Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Просмотр событий в Просмотр событий полезен при оценке возможностей сокращения направлений атак. Например, можно включить режим аудита для функций или параметров, а затем проверить, что произойдет, если они будут полностью включены. Вы также можете просмотреть влияние функций сокращения направлений атак, если они полностью включены.
В этой статье описывается, как использовать windows Просмотр событий для просмотра событий из возможностей сокращения направлений атак (ASR), в том числе:
Чтобы просмотреть события сокращения направлений атаки, можно использовать следующие варианты, как описано в остальной части этой статьи.
- Просмотр событий сокращения направлений атаки в Windows Просмотр событий: переход к событиям уменьшения направлений атаки в Просмотр событий и идентификаторы событий для каждой возможности сокращения направлений атаки.
- Использование пользовательских представлений в Windows Просмотр событий для просмотра событий сокращения направлений атак. Создание или импорт пользовательских представлений для фильтрации Просмотр событий по определенным возможностям ASR и готовые к использованию шаблоны XML-запросов.
Совет
Переадресация событий Windows позволяет централизовать сбор событий уменьшения направлений атаки с нескольких устройств.
Портал Microsoft Defender также предоставляет отчеты о функциях уменьшения направлений атак, которые проще использовать, чем Windows Просмотр событий:
Просмотр событий сокращения направлений атак в Windows Просмотр событий
Все события сокращения направлений атаки находятся в журналах приложений и служб. Чтобы просмотреть события сокращения направлений атаки, выполните следующие действия.
Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
В Просмотр событий разверните узел Журналы> приложений и службMicrosoft>Windows.
Продолжайте расширять путь для различных типов событий сокращения направлений атаки, как описано в следующих подразделах.
Найдите и отфильтруйте нужные события, как описано в следующих подразделах.
События правил ASR
События правила ASR находятся воперационном журнале Защитника> Windows:
| Идентификатор события | Описание |
|---|---|
| 1121 | Событие, когда правило срабатывает в блочном режиме |
| 1122 | Событие, когда правило срабатывает в режиме аудита |
| 1129 | Событие, когда пользователь переопределяет блокировку в режиме предупреждения |
| 5007 | Событие при изменении параметров |
События управляемого доступа к папкам
События управляемого доступа к папкам находятся воперационной средеЗащитника> Windows.
| Идентификатор события | Описание |
|---|---|
| 5007 | Событие при изменении параметров |
| 1124 | Событие аудита управляемого доступа к папкам |
| 1123 | Событие заблокированного управляемого доступа к папкам |
| 1127 | Заблокированный контролируемый доступ к папкам, событие блока записи в секторе |
| 1128 | Событие блока записи в секторе контролируемого доступа к управляемым папкам |
События защиты от эксплойтов
Следующие события защиты от эксплойтов находятся в журналах >режима ядра"Устранение рисков безопасности" и "Устранение рисков>безопасности" в пользовательском режиме:
| Идентификатор события | Описание |
|---|---|
| 1 | Аудит ACG |
| 2 | Принудительное выполнение ACG |
| 3 | Не разрешать аудит для дочерних процессов |
| 4 | Не разрешать блокировку дочерних процессов |
| 5 | Блокировать аудит изображений с низкой целостностью |
| 6 | Блокировать блок изображений с низкой целостностью |
| 7 | Блокировать аудит удаленных изображений |
| 8 | Блокировать блок удаленных изображений |
| 9 | Отключить аудит системных вызовов Win32k |
| 10 | Отключить блокировку системных вызовов win32k |
| 11 | Аудит защиты целостности кода |
| 12 | Блок защиты целостности кода |
| 13 | Аудит EAF |
| 14 | Принудительное выполнение EAF |
| 15 | EAF + аудит |
| 16 | EAF+ принудительное выполнение |
| 17 | Аудит IAF |
| 18 | Принудительное выполнение IAF |
| 19 | Аудит ROP StackPivot |
| 20 | Принудительное выполнение ROP StackPivot |
| 21 | Аудит ROP CallerCheck |
| 22 | Принудительное выполнение ROP CallerCheck |
| 23 | Аудит ROP SimExec |
| 24 | Принудительное выполнение ROP SimExec |
Следующее событие защиты от эксплойтов находится воперативном журнале WER-Diagnostics>:
| Идентификатор события | Описание |
|---|---|
| 5 | Блок CFG |
Воперационном журнале Win32k> находится следующее событие защиты от эксплойтов:
| Идентификатор события | Описание |
|---|---|
| 260 | Ненадежный шрифт |
События защиты сети
События защиты сети находятся воперационной средеЗащитника> Windows.
| Идентификатор события | Описание |
|---|---|
| 5007 | Событие при изменении параметров |
| 1125 | Событие при срабатывании защиты сети в режиме аудита |
| 1126 | Событие при срабатывании сетевой защиты в режиме блокировки |
Использование пользовательских представлений в Windows Просмотр событий для просмотра событий сокращения направлений атак
Вы можете создавать пользовательские представления в Windows Просмотр событий, чтобы просматривать только события для конкретных возможностей сокращения направлений атак. Самый простой способ — импортировать пользовательское представление в виде XML-файла. Вы также можете скопировать XML-код непосредственно в Просмотр событий.
Готовые к использованию шаблоны XML см. в разделе Пользовательские шаблоны XML для событий сокращения направлений атак .
Импорт существующего настраиваемого представления XML
Создайте пустой файл .txt и скопируйте XML-файл для пользовательского представления, которое вы хотите использовать, в файл .txt. Выполните этот шаг для каждого из пользовательских представлений, которые вы хотите использовать. Переименуйте файлы следующим образом (обязательно измените тип с .txt на .xml):
- Настраиваемое представление событий управляемого доступа к папкам: cfa-events.xml
- Настраиваемое представление событий защиты от эксплойтов: ep-events.xml
- Настраиваемое представление событий сокращения направлений атаки: asr-events.xml
- Настраиваемое представление событий защиты сети: np-events.xml
Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
Выберите Действие>Импорт пользовательского представления...
Перейдите к XML-файлу для нужного пользовательского представления и выберите его.
Выберите Открыть.
Настраиваемое представление фильтрует только события, связанные с этой функцией.
Копирование XML-кода напрямую
Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
В области Действия выберите Создать пользовательское представление...
Перейдите на вкладку XML и выберите Изменить запрос вручную. Предупреждение означает, что вы не можете изменить запрос с помощью вкладки Фильтр при использовании параметра XML. Выберите Да.
Вставьте XML-код компонента, по которому требуется фильтровать события, в раздел XML.
Нажмите OK. Укажите имя фильтра. Настраиваемое представление фильтрует только события, связанные с этой функцией.
Пользовательские шаблоны XML для событий сокращения направлений атак
XML-код для событий правила сокращения направлений атаки
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-код для событий управляемого доступа к папкам
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML-файл для событий защиты от эксплойтов
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML-код для событий защиты сети
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>