Översikt över minskningsregler för attackytan
Gäller för:
Varför det är viktigt att minska attackytans regler
Din organisations attackyta omfattar alla platser där en attack kan avslöja organisationens enheter eller nätverk. Att minska attackytan innebär att skydda organisationens enheter och nätverk, vilket gör att attacker inte hindras från att utföra attacker. Det kan hjälpa att konfigurera regler för att minska attackytan i Microsoft Defender för Endpoint!
Minskningsregler för attackytan riktar sig mot vissa programvarubeteenden, till exempel:
- Starta körbara filer och skript som försöker ladda ned eller köra filer
- Köra obfuscated eller på annat sätt misstänkta skript
- Utföra beteenden som appar normalt inte initierar under normalt normalt arbete
Sådana programvarubeteenden kan ibland ses i legitima program. Dessa beteenden anses emellertid ofta vara riskfyllda eftersom de ofta används av attackerare via skadlig programvara. Minskning av attackytan kan begränsa programvarubaserade riskbeteenden och skydda organisationen.
Mer information om hur du konfigurerar regler för att minska attackytan finns i Aktivera minskningsregler för attackytor.
Utvärdera påverkan på regeln före distribution
Du kan utvärdera hur en minskningsregel för attackytan kan påverka nätverket genom att öppna säkerhetsrekommendationerna för den regeln i Hantering av hot och säkerhetsrisker.
Kontrollera användareffekter i informationsfönstret om rekommendationen för att avgöra vilken procentandel av dina enheter som kan acceptera en ny princip som gör att regeln blockerar läge utan att påverka produktiviteten negativt.
Se Krav i artikeln "Aktivera regler för att minska attackytan" för information om operativsystem som stöds och ytterligare krav.
Granskningsläge för utvärdering
Använd granskningsläge för att utvärdera hur minskning av attackytor skulle påverka organisationen om den var aktiverad. Kör först alla regler i granskningsläge så att du förstår hur de påverkar affärsprogrammen. Många affärsprogram är skrivna med begränsade säkerhetsproblem och kan utföra uppgifter på sätt som verkar likna skadlig programvara. Genom att övervaka granskningsdata och lägga till undantag för nödvändiga program kan du distribuera minskningsregler för attackytor utan att minska produktiviteten.
Varningsläge för användare
(NY!) Innan varningslägesfunktioner aktiverades kunde minskningsregler för attackytor ställas in på antingen granskningsläge eller blockläge. Med det nya varningsläget kan användare se en dialogruta som anger att innehållet blockeras när innehåll blockeras av en minskningsregel för attackytor. I dialogrutan finns också ett alternativ för att ta bort blockeringen av innehållet. Användaren kan sedan försöka utföra åtgärden igen och åtgärden har slutförts. När en användare tar bort blockeringen av innehåll förblir innehållet oblockerade i 24 timmar och blockerar sedan meritförteckningar.
Varningsläge hjälper din organisation att ha regler för att minska attackytan på plats utan att hindra användarna från att komma åt det innehåll de behöver för att utföra sina uppgifter.
Krav för att varningsläge ska fungera
Varningsläge stöds på enheter som kör följande versioner av Windows:
- Windows 10 version 1809 eller senare
- Windows 11
- Windows Server, version 1809 eller senare
Microsoft Defender Antivirus måste köras med realtidsskydd i aktivt läge.
Kontrollera också att Microsoft Defender Antivirus programuppdateringar och program mot skadlig programvara har installerats.
- Lägsta krav för plattformsutgågår:
4.18.2008.9 - Lägsta krav för släppt motor:
1.1.17400.5
Mer information och information om hur du får dina uppdateringar finns i Uppdatering för microsoft Defender-plattform mot skadlig programvara.
Fall där varningsläge inte stöds
Varningsläge stöds inte för tre minskningsregler för attackytor när du konfigurerar dem i Microsoft Endpoint Manager. (Om du använder grupprinciper för att konfigurera reglerna för att minska attackytan stöds varningsläge.) De tre reglerna som inte stöder varningsläge när du konfigurerar dem i Microsoft Endpoint Manager är följande:
- Blockera JavaScript eller VBScript från att starta hämtat körbart innehåll (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) - Blockera beständighet via WMI-händelseprenumeration (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) - Använd avancerat skydd mot utpressningstrojaner (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
Dessutom stöds inte varningsläge på enheter med äldre versioner av Windows. I sådana fall kommer minskningsregler för attackytan som är konfigurerade att köras i varningsläge att köras i blockläge.
Meddelanden och aviseringar
När en minskningsregel för attackytan utlöses visas ett meddelande på enheten. Du kan anpassa aviseringen med företagets information och kontaktinformation.
När vissa minskningsregler för attackytan utlöses genereras också aviseringar.
Meddelanden och alla aviseringar som genereras kan visas i Microsoft 365 Defender portal.
Avancerad sökning och minskning av attackytor
Du kan använda avancerad sökning för att visa händelser för att minska attackytan. För att effektivisera mängden inkommande data kan endast unika processer för varje timme visas med avancerad sökning. Tiden för en minskning av attackytan är första gången som händelsen ses inom en timme.
Anta till exempel att en minskning av attackytan inträffat på 10 enheter under 14:00.00. Anta att den första händelsen inträffade kl. 02:15 och den sista kl. 02:45. Med avancerad sökning visas en instans av händelsen (även om den faktiskt ägde rum på 10 enheter) och tidsstämpeln är 14:15.
Mer information om avancerad sökning finns i Proaktivt sök efter hot med avancerad sökning.
Funktioner för att minska attackytan i Windows versioner
Du kan ange minskningsregler för attackytan för enheter som kör någon av följande utgåvor och versioner av Windows:
Windows 10 Pro, version 1709 eller senare
Windows 10 Enterprise, version 1709 eller senare
Windows Server, version 1803 (Halvårskanal) eller senare
-
Anteckning
Windows Server 2016 och Windows Server 2012 R2 måste introduceras med hjälp av anvisningarna i Onboard Windows-servrar för att den här funktionen ska fungera.
Även om minskningsregler för attackytan inte kräver en E5 Windows-licens, får du avancerade hanteringsfunktioner om du har Windows E5. De avancerade funktionerna – endast tillgängliga i Windows E5 – omfattar:
- Övervakning, analys och arbetsflöden som är tillgängliga i Defender för Slutpunkt
- Rapporterings- och konfigurationsfunktionerna i Microsoft 365 Defender.
Dessa avancerade funktioner är inte tillgängliga med en licens från Windows Professional eller Windows E3. Men om du har de licenserna kan du använda Loggboken och Microsoft Defender Antivirus för att granska dina attack surface-minskningsregelhändelser.
Granska händelser för att minska attackytan i Microsoft 365 Defender portalen
Defender för Endpoint tillhandahåller detaljerad rapportering för händelser och block som en del av scenarier för aviseringsundersökning.
Du kan fråga Defender om slutpunktsdata i Microsoft 365 Defender genom att använda avancerad sökning. Om du kör granskningsläget kan du använda avancerad sökning för att förstå hur minskning av attackytan kan påverka din miljö.
Här är en exempelfråga:
DeviceEvents
| where ActionType startswith 'Asr'
Granska minskningar av attackytor i Windows Loggboken
Du kan granska Windows för att visa händelser som genereras av minskningsregler för attackytan:
Ladda ned utvärderingspaketet och extrahera filen cfa-events.xml till en lättillgänglig plats på enheten.
Ange orden, Loggboken, i Start-menyn för att öppna Windows Loggboken.
Under Åtgärder väljer du Importera anpassad vy....
Välj filencfa-events.xml där den extraherades. Du kan också kopiera XML direkt.
Välj OK.
Du kan skapa en anpassad vy som filtrerar händelser för att endast visa följande händelser, som alla är relaterade till kontrollerad mappåtkomst:
| Händelse-ID | Beskrivning |
|---|---|
| 5007 | Händelse när inställningar ändras |
| 1121 | Händelse när en regel ut sätts i blockläge |
| 1122 | Händelse när en regel aktiveras i granskningsläge |
"engine version" listed for attack surface reduction events in the event log, is generated by Defender for Endpoint, not by the operating system. Defender för Endpoint är integrerat med Windows 10 och Windows 11, så den här funktionen fungerar på alla enheter med Windows 10 eller Windows 11 installerat.