ASR-regler, distribution fas 2: test

Börja distributionen av ASR-regler med ring 1.

Teststeg för ASR-regler

Steg 1: Testa ASR-regler med granskning

Starta testfasen genom att aktivera ASR-reglerna med reglerna inställda på Granskning, med början med dina mästare eller enheter i ring 1. Rekommendationen är vanligtvis att du aktiverar alla regler (i granskning) så att du kan avgöra vilka regler som utlöses under testfasen. Observera att regler som är inställda på Granskning i allmänhet inte påverkar funktioner för den eller de enheter som regeln tillämpas på, men genererar loggade händelser för utvärderingen. ingen effekt på slutanvändarna.

Konfigurera ASR-regler med MEM

Du kan använda Microsoft Endpoint Manager (MEM) Slutpunktssäkerhet för att konfigurera anpassade ASR-regler.

  1. Öppna Microsoft Endpoint Manager administrationscenter

  2. Gå till Endpoint SecurityAttack > surface reduction.

  3. Välj Skapa princip.

  4. I Plattform väljer du alternativ Windows 10 senare, och i Profil väljer du Minskningsregler för attackytan.

    Konfigurera ASR-regelprofil

  5. Klicka på Skapa.

  6. På fliken Grunder i fönstret Skapa profil lägger du till ett namn för principen i Namn. I Beskrivning lägger du till en beskrivning av ASR-regelprincipen.

  7. På fliken Konfigurationsinställningar går du till Attack Surface Reduction Rules och ställer in alla regler på Granskningsläge.

    Ange ASR-regler som granskningsläge

    Anteckning

    Det finns variationer i vissa ASR-regellägeslistor. Blockerad och Aktiverad ger samma funktioner.

  8. [Valfritt] I fönstret Omfattningstaggar kan du lägga till tagginformation på specifika enheter. Du kan också använda rollbaserade åtkomstkontroller och omfattningstaggar för att se till att rätt administratörer har rätt åtkomst och synlighet till rätt Intune-objekt. Läs mer: Använd rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT i Intune.

  9. I fönstret Uppgifter kan du distribuera eller "tilldela" profilen till dina användar- eller enhetsgrupper. Läs mer: Tilldela enhetsprofiler i Microsoft Intune

  10. Granska inställningarna i fönstret Granska + skapa. Klicka på Skapa för att tillämpa reglerna.

Aktivera ASR-regelprincip

Din nya policy för att minska attackytan för ASR-regler visas i Slutpunktssäkerhet | Minskning av attackytan.

ASR-regelprincip listad

Steg 2: Förstå rapportsidan för minskning av attackytor i Microsoft 365 Defender portalen

Sidan ASR-regelrapportering finns i Microsoft 365 Defender ReportsAttack > > surface reduction rules. Den här sidan har tre flikar:

  • Identifieringar
  • Konfiguration
  • Lägg till undantag

Fliken Identifieringar

Ger en 30-dagars tidslinje med identifierade gransknings- och blockerade händelser.

Fliken för att minska attackytans igenkänningsregler

Fönstret för att minska attackytan ger en översikt över identifierade händelser per regel.

Anteckning

Det finns några varianter i ASR-regelrapporter. Microsoft uppdaterar beteendet för ASR-regelrapporterna för att ge en enhetlig upplevelse.

Regelidentifiering för att minska attackytan

Klicka på Visa identifieringar för att öppna fliken Identifieringar .

Minskningsregler för attackytor

Fönstret GroupBy och Filter har följande alternativ:

GroupBy returnerar resultat som är inställda på följande grupper:

  • Ingen gruppering
  • Upptäckt fil
  • Granska eller blockera
  • Regel
  • Källapp
  • Enhet
  • Användare
  • Publisher

GruppBy-filter för att minska attackytans minskningsregler

Filter öppnar sidan Filter på regler , där du kan begränsa resultatet till endast de valda ASR-reglerna:

Filter för att minska attackytans regler för identifiering av regler

Anteckning

Om du har en Microsoft Microsoft 365 Security E5 eller A5, Windows E5- eller A5-licens öppnar följande länk Microsoft Defender 365-rapporter > Attack surface kan nu > fliken Identifieringar.

Fliken Konfiguration

Listor – per dator – det samlade tillståndet för ASR-regler: Av, Granskning, Block.

Fliken Konfigurationsflik för att minska attackytan

På fliken Konfigurationer kan du per enhet kontrollera vilka ASR-regler som är aktiverade och i vilket läge, genom att välja den enhet som du vill granska ASR-regler för.

Aktiverade minskningsregler för attackytor och -läge

Länken Kom igång öppnar Microsoft Endpoint Manager, där du kan skapa eller ändra en slutpunktsskyddsprincip för ASR:

Minskningsregler för attackytor i MEM

I Slutpunktssäkerhet | Översikt, välj Minska attackytan:

Minskning av attackytan i MEM

Slutpunktssäkerhets- | Fönstret för att minska attackytan öppnas:

Fönstret Asr för slutpunktssäkerhet

Anteckning

Om du har en Microsoft Defender 365 E5-licens (eller Windows E5?) öppnas fliken Microsoft Defender 365-rapporter > Attack Surface kan > Konfigurationer.

Lägg till undantag

Den här fliken innehåller en metod för att välja identifierade enheter (till exempel falska positiva resultat) för undantag. När undantag läggs till ger rapporten en sammanfattning av den förväntade påverkan.

Anteckning

Microsoft Defender Antivirus AV-undantag tillämpas av ASR-regler. Se Konfigurera och validera undantag baserat på tillägg, namn eller plats.

Verktyget Endpoint Security Asr

Anteckning

Om du har en Microsoft Defender 365 E5-licens (eller Windows E5?) öppnas fliken Microsoft Defender 365-rapporter > Attack surface kan vara > Undantag.

Använd PowerShell som en alternativ metod för att aktivera ASR-regler

Du kan använda PowerShell – som ett alternativ till MEM – för att aktivera ASR-regler i granskningsläge för att visa en post med appar som skulle ha blockerats om funktionen var helt aktiverad. Du kan även få en uppfattning om hur ofta reglerna kommer att branda under normal användning.

Om du vill aktivera en minskningsregel för attackytor i granskningsläge använder du följande PowerShell-cmdlet:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Var <rule ID> finns ett GUID-värde för minskningsregeln för attackytan.

Använd följande PowerShell-cmdlet för att aktivera alla tillagda minskningsregler för attackytor i granskningsläge:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Tips

Om du vill granska hur minskningsregler för attackytor fungerar i organisationen måste du använda ett hanteringsverktyg för att distribuera den här inställningen till enheter i dina nätverk.

Du kan också använda grupprincip-, Intune- eller MDM-konfigurationstjänstleverantörer (MDM) för att konfigurera och distribuera inställningen. Läs mer i huvudartikeln om minskning av attackytor .

Använda Windows Loggbokens granskning som ett alternativ till rapportsidan för minskning av attackytan i Microsoft 365 Defender portalen

Om du vill granska appar som skulle ha blockerats öppnar du Loggboken och filtrerar efter Händelse-ID 1121 i Microsoft-Windows-Windows Defender/Operational log. I följande tabell visas alla nätverksskyddshändelser.

Händelse-ID Beskrivning
5007 Händelse när inställningar ändras
1121 Händelse när en minskningsregel för attackytan av fires i blockläge
1122 Händelse när en minskningsregel för attackytan i granskningsläge

Ytterligare avsnitt i den här distributionssamlingen

Distributionsöversikt för ASR-regler

Fas 1: Planera

Fas 3: Implementera

Fas 4: Operationalisera