События уменьшения поверхности атаки в Просмотре событий Windows

Просмотр событий в средстве «Просмотр событий» полезен при оценке функций уменьшения поверхности атаки. Например, можно включить режим аудита для функций или параметров, а затем проверить, что произойдет, если они будут полностью включены. Вы также можете просмотреть влияние функций сокращения направлений атак, если они полностью включены.

В этой статье описывается, как использовать Просмотр событий Windows для просмотра событий, связанных с возможностями уменьшения поверхности атаки (ASR), в том числе:

Чтобы просмотреть события сокращения направлений атаки, можно использовать следующие варианты, как описано в остальной части этой статьи.

Совет

Переадресация событий Windows позволяет централизовать сбор событий уменьшения направлений атаки с нескольких устройств.

Портал Microsoft Defender также предоставляет отчеты о функциях уменьшения направлений атак, которые проще использовать, чем Windows Просмотр событий:

Просмотр событий уменьшения поверхности атаки в Просмотре событий Windows

Все события сокращения направлений атаки находятся в журналах приложений и служб. Чтобы просмотреть события сокращения направлений атаки, выполните следующие действия.

  1. Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.

  2. В Просмотр событий разверните узел Журналы> приложений и службMicrosoft>Windows.

  3. Продолжайте расширять путь к событиям правил ASR, контролируемым событиям доступа к папкам, событиям защиты эксплойтов или событиям защиты сети.

  4. Найдите и отфильтруйте события, которые нужно просмотреть с помощью таблиц идентификаторов событий в событиях правила ASR, событий доступа к папкам, событийзащиты от эксплойтов и событий защиты сети или создания пользовательских представлений в Просмотр событий.

События правил ASR

События правил ASR находятся в журнале Windows Defender>Operational:

Идентификатор события Описание
1121 Событие, когда правило срабатывает в блочном режиме
1122 Событие, когда правило срабатывает в режиме аудита
1129 Событие, когда пользователь переопределяет блокировку в режиме предупреждения
5007 Событие при изменении параметров

Просмотр событий доступа к управляемым папкам

События контролируемого доступа к папкам находятся в журнале Windows Defender>Operational.

Идентификатор события Описание
5007 Событие при изменении параметров
1124 Зарегистрированное событие управляемого доступа к папкам
1123 Событие блокировки контролируемого доступа к папкам
1127 Заблокированный контролируемый доступ к папкам, событие блока записи в секторе
1128 Событие блока записи в секторе контролируемого доступа к управляемым папкам

Просмотр событий защиты от эксплойтов

Следующие события защиты от эксплойтов находятся в журналах Устранение угроз безопасности>Режим ядра и Устранение угроз безопасности>Пользовательский режим:

Идентификатор события Описание
1 Аудит ACG
2 Принудительное применение ACG
3 Не разрешать аудит дочерних процессов
4 Не разрешать блокировку дочерних процессов
5 Блокировать аудит изображений с низкой целостностью
6 Блокировать блок изображений с низким уровнем целостности
7 Блокировать аудит удаленных изображений
8 Блокировать блок удаленных изображений
9 Отключить аудит системных вызовов win32k
10 Отключить блокировку системных вызовов win32k
11 Аудит защиты целостности кода
12 Блок защиты целостности кода
13 Аудит EAF
14 Принудительное применение EAF
15 EAF+ аудит
16 EAF+ принудительное применение
17 Аудит IAF
18 Принудительное применение IAF
19 Аудит ROP StackPivot
20 Принудительное применение ROP StackPivot
21 Аудит ROP CallerCheck
22 Принудительное применение ROP CallerCheck
23 Аудит ROP SimExec
24 Принудительное выполнение ROP SimExec

Следующее событие защиты от эксплойтов находится в журнале WER-Diagnostics>Operational:

Идентификатор события Описание
5 Блок CFG

Следующее событие защиты от эксплойтов находится в журнале Win32k>Operational:

Идентификатор события Описание
260 Ненадежный шрифт

Просмотр событий защиты сети

События защиты сети находятся в Защитнике Windows>Рабочий.

Идентификатор события Описание
5007 Событие при изменении параметров
1125 Событие, когда сетевая защита срабатывает в режиме аудита
1126 Событие при срабатывании сетевой защиты в режиме блокировки

Используйте настраиваемые представления в Просмотре событий Windows для просмотра событий уменьшения поверхности атаки

Вы можете создавать пользовательские представления в Windows Просмотр событий, чтобы просматривать только события для конкретных возможностей сокращения направлений атак. Самый простой способ — импортировать пользовательское представление в виде XML-файла. Вы также можете скопировать XML-код непосредственно в Просмотр событий.

Готовые к использованию шаблоны XML см. в разделе Пользовательские шаблоны XML для событий сокращения направлений атак .

Импорт существующего настраиваемого представления XML

Чтобы импортировать существующее пользовательское представление XML в Просмотр событий, выполните следующие действия.

  1. Создайте пустой файл .txt и скопируйте XML-файл для пользовательского представления, которое вы хотите использовать, в файл .txt. Выполните этот шаг для каждого из пользовательских представлений, которые вы хотите использовать. Переименуйте файлы следующим образом (обязательно измените тип с .txt на .xml):

    • Настраиваемое представление событий управляемого доступа к папкам: cfa-events.xml
    • Настраиваемое представление событий защиты от эксплойтов: ep-events.xml
    • Настраиваемое представление событий уменьшения поверхности атаки: asr-events.xml
    • Настраиваемое представление событий защиты сети: np-events.xml
  2. Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.

  3. Выберите Действия>Импорт пользовательского представления...

    Анимация, показывающая, как выбрать и импортировать сохраненный XML-файл в виде пользовательского представления в Просмотр событий.

  4. Перейдите к XML-файлу для нужного пользовательского представления и выберите его.

  5. Выберите Открыть.

Фильтры пользовательского представления для отображения только событий, связанных с выбранной возможностью уменьшения поверхности атаки.

Копирование XML-кода непосредственно в Просмотр событий

Чтобы вставить XML непосредственно в пользовательское представление, выполните следующие действия.

  1. Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.

  2. В области Действия выберите Создать пользовательское представление...

  3. Перейдите на вкладку XML. Обратите внимание, что при нажатии кнопки "Изменить запрос" вручную невозможно изменить запрос позже с помощью вкладки "Фильтр ". Нажмите кнопку "Изменить запрос" вручную, а затем нажмите кнопку "Да ", чтобы подтвердить.

  4. Вставьте XML-код для правил уменьшения поверхности атаки, управляемого доступа к папкам, защиты от эксплойтов или защиты сети из пользовательских шаблонов XML в XML-раздел.

  5. Нажмите OK. Укажите имя фильтра. Фильтры пользовательского представления для отображения только событий, связанных с выбранной возможностью уменьшения поверхности атаки.

Пользовательские шаблоны XML для событий сокращения направлений атак

Используйте следующие шаблоны XML для создания пользовательских представлений в Просмотр событий для каждой возможности уменьшения поверхности атаки. Эти шаблоны можно импортировать как XML-файлы или вставить их непосредственно в Просмотр событий.

XML-код для событий правила сокращения направлений атаки

Следующий XML-запрос фильтрует Windows Defender операционный журнал для событий правил ASR (идентификаторы событий 1121, 1122, 1129 и 5007):

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML-код для событий управляемого доступа к папкам

Следующий XML-запрос фильтрует журнал «Состояние» Windows Defender по событиям контролируемого доступа к папкам (идентификаторы событий 1123, 1124, 1127, 1128 и 5007):

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML-файл для событий защиты от эксплойтов

Следующий XML-запрос создает настраиваемое представление для событий защиты от эксплойтов от поставщиков Security-Mitigations, WER-Diagnostics и Win32k (идентификаторы событий 1–24, 5 и 260):

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML-код для событий защиты сети

Следующий XML-запрос фильтрует операционный журнал Windows Defender по событиям защиты сети (идентификаторы событий 1125, 1126 и 5007):

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>