攻击面减少规则概述
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台
- Windows
为什么攻击面减少规则很重要
组织的攻击面包括攻击者可能破坏组织设备或网络的所有位置。 减少攻击面意味着保护组织的设备和网络,这会使攻击者执行攻击的方法更少。 在 Microsoft Defender for Endpoint 中配置攻击面减少规则可能会有所帮助!
攻击面减少规则针对某些软件行为,例如:
- 启动尝试下载或运行文件的可执行文件和脚本
- 运行经过模糊处理的脚本或其他可疑脚本
- 执行应用通常不会在日常工作中启动的行为
此类软件行为有时出现在合法的应用程序中。 但是,这些行为通常被视为有风险,因为它们通常被攻击者通过恶意软件滥用。 攻击面减少规则可以限制基于软件的风险行为,并帮助保护组织的安全。
有关如何管理攻击面减少规则的顺序端到端过程,请参阅:
部署前评估规则
可以通过在 Microsoft Defender 漏洞管理 中打开该规则的安全建议来评估攻击面减少规则对网络的影响。
在“建议详细信息”窗格中,检查用户影响,以确定你的设备可以接受新策略的百分比,该策略在阻止模式下启用规则,而不会对工作效率产生不利影响。
有关支持的操作系统和其他 要求 信息,请参阅“启用攻击面减少规则”一文中的要求。
评估的审核模式
审核模式
使用 审核模式 评估攻击面减少规则在启用后对组织的影响。 首先在审核模式下运行所有规则,以便了解它们如何影响业务线应用程序。 许多业务线应用程序在编写时具有有限的安全问题,它们可能以类似于恶意软件的方式执行任务。
排除项
通过监视审核数据并为必要的应用程序 添加排除 项,可以在不降低工作效率的情况下部署攻击面减少规则。
按规则排除
有关配置每规则排除项的信息,请参阅测试攻击面减少规则一文中标题为“配置每个规则排除的攻击面减少规则”部分。
用户的警告模式
(NEW!) 在警告模式功能之前,启用的攻击面减少规则可以设置为审核模式或阻止模式。 使用新的警告模式时,每当内容被攻击面减少规则阻止时,用户都会看到一个对话框,指示内容被阻止。 该对话框还为用户提供了取消阻止内容的选项。 然后,用户可以重试其操作,操作完成。 当用户取消阻止内容时,内容将保持取消阻止状态 24 小时,然后阻止继续。
警告模式可帮助组织制定攻击面减少规则,而不会阻止用户访问执行任务所需的内容。
警告模式正常工作的要求
运行以下 Windows 版本的设备支持警告模式:
- Windows 10 版本 1809 或更高版本
- Windows 11
- Windows Server 版本 1809 或更高版本
Microsoft Defender防病毒必须在活动模式下运行实时保护。
此外,请确保已安装Microsoft Defender防病毒和反恶意软件更新。
- 最低平台发布要求:
4.18.2008.9 - 最低引擎发布要求:
1.1.17400.5
有关详细信息和获取更新,请参阅针对Microsoft Defender反恶意软件平台的更新。
不支持警告模式的情况
在 Microsoft Intune 中配置三个攻击面减少规则时,不支持警告模式。 (如果使用 组策略 配置攻击面减少规则,则支持警告模式。) 在Microsoft Intune中配置三个不支持警告模式的规则如下所示:
- 阻止 JavaScript 或 VBScript 启动下载的可执行内容 (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) - 阻止通过 WMI 事件订阅 (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) - 使用针对勒索软件的高级防护 (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
此外,在运行旧版 Windows 的设备上不支持警告模式。 在这些情况下,配置为在警告模式下运行的攻击面减少规则在块模式下运行。
通知和警报
每当触发攻击面减少规则时,设备上会显示通知。 你可以使用公司的详细信息和联系人信息自定义通知。
此外,当触发某些攻击面减少规则时,将生成警报。
可以在Microsoft Defender门户中查看通知和生成的任何警报。
有关通知和警报功能的特定详细信息,请参阅攻击面减少规则参考一文中的按规则警报和通知详细信息。
高级搜寻和攻击面减少事件
可以使用高级搜寻来查看攻击面减少事件。 为了简化传入数据量,只有每小时的唯一进程才能通过高级搜寻查看。 攻击面减少事件的时间是该事件在一小时内首次出现的时间。
例如,假设 10 台设备在下午 2:00 发生攻击面减少事件。 假设第一个事件发生在 2:15,最后一个事件发生在 2:45。 使用高级搜寻时,你会看到该事件的一个实例 (,即使它实际发生在) 的 10 台设备上,其时间戳将是下午 2:15。
有关高级搜寻的详细信息,请参阅 使用高级搜寻主动搜寻威胁。
跨 Windows 版本的攻击面减少功能
可以为运行以下任何 Windows 版本的设备设置攻击面减少规则:
Windows 10 专业版版本 1709 或更高版本
Windows 10 企业版版本 1709 或更高版本
Windows Server 版本 1803 (半年频道) 或更高版本
-
注意
Windows Server 2016和Windows Server 2012 R2 将需要使用载入 Windows 服务器中的说明才能使此功能正常工作。
虽然攻击面减少规则不需要 Windows E5 许可证,但如果拥有 Windows E5,则可获得高级管理功能。 高级功能(仅在 Windows E5 中可用)包括:
- Defender for Endpoint 中提供的监视、分析和工作流
- Microsoft Defender XDR中的报告和配置功能。
这些高级功能不适用于 Windows 专业版或 Windows E3 许可证。 但是,如果确实拥有这些许可证,则可以使用事件查看器和Microsoft Defender防病毒日志来查看攻击面减少规则事件。
在Microsoft Defender门户中查看攻击面减少事件
Defender for Endpoint 提供事件和块的详细报告,作为警报调查方案的一部分。
可以使用高级搜寻在 Microsoft Defender XDR 中查询 Defender for Endpoint 数据。
示例查询如下:
DeviceEvents
| where ActionType startswith 'Asr'
查看 Windows 事件查看器中的攻击面减少事件
可以查看 Windows 事件日志,以查看攻击面减少规则生成的事件:
下载 评估包 并将文件 cfa-events.xml 提取到设备上易于访问的位置。
在“开始”菜单中输入单词“事件查看器”以打开 Windows 事件查看器。
在 “操作”下,选择“ 导入自定义视图...”。
选择从中提取文件 cfa-events.xml 。 或者, 直接复制 XML。
选择“确定”。
可以创建自定义视图,该视图筛选事件以仅显示以下事件,所有这些事件都与受控文件夹访问相关:
| 事件 ID | 描述 |
|---|---|
| 5007 | 更改设置时的事件 |
| 1121 | 在阻止模式下触发规则时的事件 |
| 1122 | 在审核模式下触发规则时发生的事件 |
事件日志中为攻击面减少事件列出的“引擎版本”由 Defender for Endpoint 生成,而不是由操作系统生成。 Defender for Endpoint 与 Windows 10 和 Windows 11 集成,因此此功能适用于所有安装了Windows 10或Windows 11的设备。
另请参阅
- 攻击面减少规则部署概述
- 规划攻击面减少规则部署
- 测试攻击面减少规则
- 启用攻击面减少规则
- 操作攻击面减少规则
- 攻击面减少规则报告
- Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈