ASR-regler, distribution fas 4: driftisering
När du har distribuerat ASR-reglerna fullt ut är det viktigt att det finns processer för att övervaka och svara på ASR-relaterade aktiviteter.
Hantera falska positiva resultat
Falska positiva/negativa kan uppstå med alla hotskyddslösning. Falska positiva resultat är fall där en en enhet (t.ex. en fil eller process) identifieras och identifieras som skadlig, även om entiteten inte i själva verket inte är ett hot. Falskt negativa är en enhet som inte identifierades som ett hot men är skadlig. Mer information om falska positiva och falska negativa resultat finns i: Adress till falska positiva/negativa tal i Microsoft Defender för slutpunkt
Hålla koll på rapporter
Konsekvent och regelbunden granskning av rapporter är en viktig del av underhållet av ASR-regler och att hålla koll på nya hot. Organisationen bör ha schemalagda granskningar av ASR-regelhändelser i en takt som håller sig aktuell med ASR-rapporterade händelser. Beroende på hur stor organisationen är kan granskningarna vara dagligen, varje timme eller kontinuerlig övervakning.
Jakt
En av de mest kraftfulla funktionerna i Microsoft 365 Defender är avancerad sökning. Om du inte är bekant med avancerad sökning kan du gå till: Proaktivt leta efter hot med avancerad sökning.

Avancerad sökning är ett frågebaserat verktyg (Kusto Query Language) som du kan använda för att utforska upp till 30 dagar av den registrerade informationen (rådata) som Microsoft Defender ATP Endpoint Detection and Response (Identifiering och åtgärd på slutpunkt) samlar in från alla dina datorer. Genom avancerad sökning kan du proaktivt kontrollera händelser för att hitta intressanta indikatorer och enheter. Den flexibla åtkomsten till data underlättar olinad insamling av både kända och potentiella hot.
Genom avancerad sökning kan du extrahera ASR-regelinformation, skapa rapporter och få ingående information om kontexten för en viss ASR-regelgranskning eller blockhändelse.
Du kan köra frågor mot ASR-regelhändelser från tabellen DeviceEvents i avsnittet advanced hunting i Microsoft 365 Defender-portalen. En enkel fråga som den nedan kan till exempel rapportera alla händelser som har ASR-regler som datakälla, under de senaste 30 dagarna, och summerar dem med antalet ActionType-värden, som i det här fallet är den faktiska kodnamnet för ASR-regeln.


Ovanstående visar att 187 händelser har registrerats för AsrLsassCredentialTheft:
- 102 för Blockerad
- 85 för granskade
- 2 händelser för AsrOfficeProcess (1 för granskade och 1 för block)
- 8 händelser för AsrPsexecWmiProcessAudited
Om du vill fokusera på asrOfficeProcess-regeln och få information om de faktiska filerna och processerna som ingår ändrar du filtret för ActionType och ersätter sammanfattningsraden med en projektion av önskade fält (i det här fallet enhetsnamn, filnamn, mappsökväg osv.).


Den verkliga fördelen med avancerad sökning är att du kan utforma frågorna efter dina önskemål. Genom att forma frågan kan du se den exakta berättelse om vad som hände, oavsett om du vill hitta något på en enskild dator eller om du vill extrahera insikter från hela miljön.
Mer information om alternativ för att söker finns i: Avmystifiera minskningsregler för attackytor – del 3.