Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Просмотр событий в средстве «Просмотр событий» полезен при оценке функций уменьшения поверхности атаки. Например, можно включить режим аудита для функций или параметров, а затем проверить, что произойдет, если они будут полностью включены. Вы также можете просмотреть влияние функций сокращения направлений атак, если они полностью включены.
В этой статье описывается, как использовать Просмотр событий Windows для просмотра событий, связанных с возможностями уменьшения поверхности атаки (ASR), в том числе:
- Правила сокращения направлений атак
- Контролируемый доступ к папкам (CFA)
- Защита от эксплойтов
- Защита сети
Чтобы просмотреть события сокращения направлений атаки, можно использовать следующие варианты, как описано в остальной части этой статьи.
- Просмотр событий сокращения поверхности атаки в средстве просмотра событий Windows: как перейти к событиям сокращения поверхности атаки в средстве просмотра событий, а также идентификаторы событий для каждой функции сокращения поверхности атаки.
- Использование настраиваемых представлений в средстве «Просмотр событий» Windows для просмотра событий уменьшения поверхности атаки: создание или импорт настраиваемых представлений для фильтрации в «Просмотре событий» по определённым правилам ASR, а также готовые шаблоны XML-запросов.
Совет
Переадресация событий Windows позволяет централизовать сбор событий уменьшения направлений атаки с нескольких устройств.
Портал Microsoft Defender также предоставляет отчеты о функциях уменьшения направлений атак, которые проще использовать, чем Windows Просмотр событий:
Просмотр событий уменьшения поверхности атаки в Просмотре событий Windows
Все события сокращения направлений атаки находятся в журналах приложений и служб. Чтобы просмотреть события сокращения направлений атаки, выполните следующие действия.
Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
В Просмотр событий разверните узел Журналы> приложений и службMicrosoft>Windows.
Продолжайте расширять путь к событиям правил ASR, контролируемым событиям доступа к папкам, событиям защиты эксплойтов или событиям защиты сети.
Найдите и отфильтруйте события, которые нужно просмотреть с помощью таблиц идентификаторов событий в событиях правила ASR, событий доступа к папкам, событийзащиты от эксплойтов и событий защиты сети или создания пользовательских представлений в Просмотр событий.
События правил ASR
События правил ASR находятся в журнале Windows Defender>Operational:
| Идентификатор события | Описание |
|---|---|
| 1121 | Событие, когда правило срабатывает в блочном режиме |
| 1122 | Событие, когда правило срабатывает в режиме аудита |
| 1129 | Событие, когда пользователь переопределяет блокировку в режиме предупреждения |
| 5007 | Событие при изменении параметров |
Просмотр событий доступа к управляемым папкам
События контролируемого доступа к папкам находятся в журнале Windows Defender>Operational.
| Идентификатор события | Описание |
|---|---|
| 5007 | Событие при изменении параметров |
| 1124 | Зарегистрированное событие управляемого доступа к папкам |
| 1123 | Событие блокировки контролируемого доступа к папкам |
| 1127 | Заблокированный контролируемый доступ к папкам, событие блока записи в секторе |
| 1128 | Событие блока записи в секторе контролируемого доступа к управляемым папкам |
Просмотр событий защиты от эксплойтов
Следующие события защиты от эксплойтов находятся в журналах Устранение угроз безопасности>Режим ядра и Устранение угроз безопасности>Пользовательский режим:
| Идентификатор события | Описание |
|---|---|
| 1 | Аудит ACG |
| 2 | Принудительное применение ACG |
| 3 | Не разрешать аудит дочерних процессов |
| 4 | Не разрешать блокировку дочерних процессов |
| 5 | Блокировать аудит изображений с низкой целостностью |
| 6 | Блокировать блок изображений с низким уровнем целостности |
| 7 | Блокировать аудит удаленных изображений |
| 8 | Блокировать блок удаленных изображений |
| 9 | Отключить аудит системных вызовов win32k |
| 10 | Отключить блокировку системных вызовов win32k |
| 11 | Аудит защиты целостности кода |
| 12 | Блок защиты целостности кода |
| 13 | Аудит EAF |
| 14 | Принудительное применение EAF |
| 15 | EAF+ аудит |
| 16 | EAF+ принудительное применение |
| 17 | Аудит IAF |
| 18 | Принудительное применение IAF |
| 19 | Аудит ROP StackPivot |
| 20 | Принудительное применение ROP StackPivot |
| 21 | Аудит ROP CallerCheck |
| 22 | Принудительное применение ROP CallerCheck |
| 23 | Аудит ROP SimExec |
| 24 | Принудительное выполнение ROP SimExec |
Следующее событие защиты от эксплойтов находится в журнале WER-Diagnostics>Operational:
| Идентификатор события | Описание |
|---|---|
| 5 | Блок CFG |
Следующее событие защиты от эксплойтов находится в журнале Win32k>Operational:
| Идентификатор события | Описание |
|---|---|
| 260 | Ненадежный шрифт |
Просмотр событий защиты сети
События защиты сети находятся в Защитнике Windows>Рабочий.
| Идентификатор события | Описание |
|---|---|
| 5007 | Событие при изменении параметров |
| 1125 | Событие, когда сетевая защита срабатывает в режиме аудита |
| 1126 | Событие при срабатывании сетевой защиты в режиме блокировки |
Используйте настраиваемые представления в Просмотре событий Windows для просмотра событий уменьшения поверхности атаки
Вы можете создавать пользовательские представления в Windows Просмотр событий, чтобы просматривать только события для конкретных возможностей сокращения направлений атак. Самый простой способ — импортировать пользовательское представление в виде XML-файла. Вы также можете скопировать XML-код непосредственно в Просмотр событий.
Готовые к использованию шаблоны XML см. в разделе Пользовательские шаблоны XML для событий сокращения направлений атак .
Импорт существующего настраиваемого представления XML
Чтобы импортировать существующее пользовательское представление XML в Просмотр событий, выполните следующие действия.
Создайте пустой файл .txt и скопируйте XML-файл для пользовательского представления, которое вы хотите использовать, в файл .txt. Выполните этот шаг для каждого из пользовательских представлений, которые вы хотите использовать. Переименуйте файлы следующим образом (обязательно измените тип с .txt на .xml):
- Настраиваемое представление событий управляемого доступа к папкам: cfa-events.xml
- Настраиваемое представление событий защиты от эксплойтов: ep-events.xml
- Настраиваемое представление событий уменьшения поверхности атаки: asr-events.xml
- Настраиваемое представление событий защиты сети: np-events.xml
Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
Выберите Действия>Импорт пользовательского представления...
Перейдите к XML-файлу для нужного пользовательского представления и выберите его.
Выберите Открыть.
Фильтры пользовательского представления для отображения только событий, связанных с выбранной возможностью уменьшения поверхности атаки.
Копирование XML-кода непосредственно в Просмотр событий
Чтобы вставить XML непосредственно в пользовательское представление, выполните следующие действия.
Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
В области Действия выберите Создать пользовательское представление...
Перейдите на вкладку XML. Обратите внимание, что при нажатии кнопки "Изменить запрос" вручную невозможно изменить запрос позже с помощью вкладки "Фильтр ". Нажмите кнопку "Изменить запрос" вручную, а затем нажмите кнопку "Да ", чтобы подтвердить.
Вставьте XML-код для правил уменьшения поверхности атаки, управляемого доступа к папкам, защиты от эксплойтов или защиты сети из пользовательских шаблонов XML в XML-раздел.
Нажмите OK. Укажите имя фильтра. Фильтры пользовательского представления для отображения только событий, связанных с выбранной возможностью уменьшения поверхности атаки.
Пользовательские шаблоны XML для событий сокращения направлений атак
Используйте следующие шаблоны XML для создания пользовательских представлений в Просмотр событий для каждой возможности уменьшения поверхности атаки. Эти шаблоны можно импортировать как XML-файлы или вставить их непосредственно в Просмотр событий.
XML-код для событий правила сокращения направлений атаки
Следующий XML-запрос фильтрует Windows Defender операционный журнал для событий правил ASR (идентификаторы событий 1121, 1122, 1129 и 5007):
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-код для событий управляемого доступа к папкам
Следующий XML-запрос фильтрует журнал «Состояние» Windows Defender по событиям контролируемого доступа к папкам (идентификаторы событий 1123, 1124, 1127, 1128 и 5007):
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-файл для событий защиты от эксплойтов
Следующий XML-запрос создает настраиваемое представление для событий защиты от эксплойтов от поставщиков Security-Mitigations, WER-Diagnostics и Win32k (идентификаторы событий 1–24, 5 и 260):
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML-код для событий защиты сети
Следующий XML-запрос фильтрует операционный журнал Windows Defender по событиям защиты сети (идентификаторы событий 1125, 1126 и 5007):
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>