ASR-regler, distribution fas 4: driftisering

När du har distribuerat ASR-reglerna fullt ut är det viktigt att det finns processer för att övervaka och svara på ASR-relaterade aktiviteter.

Hantera falska positiva resultat

Falska positiva/negativa kan uppstå med alla hotskyddslösning. Falska positiva resultat är fall där en en enhet (t.ex. en fil eller process) identifieras och identifieras som skadlig, även om entiteten inte i själva verket inte är ett hot. Falskt negativa är en enhet som inte identifierades som ett hot men är skadlig. Mer information om falska positiva och falska negativa resultat finns i: Adress till falska positiva/negativa tal i Microsoft Defender för slutpunkt

Hålla koll på rapporter

Konsekvent och regelbunden granskning av rapporter är en viktig del av underhållet av ASR-regler och att hålla koll på nya hot. Organisationen bör ha schemalagda granskningar av ASR-regelhändelser i en takt som håller sig aktuell med ASR-rapporterade händelser. Beroende på hur stor organisationen är kan granskningarna vara dagligen, varje timme eller kontinuerlig övervakning.

Jakt

En av de mest kraftfulla funktionerna i Microsoft 365 Defender är avancerad sökning. Om du inte är bekant med avancerad sökning kan du gå till: Proaktivt leta efter hot med avancerad sökning.

Microsoft 365 Defender Avancerad sökning

Avancerad sökning är ett frågebaserat verktyg (Kusto Query Language) som du kan använda för att utforska upp till 30 dagar av den registrerade informationen (rådata) som Microsoft Defender ATP Endpoint Detection and Response (Identifiering och åtgärd på slutpunkt) samlar in från alla dina datorer. Genom avancerad sökning kan du proaktivt kontrollera händelser för att hitta intressanta indikatorer och enheter. Den flexibla åtkomsten till data underlättar olinad insamling av både kända och potentiella hot.

Genom avancerad sökning kan du extrahera ASR-regelinformation, skapa rapporter och få ingående information om kontexten för en viss ASR-regelgranskning eller blockhändelse.

Du kan köra frågor mot ASR-regelhändelser från tabellen DeviceEvents i avsnittet advanced hunting i Microsoft 365 Defender-portalen. En enkel fråga som den nedan kan till exempel rapportera alla händelser som har ASR-regler som datakälla, under de senaste 30 dagarna, och summerar dem med antalet ActionType-värden, som i det här fallet är den faktiska kodnamnet för ASR-regeln.

Microsoft 365 Defender avancerad fråga för fråga

Microsoft 365 Defender avancerade frågeresultat för sökning

Ovanstående visar att 187 händelser har registrerats för AsrLsassCredentialTheft:

  • 102 för Blockerad
  • 85 för granskade
  • 2 händelser för AsrOfficeProcess (1 för granskade och 1 för block)
  • 8 händelser för AsrPsexecWmiProcessAudited

Om du vill fokusera på asrOfficeProcess-regeln och få information om de faktiska filerna och processerna som ingår ändrar du filtret för ActionType och ersätter sammanfattningsraden med en projektion av önskade fält (i det här fallet enhetsnamn, filnamn, mappsökväg osv.).

Microsoft 365 Defender avancerad fråga för sökning fokuserad

Microsoft 365 Defender avancerade frågefokuserade resultat för fråga efter sökning

Den verkliga fördelen med avancerad sökning är att du kan utforma frågorna efter dina önskemål. Genom att forma frågan kan du se den exakta berättelse om vad som hände, oavsett om du vill hitta något på en enskild dator eller om du vill extrahera insikter från hela miljön.

Mer information om alternativ för att söker finns i: Avmystifiera minskningsregler för attackytor – del 3.

Ämnen i den här distributionssamlingen

Distributionsöversikt för ASR-regler

Fas 1: Planera

Fas 2: Test

Fas 4: Operationalisera