Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Отчет о правилах сокращения направлений атаки содержит подробные сведения о правилах, применяемых на устройствах в вашей организации. Кроме того, в этом отчете содержатся сведения о:
- Обнаруженные угрозы
- Заблокированные угрозы
- Устройства, которые не настроены для использования стандартных правил защиты для блокировки угроз
Кроме того, отчет предоставляет простой в использовании интерфейс, который позволяет:
- Просмотр обнаружений угроз
- Просмотр конфигурации правил ASR
- Настройка (добавление) исключений
- Детализация для сбора подробных сведений
Чтобы просмотреть отчеты, можно выбрать следующие варианты:
- Из сводных карточек отчета ASR в разделе Устройстваотчета о безопасности.
- Непосредственно на странице отчета о правилах уменьшения направлений атак .
Дополнительные сведения об отдельных правилах сокращения направлений атак см. в справочнике по правилам сокращения направлений атак.
Предварительные условия
- Чтобы получить доступ к отчету о правилах сокращения направлений атак, для портала Microsoft Defender требуются разрешения на чтение.
- Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчете о правилах сокращения направлений атак, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.
Поддерживаемые операционные системы
- Windows
Разрешения на доступ к отчетам
Для доступа к отчету о правилах сокращения направлений атак на портале Microsoft Defender требуются следующие разрешения:
| Имя разрешения | Тип разрешения |
|---|---|
| Просмотр данных | Операции, связанные с обеспечением безопасности |
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Чтобы назначить эти разрешения, выполните следующие действия:
Войдите на портал Microsoft Defender.
В области навигации выберите Параметры>Роли конечных> точек(в разделе Разрешения).
Выберите роль, которую вы хотите изменить, а затем нажмите кнопку Изменить.
В разделе Изменение роли на вкладке Общие в поле Имя роли введите имя роли.
В поле Описание введите краткую сводку роли.
В разделе Разрешения выберите Просмотр данных и в разделе Просмотр данных выберите Операции безопасности.
<a name='navigate-to-the-attack-surface-reduction-rules-report>
Сводные карточки отчетов ASR в разделе Устройства отчета о безопасности
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Отчеты>Общий отчет >о безопасности. Или, чтобы перейти непосредственно на страницу отчетов о безопасности, используйте https://security.microsoft.com/reports.
На странице Отчеты о безопасности найдите раздел Устройства , содержащий сводные карточки отчетов по правилам ASR:
Сводка отчета о правилах ASR разделена на две карточки:
Сводка по обнаружению правил ASR карта
Сводка по обнаружению правил ASR карта отображает сводку по количеству обнаруженных угроз, заблокированных правилами ASR. Этот карта включает две кнопки действий:
- Просмотр обнаружений: открытие вкладки Обнаружения
- Добавление исключений. Открывает вкладку Исключения .
При выборе ссылки на обнаружение правил ASR в верхней части карта также открывается основная вкладка Обнаружение правил уменьшения направлений атак.
Сводная карта конфигурации правил ASR
В верхнем разделе рассматриваются три рекомендуемых правила, которые защищают от распространенных методов атак. В этом карта отображаются сведения о текущем состоянии компьютеров в организации, на которых установлены следующие три стандартных правила защиты (ASR) в режиме блокировки, режим аудита или выключение (не настроено). Кнопка Защитить устройства отображает полные сведения о конфигурации только для трех правил. клиенты могут быстро принять меры для включения этих правил.
В нижней части отображаются шесть правил, основанных на количестве незащищенных устройств на правило. Кнопка Просмотреть конфигурацию открывает все сведения о конфигурации для всех правил ASR. Кнопка Добавить исключения отображает страницу добавления исключения со всеми обнаруженными именами файлов или процессов, перечисленными для оценки центра операций безопасности (SOC). Страница Добавить исключение связана с Microsoft Intune.
Карта также включает две кнопки действий:
- Просмотр конфигурации. Открывает вкладку Обнаружения .
- Добавление исключений. Открывает вкладку Исключения .
При выборе ссылки на конфигурацию правил ASR в верхней части карта также открывается основная вкладка Настройка правил уменьшения направлений атак.
Упрощенный вариант стандартной защиты
Сводка по конфигурации карта предоставляет кнопку Для защиты устройств с помощью трех стандартных правил защиты. Как минимум, корпорация Майкрософт рекомендует включить следующие три стандартных правила защиты для уменьшения направлений атак:
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
- Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
- Блокировка сохраняемости с помощью подписки на события инструментария управления Windows (WMI)
Чтобы включить три стандартных правила защиты, выполните следующие действия:
Выберите Защитить устройства. Откроется основная вкладка Конфигурация .
На вкладке Конфигурациябазовые правила автоматически переключают все правила на Standard включены правила защиты.
В списке Устройства выберите устройства, к которым должны применяться стандартные правила защиты, а затем нажмите кнопку Сохранить.
В этом карта есть две другие кнопки навигации:
- Просмотр конфигурации. Откроется вкладка Конфигурация .
- Добавление исключений. Открывает вкладку Исключения .
При выборе ссылки на конфигурацию правил ASR в верхней части карта также открывается основная вкладка Настройка правил уменьшения направлений атак.
Страница отчета о правилах сокращения направлений атак
Хотя карточки сводных отчетов по правилам ASR полезны для быстрого получения сводки состояния правил ASR, на основных вкладках содержатся более подробные сведения о возможностях фильтрации и настройки.
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Отчеты>Конечные точки, раздел >Правила сокращения направлений атак. Или, чтобы перейти непосредственно к отчету о правилах сокращения направлений атак , используйте https://security.microsoft.com/asr
На странице отчета о правилах сокращения направлений атак доступны следующие вкладки :
Главная вкладка "Обнаружение" правил сокращения направлений атак
Чтобы напрямую получить доступ к вкладке Обнаружения отчета о правилах сокращения направлений атак, используйте .https://security.microsoft.com/asr?viewid=detections
На вкладке Обнаружения содержатся следующие сведения:
Обнаружение аудита. Показывает, сколько обнаружений угроз фиксируется правилами, заданными в режиме аудита .
Заблокированные обнаружения. Показывает, сколько обнаружений угроз заблокировано правилами, установленными в режиме блокировки .
Большой консолидированный график: отображает заблокированные и проверенные обнаружения.
Графы предоставляют данные обнаружения в отображаемом диапазоне дат с возможностью навести указатель мыши на определенное расположение для сбора сведений о дате.
В таблице сведений перечислены обнаруженные угрозы для каждого устройства со следующими полями:
| Имя поля | Определение |
|---|---|
| Обнаруженный файл | Файл, определенный для хранения возможной или известной угрозы |
| Обнаружено в | Дата обнаружения угрозы |
| Заблокировано или проверено? | Указывает, находилось ли правило обнаружения для конкретного события в режиме блокировки или аудита. |
| Правило | Какое правило обнаружило угрозу |
| Исходное приложение | Приложение, которое сделало вызов к проблеме "обнаруженного файла" |
| Устройство | Имя устройства, на котором произошло событие аудита или блокировки. |
| Группа устройств | Группа Active Directory, к которой принадлежит устройство |
| Пользователь | Учетная запись компьютера, ответственная за вызов |
| Publisher | Компания, которая выпустила конкретный .exe или приложение |
Дополнительные сведения об аудите правил ASR и режимах блокировки см. в разделе Режимы правил сокращения направлений атак.
Поле Поиск доступно для поиска записей по идентификатору устройства, имени файла или имени процесса.
Вы можете отфильтровать информацию на вкладке, выбрав Добавить фильтр, а затем выбрав один из доступных параметров. После отображения фильтра в верхней части вкладки можно настроить для него выбранные параметры:
Правила. Выберите Standard защита или Все.
Дата. Выберите дату начала до 30 дней.
Выберите правила. Выберите одно или несколько из следующих правил:
- Блокировка сохраняемости с помощью подписки на события WMI
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
- Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
Совет
Чтобы просмотреть все активированные правила, используйте таблицу DeviceEvents в расширенной охоте.
В настоящее время количество отдельных обнаруженных элементов, перечисленных в таблице сведений, ограничено 200 правилами. Используйте команду Экспорт , чтобы сохранить полный список обнаружений в CSV-файле.
Группа устройств. Выберите доступную группу устройств.
Заблокировано или проверено? Выберите Аудит илиЗаблокировано.
Функция GroupBy доступна в таблице сведений со следующими параметрами:
- Нет группирования
- Обнаруженный файл
- Аудит или блокировка
- Rule
- Исходное приложение
- Устройство
- Группа устройств
- Пользователь
- Publisher
Совет
В настоящее время, чтобы использовать GroupBy, необходимо прокрутить до последней записи обнаружения в списке, чтобы загрузить полный набор данных. Затем можно использовать GroupBy. В противном случае результаты будут неверными для любого результата, имеющего несколько доступных для просмотра страниц перечисленных обнаружений.
Всплывающий элемент с действиями
На главной странице "Обнаружение" содержится список всех обнаружений (файлов и процессов) за последние 30 дней. Выберите любое из обнаружений, чтобы открыть с возможностями детализации.
В разделе Возможное исключение и влияние описывается эффект выбранного файла или процесса. Варианты действий:
- Выберите Go hunt (Перейти охота ), чтобы открыть страницу запроса Advanced Hunting (Расширенная охота).
- Откроется страница "Открыть файл" Microsoft Defender для конечной точки обнаружения.
- Кнопка Добавить исключение связана с главной страницей добавления исключения.
На следующем рисунке показано, как страница запроса Advanced Hunting открывается по ссылке во всплывающем элементе с действиями:
Дополнительные сведения о расширенной охоте см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR
Главная вкладка "Конфигурация" в правилах сокращения направлений атак
Чтобы напрямую получить доступ к вкладке Конфигурация отчета о правилах сокращения направлений атак, используйте .https://security.microsoft.com/asr?viewid=configuration
На вкладке Конфигурация представлены сводка и сведения о конфигурации правил ASR для каждого устройства. На вкладке Конфигурация есть три основных аспекта:
- Основные правила Предоставляет метод для переключения результатов между базовыми правилами и всеми правилами. По умолчанию выбраны основные правила .
-
Общие сведения о конфигурации устройств Предоставляет текущую snapshot устройств в одном из следующих состояний:
- Все предоставляемые устройства (устройства с отсутствующими предварительными условиями, правила в режиме аудита, неправильно настроенные правила или правила не настроены)
- Устройства с не настроенными правилами
- Устройства с правилами в режиме аудита
- Устройства с правилами в блочном режиме
-
В нижнем неименованном разделе вкладки Конфигурация содержится список текущего состояния устройств (на основе каждого устройства):
- Устройство (имя)
- Общая конфигурация (включены ли какие-либо правила или все отключены)
- Правила в блочном режиме (количество правил для каждого устройства, для которых задано значение блокировки)
- Правила в режиме аудита (количество правил в режиме аудита)
- Правила отключены (правила, которые отключены или не включены)
- Идентификатор устройства (GUID устройства)
Чтобы включить правила ASR, выполните следующие действия.
В разделе Устройство выберите устройство или устройства, к которым требуется применить правила ASR.
Во всплывающем окне проверьте выбранные параметры и выберите Добавить в политику. На следующем рисунке показаны вкладка "Конфигурация " и всплывающее меню "Добавить правило ".
[ПРИМЕЧАНИЕ!] Если у вас есть устройства, требующие применения различных правил ASR, следует настроить эти устройства по отдельности.
Поле Поиск доступно для поиска записей по идентификатору устройства, имени файла или имени процесса.
В верхней части вкладки можно фильтровать правила по Standard защиты или Все.
Правила сокращения направлений атак. Вкладка "Добавление исключений"
Чтобы напрямую получить доступ к вкладке Добавление исключений отчета о правилах сокращения направлений атак , используйте https://security.microsoft.com/asr?viewid=exclusions.
На вкладке Добавление исключений представлен список ранжированных обнаружений по имени файла и предоставляется метод для настройки исключений. По умолчанию сведения о добавлении исключений отображаются для трех полей:
- Имя файла: имя файла, который активировал событие правил ASR.
- Обнаружения: общее количество обнаруженных событий для именованного файла. Отдельные устройства могут активировать несколько событий правил ASR.
- Устройства: количество устройств, на которых произошло обнаружение.
Важно!
Исключение файлов или папок может значительно снизить защиту, предоставляемую правилами ASR. Исключенные файлы могут выполняться, и отчет или событие не записываются. Если правила ASR обнаруживают файлы, которые, как вы считаете, не должны быть обнаружены, сначала следует использовать режим аудита для тестирования правила.
При выборе файла откроется всплывающее окно Сводка & ожидаемое влияние , в которое будут представлены следующие типы сведений:
- Выбранные файлы — количество файлов, выбранных для исключения.
- (количество) обнаружений — указывается ожидаемое сокращение количества обнаружений после добавления выбранных исключений. Сокращение количества обнаружений графически представлено для фактических обнаружений и обнаружения после исключений.
- (количество) затронутых устройств — указывается ожидаемое сокращение количества устройств, сообщающих об обнаружении выбранных исключений.
На странице Добавить исключение есть две кнопки для действий, которые можно использовать для любых обнаруженных файлов (после выбора). Варианты действий:
Добавьте исключение, которое откроется Microsoft Intune странице политики ASR. Дополнительные сведения см. в разделе Intune в разделе Включение альтернативных методов конфигурации правил ASR.
Получите пути исключения, которые загружают пути к файлам в формате CSV.
Поле Поиск доступно для поиска записей по идентификатору устройства, имени файла или имени процесса.
Выберите Фильтр, чтобы отфильтровать правила по Standard защиты или Все.
См. также
- Общие сведения о развертывании правил сокращения направлений атак
- Планирование развертывания правил сокращения направлений атак
- Проверка правил сокращения направлений атак
- Включение правил сокращения направлений атак
- Ввод в эксплуатацию правил сокращения направлений атак
- Отчет о правилах сокращения направлений атак (ASR)
- Справочник по правилам сокращения направлений атак