受攻擊面縮小規則報告

  • 發行項

適用於:

平臺:

  • Windows

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

受攻擊面縮小規則報告會提供套用至組織中裝置 之受攻擊面縮小規則 的相關信息。 此報告也提供下列相關信息:

  • 偵測到的威脅
  • 封鎖的威脅
  • 未設定為使用標準保護規則來封鎖威脅的裝置

此外,此報表提供易於使用的介面,可讓您:

  • 檢視威脅偵測
  • 檢視 ASR 規則的設定
  • 設定 (新增) 排除專案
  • 透過單一切換啟用三個最建議的 ASR 規則,輕鬆地啟用基本保護
  • 向下切入以收集詳細資訊

如需個別受攻擊面縮小規則的詳細資訊,請參閱 受攻擊面縮小規則參考

必要條件

重要事項

若要存取受攻擊面縮小規則報告,Microsoft Defender 入口網站需要讀取許可權。 安全性全域 管理員 或安全性角色等 Microsoft Entra 角色授與此報告的存取權已被取代,將於 2023 年 4 月移除。 若要讓 Windows Server 2012 R2 和 Windows Server 2016 出現在受攻擊面縮小規則報告中,這些裝置必須使用新式整合解決方案套件上線。 如需詳細資訊,請參閱適用於 Windows Server 2012 R2 和 2016 的新式整合解決方案中的新功能

報表訪問許可權

若要存取 Microsoft 365 安全性儀錶板中的 受攻擊面縮小規則報告 ,需要下列許可權:

許可權類型 權限 許可權顯示名稱
應用程式 Machine.Read.All 「讀取所有計算機設定檔」
委派 (公司或學校帳戶) Machine.Read 「讀取機器資訊」

若要指派這些許可權:

  1. 使用已指派安全性系統管理員或 全域管理員 角色的帳戶登入 Microsoft Defender 全面偵測回應。
  2. 在瀏覽窗格中,選>取 [許可權) ] 底下的 [設定端點>角色 (]。
  3. 選取您想要編輯的角色。
  4. 選取 [編輯]
  5. [編輯角色] 的 [ 一般 ] 索引標籤上,於 [ 角色名稱] 中輸入角色的名稱。
  6. [描述 ] 中,輸入角色的簡短摘要。
  7. 在 [ 許可權] 中,選 取 [檢視數據],然後在 [ 檢視數據] 下選取 [受攻擊面縮小]

如需使用者角色管理的詳細資訊,請參閱 Create 和管理角色型訪問控制的角色

流覽至受攻擊面縮小規則報告的摘要卡片

  1. Microsoft Defender 全面偵測回應 入口網站。
  2. 在左面板中,按兩下[報告],然後在主要區段的 [ 報告 ] 底下,選取 [ 安全性報告]
  3. 向下捲動至 [裝置 ] 以尋找 受攻擊面縮小規則 摘要卡片。

下圖顯示 ASR 規則的摘要報表卡片。

顯示 ASR 規則報表摘要卡片

ASR 規則報告摘要卡片

ASR 規則報告摘要分成兩張卡片:

ASR 規則偵測摘要卡片

顯示 ASR 規則封鎖的偵測到威脅數目摘要。

提供兩個 [動作] 按鈕:

  • 檢視偵測 - 開啟 [受攻擊面縮小規則>] 主要 [偵測] 索引標籤
  • 新增排除專案 - 開啟 [攻擊面縮小規則> ] 主要 [排除] 索引卷

顯示 ASR 規則報告摘要偵測卡片的螢幕快照。

按兩下卡片頂端的 [ASR 規則偵測 ] 連結,也會開啟 [主要 受攻擊面縮小規則偵測] 索引標籤

ASR 規則設定摘要卡片

上一節 著重於三個建議的規則,以防範常見的攻擊技術。 此卡片會顯示組織中計算機的目前狀態資訊,這些計算機具有下列 三 (ASR) 未設定) 設定的 封鎖模式稽核模式或 (關閉 標準保護規則。[ 保護裝置] 按鈕只會顯示三個規則的完整設定詳細數據;客戶可以快速採取動作來啟用這些規則。

底端區段 會根據每個規則未受保護的裝置數目呈現六個規則。 [檢視組態] 按鈕會顯示所有 ASR 規則的所有設定詳細數據。 [新增排除] 按鈕會顯示 [新增排除] 頁面,其中列出所有偵測到的檔案/進程名稱,以供資訊安全作業中心 (SOC) 評估。 [新增排除] 頁面會連結至 Microsoft Intune。

提供兩個 [動作] 按鈕:

  • 檢視組態 - 開啟 [受攻擊面縮小規則>] 主要 [偵測] 索引標籤
  • 新增排除專案 - 開啟 [攻擊面縮小規則> ] 主要 [排除] 索引卷

顯示 ASR 規則報告摘要組態卡片。

按兩下卡片頂端的 [ASR 規則 設定] 連結,也會開啟 [主要 受攻擊面縮小規則設定] 索引標籤

簡化的標準保護選項

設定摘要卡片提供一個按鈕,以使用三個標準保護規則 來保護裝置 。 Microsoft 建議您至少啟用這三個受攻擊面縮小標準保護規則:

若要啟用三個標準保護規則:

  1. 取 [保護裝置]。 主要的 [ 組態] 索引 標籤隨即開啟。
  2. 在 [ 組態] 索引 標籤上, [基本規則] 會自動從 [ 所有規則 ] 切換為 [已啟用 標準保護規則 ]。
  3. 在 [ 裝置 ] 清單中,選取您要套用標準保護規則的裝置,然後選取 [ 儲存]

此卡片有兩個其他導覽按鈕:

  • 檢視組態 - 開啟 [受攻擊面縮小規則> ] 主要 [ 組態] 索引 標籤。
  • 新增排除專案 - 開啟 [攻擊面縮小規則> ] 主要 [ 排除] 索引卷 標。

按兩下卡片頂端的 [ASR 規則 設定] 連結,也會開啟 [主要 受攻擊面縮小規則設定] 索引標籤

受攻擊面縮小規則主要索引標籤

雖然 ASR 規則報告摘要卡片有助於快速摘要 ASR 規則狀態,但主要索引標籤會提供更深入的信息與篩選和設定功能:

搜尋功能

搜尋 功能會新增至 [偵測]、[組態] 和 [新增排除] 主索引卷標。 透過這項功能,您可以使用裝置標識碼、檔名或進程名稱進行搜尋。

顯示 ASR 規則報表搜尋功能。

篩選

篩選可讓您指定傳回的結果:

  • Date 可讓您指定資料結果的日期範圍。
  • 篩選

注意事項

依規則篩選時,報表下半部所列的個別 偵測 項目數目目前限制為 200 個規則。 您可以使用 [匯 出] 將完整的偵測清單儲存至 Excel。

提示

因為篩選器目前在此版本中運作,所以每次您想要「分組依據」時,都必須先向下捲動到清單中的最後一個偵測,以載入完整的數據集。 載入完整的資料集之後,您可以接著啟動「排序依據」篩選。 如果您未向下卷動到每次使用時所列的最後一個偵測,或是變更篩選選項時 (例如,套用至目前篩選條件的 ASR 規則會執行) ,則具有一個以上可檢視的已列出偵測頁面的任何結果結果都會不正確。

顯示 [組態] 索引標籤上 ASR 規則報表搜尋功能的螢幕快照。

顯示受攻擊面縮小規則偵測規則篩選的螢幕快照。

受攻擊面縮小規則主要偵測索引標籤

  • 稽核偵測 顯示稽 核模式中 設定的規則所擷取的威脅偵測數目。
  • 封鎖的偵測 顯示在 封鎖 模式中設定的規則已封鎖多少個威脅偵測。
  • 大型合併圖表 顯示已封鎖和稽核的偵測。

顯示 ASR 規則報告主要偵測索引標籤,其中已概述_Audit detections_和_Blocked detections_。

圖形會在顯示的日期範圍上提供偵測數據,並可將滑鼠停留在特定位置上以收集日期特定資訊。

報表底部區段會列出每個裝置上偵測到的威脅,並包含下列欄位:

欄位名稱 定義
已偵測的檔案 判斷為包含可能或已知威脅的檔案
偵測到於 偵測到威脅的日期
已封鎖/已稽核? 特定事件的偵測規則是否處於封鎖或稽核模式
規則 偵測到威脅的規則
來源應用程式 呼叫違規「偵測到的檔案」的應用程式
裝置 發生稽核或封鎖事件的裝置名稱
裝置群組 裝置所屬的 Active Directory 群組
使用者 負責呼叫的電腦帳戶
發行者 發行特定 .exe 或應用程式的公司

如需 ASR 規則稽核和封鎖模式的詳細資訊,請參閱 受攻擊面縮小規則模式

可採取動作的飛出視窗

[偵測] 主頁面包含過去 30 天內 (檔案/進程) 的所有偵測清單。 選取任何偵測,以使用向下切入功能開啟。

顯示 ASR 規則報告主要偵測索引標籤飛出視窗

[ 可能的排除和影響 ] 區段會提供所選檔案或進程的影響。 您可以:

  • 取 [搜捕 ] 以開啟 [進階搜捕查詢] 頁面
  • 開啟檔案頁面會開啟 適用於端點的 Microsoft Defender 偵測
  • [新增排除] 按鈕會與 [新增排除] 主頁面連結。

下圖說明進階搜捕查詢頁面如何從可採取動作的飛出視窗上的連結開啟:

顯示攻擊面縮小規則報告主要偵測索引標籤飛出視窗連結開啟進階搜捕

如需進階搜捕的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅

受攻擊面縮小規則主要設定索引標籤

ASR 規則主要的 [ 設定] 索引 標籤會提供摘要和每個裝置的 ASR 規則設定詳細數據。 [組態] 索引標籤有三個主要層面:

基本規則 提供在 基本規則所有規則之間切換結果的方法。 默認會選取 [基本規則 ]。

裝置設定概觀 提供下列其中一種狀態的裝置目前快照集:

  • 所有公開的裝置 (缺少必要條件、稽核模式中的規則、設定錯誤的規則或未設定規則的裝置)
  • 未設定規則的裝置
  • 具有稽核模式規則的裝置
  • 具有封鎖模式規則的裝置

[組態] 索引標籤的下方未命名區段會提供每個裝置 (裝置目前狀態的清單) :

  • 裝置 (名稱)
  • 整體設定 (是否有任何規則開啟或全部關閉)
  • 封鎖模式中的規則 (每個裝置設定的規則數目,以封鎖)
  • 稽核模式中的規則 (稽核模式中的規則數目)
  • 已關閉 (關閉或未啟用的規則)
  • 裝置 GUID) (裝置識別碼

下圖顯示這些元素。

顯示 ASR 規則報表主要組態索引標籤

若要啟用 ASR 規則:

  1. 在 [ 裝置] 下,選取您要套用 ASR 規則的裝置。
  2. 在飛出視窗中,確認您的選取專案,然後選取 [ 新增至原則]

下圖顯示 [ 組態 ] 索引標籤和 [新增規則 ] 飛出視窗。

[注意!] 如果您有需要套用不同 ASR 規則的裝置,您應該個別設定這些裝置。

顯示 ASR 規則飛出視窗,以將 ASR 規則新增至裝置

受攻擊面縮小規則 新增排除範圍索引標籤

[ 新增排除專案] 索引標籤 會依檔名顯示偵測的排名清單,並提供設定排除的方法。 根據預設, 新增排除 資訊會列出三個字段:

  • 檔名 觸發 ASR 規則事件的檔名。
  • 檢測 針對具名檔案偵測到的事件總數。 個別裝置可以觸發多個 ASR 規則事件。
  • 設備 發生偵測的裝置數目。

顯示 ASR 規則報表新增排除範圍索引標籤

重要事項

排除檔案或資料夾可能會大幅降低 ASR 規則所提供的保護。 允許執行排除的檔案,而且不會記錄任何報表或事件。 如果 ASR 規則偵測到您認為不應該偵測到的檔案,您應該 先使用稽核模式來測試規則

當您選取檔案時,[ 摘要] & 預期的影響 飛出視窗隨即開啟,並呈現下列類型的資訊:

  • 選取的檔案 您已選取排除的檔案數目
  • () 偵測數目說明新增選取的排除 () 之後,預期的偵測減少。 在排除之後,實際偵測和偵測會以圖形方式表示偵測的減少
  • () 受影響裝置的數目指出報告所選排除專案偵測的裝置預期會減少。

[新增排除範圍] 頁面有兩個按鈕,可用於選取) 之後 (任何偵測到的檔案上的動作。 您可以:

  • 新增將開啟 ASR 原則頁面 Microsoft Intune 排除專案。 For more information, see: Intune in "Enable ASR rules alternate configuration methods."
  • 取得將 以 csv 格式下載檔路徑的排除路徑

顯示 ASR 規則報告新增排除範圍索引標籤飛出窗口影響摘要

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。