ASR-regler, distribution fas 2: test
Börja distributionen av ASR-regler med ring 1.

Steg 1: Testa ASR-regler med granskning
Starta testfasen genom att aktivera ASR-reglerna med reglerna inställda på Granskning, med början med dina mästare eller enheter i ring 1. Rekommendationen är vanligtvis att du aktiverar alla regler (i granskning) så att du kan avgöra vilka regler som utlöses under testfasen. Observera att regler som är inställda på Granskning i allmänhet inte påverkar funktioner för den eller de enheter som regeln tillämpas på, men genererar loggade händelser för utvärderingen. ingen effekt på slutanvändarna.
Konfigurera ASR-regler med MEM
Du kan använda Microsoft Endpoint Manager (MEM) Slutpunktssäkerhet för att konfigurera anpassade ASR-regler.
Gå till Endpoint SecurityAttack > surface reduction.
Välj Skapa princip.
I Plattform väljer du alternativ Windows 10 senare, och i Profil väljer du Minskningsregler för attackytan.

Klicka på Skapa.
På fliken Grunder i fönstret Skapa profil lägger du till ett namn för principen i Namn. I Beskrivning lägger du till en beskrivning av ASR-regelprincipen.
På fliken Konfigurationsinställningar går du till Attack Surface Reduction Rules och ställer in alla regler på Granskningsläge.

Anteckning
Det finns variationer i vissa ASR-regellägeslistor. Blockerad och Aktiverad ger samma funktioner.
[Valfritt] I fönstret Omfattningstaggar kan du lägga till tagginformation på specifika enheter. Du kan också använda rollbaserade åtkomstkontroller och omfattningstaggar för att se till att rätt administratörer har rätt åtkomst och synlighet till rätt Intune-objekt. Läs mer: Använd rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT i Intune.
I fönstret Uppgifter kan du distribuera eller "tilldela" profilen till dina användar- eller enhetsgrupper. Läs mer: Tilldela enhetsprofiler i Microsoft Intune
Granska inställningarna i fönstret Granska + skapa. Klicka på Skapa för att tillämpa reglerna.

Din nya policy för att minska attackytan för ASR-regler visas i Slutpunktssäkerhet | Minskning av attackytan.

Steg 2: Förstå rapportsidan för minskning av attackytor i Microsoft 365 Defender portalen
Sidan ASR-regelrapportering finns i Microsoft 365 Defender ReportsAttack > > surface reduction rules. Den här sidan har tre flikar:
- Identifieringar
- Konfiguration
- Lägg till undantag
Fliken Identifieringar
Ger en 30-dagars tidslinje med identifierade gransknings- och blockerade händelser.

Fönstret för att minska attackytan ger en översikt över identifierade händelser per regel.
Anteckning
Det finns några varianter i ASR-regelrapporter. Microsoft uppdaterar beteendet för ASR-regelrapporterna för att ge en enhetlig upplevelse.

Klicka på Visa identifieringar för att öppna fliken Identifieringar .

Fönstret GroupBy och Filter har följande alternativ:
GroupBy returnerar resultat som är inställda på följande grupper:
- Ingen gruppering
- Upptäckt fil
- Granska eller blockera
- Regel
- Källapp
- Enhet
- Användare
- Publisher

Filter öppnar sidan Filter på regler , där du kan begränsa resultatet till endast de valda ASR-reglerna:

Anteckning
Om du har en Microsoft Microsoft 365 Security E5 eller A5, Windows E5- eller A5-licens öppnar följande länk Microsoft Defender 365-rapporter > Attack surface kan nu > fliken Identifieringar.
Fliken Konfiguration
Listor – per dator – det samlade tillståndet för ASR-regler: Av, Granskning, Block.

På fliken Konfigurationer kan du per enhet kontrollera vilka ASR-regler som är aktiverade och i vilket läge, genom att välja den enhet som du vill granska ASR-regler för.

Länken Kom igång öppnar Microsoft Endpoint Manager, där du kan skapa eller ändra en slutpunktsskyddsprincip för ASR:

I Slutpunktssäkerhet | Översikt, välj Minska attackytan:

Slutpunktssäkerhets- | Fönstret för att minska attackytan öppnas:

Anteckning
Om du har en Microsoft Defender 365 E5-licens (eller Windows E5?) öppnas fliken Microsoft Defender 365-rapporter > Attack Surface kan > Konfigurationer.
Lägg till undantag
Den här fliken innehåller en metod för att välja identifierade enheter (till exempel falska positiva resultat) för undantag. När undantag läggs till ger rapporten en sammanfattning av den förväntade påverkan.
Anteckning
Microsoft Defender Antivirus AV-undantag tillämpas av ASR-regler. Se Konfigurera och validera undantag baserat på tillägg, namn eller plats.

Anteckning
Om du har en Microsoft Defender 365 E5-licens (eller Windows E5?) öppnas fliken Microsoft Defender 365-rapporter > Attack surface kan vara > Undantag.
Använd PowerShell som en alternativ metod för att aktivera ASR-regler
Du kan använda PowerShell – som ett alternativ till MEM – för att aktivera ASR-regler i granskningsläge för att visa en post med appar som skulle ha blockerats om funktionen var helt aktiverad. Du kan även få en uppfattning om hur ofta reglerna kommer att branda under normal användning.
Om du vill aktivera en minskningsregel för attackytor i granskningsläge använder du följande PowerShell-cmdlet:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Var <rule ID> finns ett GUID-värde för minskningsregeln för attackytan.
Använd följande PowerShell-cmdlet för att aktivera alla tillagda minskningsregler för attackytor i granskningsläge:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
Tips
Om du vill granska hur minskningsregler för attackytor fungerar i organisationen måste du använda ett hanteringsverktyg för att distribuera den här inställningen till enheter i dina nätverk.
Du kan också använda grupprincip-, Intune- eller MDM-konfigurationstjänstleverantörer (MDM) för att konfigurera och distribuera inställningen. Läs mer i huvudartikeln om minskning av attackytor .
Använda Windows Loggbokens granskning som ett alternativ till rapportsidan för minskning av attackytan i Microsoft 365 Defender portalen
Om du vill granska appar som skulle ha blockerats öppnar du Loggboken och filtrerar efter Händelse-ID 1121 i Microsoft-Windows-Windows Defender/Operational log. I följande tabell visas alla nätverksskyddshändelser.
| Händelse-ID | Beskrivning |
|---|---|
| 5007 | Händelse när inställningar ändras |
| 1121 | Händelse när en minskningsregel för attackytan av fires i blockläge |
| 1122 | Händelse när en minskningsregel för attackytan i granskningsläge |