Проверка работы функций Microsoft Defender для конечных точек в режиме аудитаTest how Microsoft Defender for Endpoint features work in audit mode

Область применения:Applies to:

Вы можете включить правила уменьшения поверхности атаки, защиту от эксплойтов, защиту сети и контролируемый доступ к папкам в режиме аудита.You can enable attack surface reduction rules, exploit protection, network protection, and controlled folder access in audit mode. Режим аудита позволяет увидеть запись того, что произошло бы, если бы вы включили эту функцию.Audit mode lets you see a record of what would have happened if you had enabled the feature.

При тестировании работы функций в организации может потребоваться включить режим аудита.You may want to enable audit mode when testing how the features will work in your organization. Это поможет убедиться, что ваши бизнес-приложения не затронуты.This will help make sure your line-of-business apps aren't affected. Вы также можете получить представление о том, сколько попыток изменения подозрительных файлов происходит в течение определенного периода времени.You can also get an idea of how many suspicious file modification attempts occur over a certain period of time.

Эти функции не будут блокировать приложения, скрипты или файлы, которые не будут изменяться.The features won't block or prevent apps, scripts, or files from being modified. Однако журнал событий Windows будет записывать события так, как если бы функции были полностью включены.However, the Windows Event Log will record events as if the features were fully enabled. В режиме аудита можно просмотреть журнал событий, чтобы узнать, какое влияние эта функция оказала бы, если бы она была включена.With audit mode, you can review the event log to see what impact the feature would have had if it was enabled.

Чтобы найти проверенные записи, перейдите к приложениям и службам > Microsoft > Windows > Защитник Windows > Operational.To find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

Вы можете использовать Defender для конечной точки, чтобы получить более подробные сведения для каждого события, особенно для исследования правил уменьшения поверхности атаки.You can use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. Использование консоли Defender для конечной точки позволяет исследовать проблемы в рамках временной шкалы оповещений и сценариев расследования.Using the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

Чтобы включить режим аудита, можно использовать поставщики групповых политик, PowerShell и служб конфигурации (CSP).You can use Group Policy, PowerShell, and configuration service providers (CSPs) to enable audit mode.

Совет

Вы также можете посетить веб Защитник Windows тестовом сайте demo.wd.microsoft.com, чтобы подтвердить, что функции работают, и посмотреть, как они работают.You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

Параметры аудитаAudit options Как включить режим аудитаHow to enable audit mode Просмотр событийHow to view events
Аудит применяется ко всем событиямAudit applies to all events Включить контролируемый доступ к папкамEnable controlled folder access События доступа к управляемым папкамControlled folder access events
Аудит применяется к отдельным правиламAudit applies to individual rules Включить правила сокращения направлений атакEnable attack surface reduction rules События правила уменьшения поверхности атакиAttack surface reduction rule events
Аудит применяется ко всем событиямAudit applies to all events Включить защиту сетиEnable network protection События защиты сетиNetwork protection events
Аудит применяется к отдельным смягчамAudit applies to individual mitigations Включить защиту от эксплойтовEnable exploit protection События защиты эксплойтовExploit protection events