17400.5

Para obter mais informações e obter as suas atualizações, consulte Atualizar para a plataforma antimalware do Microsoft Defender.

Casos em que o modo de aviso não é suportado

O modo de aviso não é suportado para três regras de redução da superfície de ataque quando as configura no Microsoft Endpoint Manager. (Se utilizar o Política de Grupo para configurar as regras de redução da superfície de ataque, o modo de aviso é suportado.) As três regras que não suportam o modo de aviso quando as configura no Microsoft Endpoint Manager são as seguintes:

Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido (GUID d3e037e1-3eb8-44c8-a917-57927947596d)
Bloquear a persistência através da subscrição de eventos WMI (GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
Utilizar proteção avançada contra ransomware (GUID c1db55ab-c21a-4637-bb3f-a12568109d35)

Além disso, o modo de aviso não é suportado em dispositivos que executem versões anteriores Windows. Nesses casos, as regras de redução da superfície de ataque configuradas para ser executadas no modo de aviso serão executadas no modo de bloqueio.

Notificações e alertas

Sempre que é ativada uma regra de redução da superfície de ataque, é apresentada uma notificação no dispositivo. Pode personalizar a notificação com os detalhes da sua empresa e as informações de contacto.

Além disso, quando são ativadas determinadas regras de redução da superfície de ataque, são gerados alertas.

As notificações e os alertas gerados podem ser vistos no portal de Microsoft 365 Defender dados.

Para obter detalhes específicos sobre a funcionalidade de notificação e alerta, consulte: Detalhes de alertas e notificações por regra, no artigo Referência das regras de redução da superfície de ataque.

Eventos avançados de redução da superfície de ataque e procura

Pode utilizar a pesquisa avançada para ver eventos de redução da superfície de ataque. Para simplificar o volume de dados de entrada, apenas os processos exclusivos de cada hora podem ser vistos com procura avançada. A hora de um evento de redução da superfície de ataque é a primeira vez que esse evento é visto dentro de uma hora.

Por exemplo, suponha que um evento de redução da superfície de ataque ocorre em 10 dispositivos durante a hora das 14:00. Imaginemos que o primeiro evento ocorreu às 2:15 e o último às 2:45. Com a procura avançada, verá uma instância do evento (mesmo que tenha ocorrido em 10 dispositivos) e o seu horário será 14:15.

Para obter mais informações sobre a procura avançada, consulte Proativamente procurar ameaças com procura avançada.

Funcionalidades de redução da superfície de ataque Windows diferentes

Pode definir regras de redução da superfície de ataque para dispositivos que executam qualquer uma das seguintes edições e versões do Windows:

Windows 10 Pro, versão 1709 ou posterior
Windows 10 Enterprise, versão 1709 ou posterior
Windows Server, versão 1803 (Via de Atualizações Semesuais) ou posterior
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Nota

Windows Server 2016 e Windows Server 2012 R2 terão de ser ativados ao seguir as instruções em Servidores de Windows para que esta funcionalidade funcione.

Embora as regras de redução da superfície de ataque não necessitem de uma licença do Windows E5, se tiver uma licença Windows E5, obterá funcionalidades de gestão avançadas. As funcionalidades avançadas - disponíveis apenas no Windows E5 - incluem:

A monitorização, análise e fluxos de trabalho disponíveis no Defender para Pontos Finais
As funcionalidades de relatórios e configuração Microsoft 365 Defender.

Estas funcionalidades avançadas não estão disponíveis com uma licença Windows profissional ou Windows E3. No entanto, se tiver essas licenças, pode utilizar registos Visualizador de Eventos e Antivírus do Microsoft Defender para rever os eventos da regra de redução da superfície de ataque.

Rever eventos de redução da superfície de ataque no portal Microsoft 365 Defender

O Defender para Pontos Finais fornece relatórios detalhados para eventos e blocos como parte de cenários de investigação de alertas.

Pode consulta o Defender para dados de Pontos Finais no Microsoft 365 Defender utilizando a procura avançada.

Eis uma consulta de exemplo:

DeviceEvents
| where ActionType startswith 'Asr'

Rever eventos de redução da superfície de ataque Windows Visualizador de Eventos

Pode rever o registo de eventos Windows para ver os eventos gerados pelas regras de redução da superfície de ataque:

Transfira o Pacote de Avaliação e extraia ocfa-events.xml ficheiro para uma localização facilmente acessível no dispositivo.
Introduza as palavras, Visualizador de Eventos, na menu Iniciar para abrir a Windows Visualizador de Eventos.
Em Ações, selecione Importar vista personalizada....
Selecione o cfa-events.xml de onde foi extraído. Em alternativa, copie o XML diretamente.
Selecione OK.

Pode criar uma vista personalizada que filtra os eventos para mostrar apenas os seguintes eventos, todos eles relacionados com o acesso controlado a pastas:

ID do Evento	Descrição
5007	Evento quando as definições são alteradas
1121	Evento quando a regra é ateada no modo de Bloqueio
1122	Evento quando a regra é atenhada no Modo de auditoria

A "versão do motor" listada para eventos de redução da superfície de ataque no registo de eventos, é gerada pelo Defender para Endpoint e não pelo sistema operativo. O Defender para Pontos Finais está integrado com Windows 10 e Windows 11, pelo que esta funcionalidade funciona em todos os dispositivos com Windows 10 ou Windows 11 instalados.

Dica

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte: