Aracılığıyla paylaş

Test saldırısı yüzeyi azaltma kuralları

  • Makale

Şunlar için geçerlidir:

Saldırı yüzeyi azaltma kurallarını test Uç Nokta için Microsoft Defender, kuralların herhangi bir kuralı etkinleştirmeden önce iş kolu işlemlerini engellenip engellenmediğini belirlemenize yardımcı olur. Küçük, denetimli bir grupla başlayarak, dağıtımınızı kuruluşunuz genelinde genişletirken olası iş kesintilerini sınırlayabilirsiniz.

Saldırı yüzeyi azaltma kuralları dağıtım kılavuzunun bu bölümünde şunları nasıl yapacağınızı öğreneceksiniz:

  • Microsoft Intune kullanarak kuralları yapılandırma
  • saldırı yüzeyi azaltma kuralları raporlarını Uç Nokta için Microsoft Defender kullanma
  • saldırı yüzeyi azaltma kuralları dışlamalarını yapılandırma
  • PowerShell kullanarak saldırı yüzeyi azaltma kurallarını etkinleştirme
  • saldırı yüzeyi azaltma kuralları olayları için Olay Görüntüleyicisi kullanma

Not

Saldırı yüzeyi azaltma kurallarını test etmeye başlamadan önce, önceden denetle veya etkinleştir (varsa) olarak ayarlamış olduğunuz tüm kuralları devre dışı bırakmanız önerilir. Saldırı yüzeyi azaltma kurallarını devre dışı bırakmak için saldırı yüzeyi azaltma kuralları raporunu kullanma hakkında bilgi için bkz. Saldırı yüzeyi azaltma kuralları raporları.

1. halka ile saldırı yüzeyi azaltma kuralları dağıtımınıza başlayın.

Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma (ASR kuralları) test adımları. Saldırı yüzeyi azaltma kurallarını denetleme, ASR kuralları dışlamalarını yapılandırma. ASR kurallarını Intune yapılandırın. ASR kuralları dışlamaları. ASR kuralları olay görüntüleyicisi.

1. Adım: Denetim kullanarak saldırı yüzeyi azaltma kurallarını test edin

1. halkadaki şampiyon kullanıcılarınız veya cihazlarınızdan başlayarak, denetim olarak ayarlanmış kurallarla saldırı yüzeyi azaltma kurallarını açarak test aşamasına başlayın. Genellikle, test aşamasında hangi kuralların tetiklendiğini belirleyebilmeniz için tüm kuralları (Denetim'de) etkinleştirmeniz öneridir. Denetim olarak ayarlanan kurallar genellikle kuralın uygulandığı varlığın veya varlıkların işlevselliğini etkilemez, ancak değerlendirme için günlüğe kaydedilen olaylar oluşturur; son kullanıcılar üzerinde hiçbir etkisi yoktur.

Intune kullanarak saldırı yüzeyi azaltma kurallarını yapılandırma

Özel saldırı yüzeyi azaltma kurallarını yapılandırmak için Microsoft Intune Endpoint Security kullanabilirsiniz.

  1. Microsoft Intune yönetim merkezini açın.

  2. Endpoint Security>Attack yüzey azaltma bölümüne gidin.

  3. İlke İçerik Oluşturucu'ı seçin.

  4. Platform'daWindows 10, Windows 11 ve Windows Server'ı seçin ve Profil'deSaldırı yüzeyi azaltma kuralları'yı seçin.

    ASR kuralları için profil oluşturma sayfası

  5. Oluştur’u seçin.

  6. İçerik Oluşturucu profil bölmesinin Temel Bilgiler sekmesindeki Ad bölümünde ilkeniz için bir ad ekleyin. Açıklama bölümünde, saldırı yüzeyi azaltma kuralları ilkeniz için bir açıklama ekleyin.

  7. Yapılandırma ayarları sekmesindeki Saldırı Yüzeyi Azaltma Kuralları'nın altında tüm kuralları Denetim moduna ayarlayın.

    Saldırı yüzeyi azaltma kurallarının Denetim moduna yapılandırılması

    Not

    Bazı saldırı yüzeyi azaltma kuralları modu listelerinde çeşitlemeler vardır; Engellendi ve Etkin aynı işlevi sağlar.

  8. [İsteğe bağlı] Kapsam etiketleri bölmesinde, belirli cihazlara etiket bilgileri ekleyebilirsiniz. Ayrıca, doğru yöneticilerin doğru Intune nesnelere doğru erişime ve görünürlüğe sahip olduğundan emin olmak için rol tabanlı erişim denetimi ve kapsam etiketlerini de kullanabilirsiniz. Daha fazla bilgi edinin: Intune'de dağıtılmış BT için rol tabanlı erişim denetimi (RBAC) ve kapsam etiketlerini kullanın.

  9. Atamalar bölmesinde, profili kullanıcı veya cihaz gruplarınıza dağıtabilir veya "atayabilirsiniz". Daha fazla bilgi edinin: Microsoft Intune'de cihaz profilleri atama

    Not

    Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.

  10. Gözden Geçir ve oluştur bölmesinde ayarlarınızı gözden geçirin. Kuralları uygulamak için İçerik Oluşturucu'e tıklayın.

    İçerik Oluşturucu profili sayfası

Saldırı yüzeyi azaltma kuralları için yeni saldırı yüzeyi azaltma ilkeniz Uç nokta güvenliği bölümünde listelenmiştir | Saldırı yüzeyi azaltma.

Saldırı yüzeyi azaltma sayfası

2. Adım: Microsoft Defender portalındaki saldırı yüzeyi azaltma kuralları raporlama sayfasını anlama

Saldırı yüzeyi azaltma kuralları raporlama sayfası Microsoft Defender portalında>Saldırı yüzeyi azaltma kurallarınıraporlar> sayfasında bulunur. Bu sayfada üç sekme vardır:

  • Algılamalar
  • Yapılandırma
  • Dışlama ekleme

Algılamalar sekmesi

Algılanan denetim ve engellenen olayların 30 günlük zaman çizelgesini sağlar.

Saldırı yüzeyi azaltma kurallarını gösteren grafik özet algılamaları kartını gösterir.

Saldırı yüzeyi azaltma kuralları bölmesi, kural başına algılanan olaylara genel bir bakış sağlar.

Not

Saldırı yüzeyi azaltma kuralları raporlarında bazı farklılıklar vardır. Microsoft, tutarlı bir deneyim sağlamak için saldırı yüzeyi azaltma kuralları raporlarının davranışını güncelleştirme sürecindedir.

Saldırı yüzeyi azaltma kurallarını gösteren grafik rapor özet yapılandırma kartı.

Algılamaları görüntüle'yi seçerek Algılamalar sekmesini açın.

Saldırı yüzeyi azaltma kuralları rapor arama özelliğini gösteren ekran görüntüsü.

GroupBy ve Filter bölmesi aşağıdaki seçenekleri sağlar:

GroupBy, aşağıdaki gruplara ayarlanmış sonuçları döndürür:

  • Gruplandırma yok
  • Algılanan dosya
  • Denetim veya engelleme
  • Kural
  • Kaynak uygulama
  • Cihaz
  • Kullanıcı
  • Publisher

Not

Kurala göre filtreleme yaparken, raporun alt yarısında listelenen tek tek algılanan öğelerin sayısı şu anda 200 kuralla sınırlıdır. Algılamaların tam listesini Excel'e kaydetmek için Dışarı Aktar'ı kullanabilirsiniz.

Yapılandırma sekmesindeKI ASR kuralları rapor arama özelliğini gösteren ekran görüntüsü.

Filtre , sonuçların kapsamını yalnızca seçili saldırı yüzeyi azaltma kurallarıyla kapsamanızı sağlayan Kurallarda filtrele sayfasını açar:

Kurallar üzerinde Saldırı yüzeyi azaltma kuralları algılamaları filtresi

Not

Microsoft Microsoft 365 Güvenlik E5 veya A5, Windows E5 veya A5 lisansınız varsa, aşağıdaki bağlantı Microsoft Defender 365 Raporlar >Saldırı yüzeyi Algılamaları azaltıyor> sekmesini açar.

Yapılandırma sekmesi

Listeler(bilgisayar başına) saldırı yüzeyi azaltma kurallarının toplam durumu: Kapalı, Denetim, Blok.

Saldırı yüzeyi azaltma kuralları rapor ana yapılandırma sekmesini gösteren ekran görüntüsü.

Yapılandırmalar sekmesinde, saldırı yüzeyi azaltma kurallarını gözden geçirmek istediğiniz cihazı seçerek cihaz başına, hangi saldırı yüzeyi azaltma kurallarının etkinleştirildiğini ve hangi modda olduğunu kontrol edebilirsiniz.

Cihazlara ASR kuralları eklemek için ASR kuralları açılır öğesini gösteren ekran görüntüsü.

Başlarken bağlantısı Microsoft Intune yönetim merkezini açar ve burada saldırı yüzeyini azaltmak için bir uç nokta koruma ilkesi oluşturabilir veya değiştirebilirsiniz:

Genel Bakış sayfasındaki *Uç nokta güvenlik menü öğesi

Uç nokta güvenliğinde | Genel bakış'ta Saldırı yüzeyini azaltma'yı seçin:

Intune'de Saldırı yüzeyini azaltma

Uç Nokta Güvenliği | Saldırı yüzeyini azaltma bölmesi açılır:

Uç Nokta güvenliği Saldırı yüzeyi azaltma bölmesi

Not

Microsoft Defender 365 E5 (veya Windows E5?) lisansınız varsa, bu bağlantı Microsoft Defender 365 Raporlar > Saldırı yüzeyi Azaltma Yapılandırmaları> sekmesini açar.

Dışlama ekleme

Bu sekme, dışlama için algılanan varlıkları (örneğin, hatalı pozitifler) seçmek için bir yöntem sağlar. Dışlamalar eklendiğinde rapor, beklenen etkinin bir özetini sağlar.

Not

Microsoft Defender Virüsten Koruma AV dışlamaları, saldırı yüzeyi azaltma kuralları tarafından kabul edilir. Bkz . Uzantı, ad veya konuma göre dışlamaları yapılandırma ve doğrulama.

Algılanan dosyanın dışlanması için bölme

Not

Microsoft Defender 365 E5 (veya Windows E5?) lisansınız varsa, bu bağlantı Microsoft Defender 365 Raporlar > Saldırı yüzeyi azaltmaları Dışlamalar> sekmesini açar.

Saldırı yüzeyi azaltma kuralları raporunu kullanma hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma kuralları raporları.

Kural başına saldırı yüzeyi azaltma dışlamalarını yapılandırma

Saldırı yüzeyi azaltma kuralları artık kurala özgü dışlamaları yapılandırma özelliği sağlar ve "Kural Başına Dışlamalar" olarak bilinir.

Not

Kural başına dışlamalar şu anda PowerShell veya grup ilkesi kullanılarak yapılandırılamaz.

Belirli kural dışlamalarını yapılandırmak için:

  1. Microsoft Intune yönetim merkezini açın ve Giriş>Uç Noktası güvenlik>Saldırısı yüzey azaltma bölümüne gidin.

  2. Henüz yapılandırılmadıysa, dışlamaları yapılandırmak istediğiniz kuralı Denetim veya Engelle olarak ayarlayın.

  3. Yalnızca Kural Başına ASR Dışlama'da, Yapılandırılmadı olan iki durumlu düğmeyi Yapılandırıldı olarak değiştirin.

  4. Dışlamak istediğiniz dosyaların veya uygulamanın adlarını girin.

  5. İçerik Oluşturucu profili sihirbazının en altında İleri'yi seçin ve sihirbaz yönergelerini izleyin.

Kural başına ASR dışlamaları ekleme yapılandırma ayarlarını gösteren ekran görüntüsü.

İpucu

Sil, Sırala, İçeri veya Dışarı Aktar öğelerini seçmek için dışlama girdileri listenizin yanındaki onay kutularını kullanın.

PowerShell'i saldırı yüzeyi azaltma kurallarını etkinleştirmek için alternatif bir yöntem olarak kullanma

PowerShell'i Intune alternatifi olarak kullanarak denetim modunda saldırı yüzeyi azaltma kurallarını etkinleştirerek özellik tam olarak etkinleştirildiğinde engellenecek uygulamaların kaydını görüntüleyebilirsiniz. Ayrıca, normal kullanım sırasında kuralların ne sıklıkta tetiklendiğinden de bir fikir edinebilirsiniz.

Denetim modunda bir saldırı yüzeyi azaltma kuralını etkinleştirmek için aşağıdaki PowerShell cmdlet'ini kullanın:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Burada <rule ID>, saldırı yüzeyi azaltma kuralının GUID değeridir.

Denetim modunda eklenen tüm saldırı yüzeyi azaltma kurallarını etkinleştirmek için aşağıdaki PowerShell cmdlet'ini kullanın:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

İpucu

Saldırı yüzeyi azaltma kurallarının kuruluşunuzda nasıl çalışacağını tam olarak denetlemek istiyorsanız, bu ayarı ağınızdaki cihazlara dağıtmak için bir yönetim aracı kullanmanız gerekir.

Ayarı yapılandırmak ve dağıtmak için grup ilkesi, Intune veya mobil cihaz yönetimi (MDM) yapılandırma hizmeti sağlayıcılarını (CSP' ler) de kullanabilirsiniz. Ana Saldırı yüzeyi azaltma kuralları makalesinde daha fazla bilgi edinin.

Microsoft Defender portalındaki saldırı yüzeyi azaltma kuralları raporlama sayfasına alternatif olarak Windows Olay Görüntüleyicisi Gözden Geçirme'yi kullanın

Engellenmiş olabilecek uygulamaları gözden geçirmek için Olay Görüntüleyicisi açın ve Microsoft-Windows-Windows Defender/İşletim günlüğünde Olay Kimliği 1121'i filtreleyin. Aşağıdaki tabloda tüm ağ koruma olayları listelenir.

Olay Kimliği Açıklama
5007 Ayarlar değiştirildiğinde gerçekleşen olay
1121 Bir saldırı yüzeyi azaltma kuralının blok modunda tetiklenmesi olayı
1122 Bir saldırı yüzeyi azaltma kuralının denetim modunda tetiklendiğinde gerçekleşen olay

Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış

Saldırı yüzeyi azaltma kuralları dağıtımı planlama

Saldırı yüzeyi azaltma kurallarını etkinleştirme

Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme

Saldırı yüzeyi azaltma kuralları başvurusu

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.