Rapportera och felsöka Microsoft Defender för SLUTPUNKT ASR-regler
Gäller för:
På Microsoft 365 Defender-portalen finns det nya gränssnittet för att övervaka och hantera säkerhet i dina Microsoft-identiteter, data, enheter, appar och infrastruktur. Här kan du enkelt se säkerhetshälsa för din organisation, konfigurera enheter, användare och appar och få aviseringar om misstänkt aktivitet. Säkerhetsportalen Microsoft 365 Defender avsedd för säkerhetsadministratörer och säkerhetsgrupper för att bättre kunna hantera och skydda organisationen. Besök Microsoft 365 Defender portalen på https://security.microsoft.com .
I Microsoft 365 Defender -portalenerbjuder vi dig en fullständig titt på aktuella konfigurationer och händelser för ASR-regler på din webbplats. Observera att dina enheter måste vara inbyggda i Microsoft Defender för slutpunktstjänsten för att de här rapporterna ska fyllas i. Här är en skärmbild från webbportalen Microsoft 365 Defender (under Rapporter enheter minska > > attackytan). På enhetsnivå väljer du Konfiguration i fönstret För att minska attackytan. Följande skärm visas, där du kan välja en specifik enhet och kontrollera dess enskilda konfiguration av ASR-regler.
Microsoft Defender för slutpunkt – avancerad sökning
En av de mest kraftfulla funktionerna i Microsoft Defender för Endpoint är avancerad sökning. Om du inte är bekant med avancerad sökning kan du referera till att proaktivt leta efter hot med avancerad sökning.
Avancerad sökning är ett frågebaserat (Kusto Query Language) hotjningsverktyg som gör att du kan utforska upp till 30 dagar av registrerade (rådata) data som Defender för Endpoint samlar in från dina enheter. Genom avancerad sökning kan du proaktivt kontrollera händelser för att hitta intressanta indikatorer och enheter. Den flexibla åtkomsten till data hjälper till att undvika en fast uppgift om både kända och potentiella hot.
Genom avancerad sökning kan du extrahera ASR-regelinformation, skapa rapporter och få ingående information om kontexten för en viss ASR-regelgranskning eller blockhändelse.
ASR-regelhändelser är tillgängliga att köra frågor från tabellen DeviceEvents i avsnittet om avancerad sökning i Microsoft 365 Defender. En enkel fråga som den nedan kan till exempel rapportera alla händelser som har ASR-regler som datakälla, under de senaste 30 dagarna, och summerar dem med antalet ActionType-värden, som i det här fallet är den faktiska kodnamnet för ASR-regeln.
Med avancerad sökning kan du utforma frågorna efter dina önskemål, så att du kan se vad som händer, oavsett om du vill hitta något på en enskild dator eller om du vill extrahera insikter från hela miljön.
Microsoft Defender för slutpunktsdatortidslinje
Ett alternativ till avancerad sökning, men med en smalare omfattning, är tidslinjen för Microsoft Defender för Endpoint-datorn. Du kan visa alla insamlade händelser för en enhet under de senaste sex månaderna i Microsoft 365 Defender genom att gå till listan Datorer, välja en viss dator och sedan klicka på fliken Tidslinje.
På bilden nedan visas en skärmbild av vyn Tidslinje över dessa händelser på en viss slutpunkt. I den här vyn kan du filtrera händelselistan baserat på valfri händelsegrupp i fönstret till höger. Du kan också aktivera eller inaktivera flaggade och utförliga händelser när du visar aviseringar och bläddrar genom den historiska tidslinjen.
Felsöka ASR-regler?
Det första och mest direkta sättet är att kontrollera lokalt på en Windows-enhet, som ASR-regler aktiveras (och deras konfiguration) är att använda PowerShell-cmdlets.
Här är några andra informationskällor som kan Windows som hjälper dig felsöka påverkan på och åtgärd för ASR-regler.
Fråga vilka regler som är aktiva
Ett av de enklaste sätten att avgöra om ASR-regler redan är aktiverade är via en PowerShell-cmdlet, Get-MpPreference.
Här är ett exempel:
Det finns flera ASR-regler aktiva, med olika konfigurerade åtgärder.
Om du vill visa informationen om ASR-regler ovan kan du använda egenskaperna AttackSurfaceReductionRules_Ids och/eller AttackSurfaceReductionRules_Actions.
Exempel:
Get-MPPreference | Select-Object -ExpandProperty**AttackSurfaceReductionRules_Ids
Ovan visas alla ID:n för ASR-regler som har en annan inställning än 0 (Ej konfigurerad).
Nästa steg är att visa de faktiska åtgärderna (block eller granskning) som varje regel är konfigurerad med.
Get-MPPreference | Select-Object -ExpandProperty**AttackSurfaceReductionRules_Actions
Frågeblockering och granskningshändelser
ASR-regelhändelser kan visas i Windows Defender loggen.
Du kommer åt det genom Windows loggboken och bläddra till Program- och > tjänstloggar Microsoft > Windows > Windows Defender > Operational.
Skyddsloggar för Microsoft Defender-program mot skadlig programvara
Du kan också visa regelhändelser via det Microsoft Defender Antivirus dedikerade kommandoradsverktyget, som kan användas för att hantera och konfigurera, och automatisera *mpcmdrun.exe* uppgifter vid behov.
Du hittar det här verktyget i %ProgramFiles%\Windows Defender\MpCmdRun.exe. Du måste köra den från en upphöjd kommandotolk (det vill säga kör som administratör).
Om du vill generera supportinformationen skriver MpCmdRun.exe -getfiles. Efter ett tag paketeras flera loggar till ett arkiv (MpSupportFiles.cab) och görs tillgängliga i C:\ProgramData\Microsoft\Windows Defender\Support.
Extrahera det arkivet så har du många filer tillgängliga för felsökning.
De mest relevanta filerna är följande:
- MPOperationalEvents.txt: Den här filen innehåller samma informationsnivå som finns i loggboken för Windows Defender användarens driftlogg.
- MPRegistry.txt: I den här filen kan du analysera alla Windows Defender konfigurationer från det ögonblick som supportloggarna har fångats.
- MPLog.txt: Den här loggen innehåller mer utförlig information om alla åtgärder/åtgärder i Windows Defender.