Rapport over regler for reduktion af angrebsoverflader på Microsoft Defender-portalen

Rapporten over asr-regler (Attack surface reduction) giver detaljeret indsigt i de regler, der gennemtvinges på enheder i din organisation. Det kan f.eks. være:

• Registrerede trusler.
• Blokerede trusler.
• Enheder, der ikke er konfigureret til at bruge standardbeskyttelsesreglerne til at blokere trusler.

Rapporten indeholder en brugervenlig grænseflade, der gør det muligt for dig at udføre følgende opgaver:

• Vis trusselsregistreringer.
• Få vist konfigurationen af ASR-regler.
• Tilføj og administrer udeladelser.
• Indsaml detaljerede oplysninger.

Du kan få flere oplysninger om ASR-regler under Oversigt over ASR-regler (Attack surface reduction).

Forudsætninger

Understøttede operativsystemer

• Windows

  For at blive vist i rapporten skal Windows Server 2012 R2- og Windows Server 2016-enheder onboardes ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny funktionalitet i den moderne samlede løsning til Windows Server 2012 R2 og 2016.

Adgangstilladelser til rapporter

Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

• Microsoft Defender XDR RBAC (Unified Role Based Access Control):Security operations \ Security data \ Security data Basics (read).

• Defender for Endpoint-tilladelser (tilgængelig i organisationer, der er oprettet før februar 2025): Visdatasikkerhedshandlinger>.

• Microsoft Entra tilladelser: Rollerne Global administrator^*, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

  Vigtigt!

  Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Rapportsiden Regler for reduktion af angrebsoverfladen

I portalen Microsoft Defender på https://security.microsoft.comskal du gå til fanen >Rapporter>SlutpunkterRegler for reduktion af angrebsoverflade. Du kan også gå direkte til rapportsiden med regler for reduktion af angrebsoverfladen ved at bruge https://security.microsoft.com/asr.

Følgende faner er tilgængelige på rapportsiden med regler for reduktion af angrebsoverfladen :

• Opdagelser
• Konfiguration
• Tilføj udeladelser

Fanen Registreringer

Fanen Registreringer er standardfanen på siden. Hvis du vil gå direkte til fanen Opdagelser i rapporten over regler for reduktion af angrebsoverfladen , skal du bruge https://security.microsoft.com/asr eller https://security.microsoft.com/asr?viewid=detections.

Asr-regeloplysningerne på siden bruger som standard følgende filtre:

• Regler: Værdien Standard beskyttelse er som standard valgt til kun at vise data for standardbeskyttelsesregler, men du kan ændre værdien til Alle for at få vist data for alle ASR-regler.

• Dato: Datointervallet for de sidste 30 dage er valgt som standard, men du kan ændre værdierne for Starttidspunkt og Sluttidspunkt til et interval inden for de sidste 30 dage.

• Vælg regler^*: Værdien Alle er valgt som standard, men du kan ændre værdien baseret på filterværdien Regler :

  • Standard beskyttelse: Vælg en eller flere standardbeskyttelsesregler på rullelisten.
  • Alle: Vælg en eller flere ASR-regler (herunder standardbeskyttelsesregler) på rullelisten.

Du kan bruge følgende ekstra filtre, der ikke er konfigureret som standard, ved at vælge Tilføj filter og derefter vælge blandt de tilgængelige indstillinger. Når filteret vises øverst under fanen, kan du konfigurere valgene for det:

• Enhedsgruppe^*: Vælg en eller flere tilgængelige enhedsgrupper.
• Blokeret/overvåget?: Vælg Overvåget eller Blokeret.

^* Hvis du vælger alle tilgængelige værdier eller ingen værdier for dette filter, vises de samme resultater.

Hvis du vil fjerne et filter, skal du vælge Ryd. Hvis du vil nulstille alle filtre, skal du vælge Nulstil alle.

Under filtrene og over grafen vises følgende oplysninger:

• Overvågningsregistreringer: Antallet af trusselsregistreringer efter ASR-regler i overvågningstilstand ved hjælp af de angivne filtre.

• Blokerede registreringer: Antallet af trusselsregistreringer efter ASR-regler i bloktilstand ved hjælp af de angivne filtre.

  Du kan få flere oplysninger om overvågningstilstand og bloktilstand i ASR-regeltilstande.

Diagrammet viser overvågede og blokerede registreringer pr. dag i det valgte datointerval. Hold over dataene for en bestemt dag for at se antallet af overvågnings- eller bloker baseret på de aktuelle filtre.

Detaljetabellen under grafen indeholder følgende oplysninger:

• Registreret fil: Den fil, der er bestemt til at indeholde en mulig eller kendt trussel.
• Registreret den: Den dato, hvor truslen blev registreret.
• Blokeret/overvåget?: Om registreringsreglen for den specifikke hændelse var i blok- eller overvågningstilstand .
• Regel: Den regel, der registrerede truslen.
• Kildeapp: Det program, der foretog opkaldet til den registrerede fil.
• Enhed: Navnet på den enhed, hvor hændelsen Overvågning eller Bloker fandt sted.
• Enhedsgruppe: Den enhedsgruppe, som enheden tilhører.
• Bruger: Den konto, SYSTEM der er ansvarlig for, at kildeappen åbner den registrerede fil (f.eks. for NT AUTHORITY\SYSTEM-kontoen).
• Publisher: Det firma, der har publiceret appen.

Vælg en kolonneoverskrift, der skal sorteres efter denne værdi.

Søgefeltet er tilgængeligt for søgeposter i detaljetabellen efter enheds-id, filnavn eller procesnavn.

GroupBy er tilgængelig til gruppering af oplysningerne i detaljetabellen med følgende indstillinger:

• Ingen gruppering (standard)
• Registreret fil
• Overvåg eller bloker
• Regel
• Kildeapp
• Enhed
• Enhedsgruppe
• Bruger
• Publisher

Oplysninger om registreret fil

Når du vælger en registreringshændelse i detaljetabellen under fanen Registreringer på rapportsiden Regler for reduktion af angrebsoverfladen ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for værdien Registreret fil , åbnes pop op-vinduet Oplysninger om filoplysninger med følgende oplysninger:

• Afsnittet Registreringer:

  I dette afsnit vises en mindre version af grafen på hovedsiden filtreret efter registrering af ASR-regler for filen.

  Følgende handlinger er tilgængelige i dette afsnit:

  • Gå på jagt: I Defender for Endpoint Plan 2 åbner denne handling forespørgselssiden for avanceret jagt med det registrerede filnavn, der er angivet i forespørgslen. For filen conhost.exeser forespørgslen f.eks. sådan ud:

    DeviceEvents
        | where Timestamp >= ago(1d)
        | where FileName == 'conhost.exe'
        | where ActionType startswith 'Asr'
        | extend ParsedFields=parse_json(AdditionalFields)
        | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
        | take 1000
    

    Du kan finde flere oplysninger om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR.

  • Åbn filsiden: Åbner filen på filenhedssiden for den registrerede fil i Defender for Endpoint.

• Afsnittet Mulig udeladelse og indvirkning : Viser oplysninger om registreringer af filen efter ASR-regler i løbet af de sidste 30 dage (det samlede antal registreringer og procentdelen).

• Tilføj udeladelser nederst i pop op-vinduet åbner Microsoft Intune Administration. Du kan få flere oplysninger om konfiguration af udeladelser for ASR-regler under Konfigurer ASR-regler (Attack Surface Reduction) og -udeladelser.

Fanen Konfiguration

Hvis du vil gå direkte til fanen Konfiguration på rapportsiden Regler for reduktion af angrebsoverfladen , skal du bruge https://security.microsoft.com/asr?viewid=configuration.

Fanen Konfiguration indeholder en oversigt og oplysninger om konfiguration af ASR-regler pr. enhed.

Med regler kan du filtrere resultaterne i afsnittet Oversigt over enhedskonfiguration . Som standard er Standard beskyttelse valgt til kun at vise data for standardbeskyttelsesregler, men du kan skifte til Alle for at få vist data for alle ASR-regler.

Afsnittet Oversigt over enhedskonfiguration viser totaler for tilstande for ASR-regler baseret på filteret Standard beskyttelse eller Alle:

• Alle eksponerede enheder: Antallet af enheder med ikke-konfigurerede ASR-regler.
• Antallet af enheder med regler, der ikke er konfigureret
• Antallet af enheder med regler i overvågningstilstand
• Antallet af enheder med regler i bloktilstand

Detaljetabellen viser følgende oplysninger for hver berørt enhed:

• Enhed: Navnet på enheden.

• Samlet konfiguration: Opsummerer betingelsen for alle ASR-regler på enheden. Det kan f.eks. være:

  • Regler i bloktilstand: Nogle regler på enheden er i bloktilstand .
  • Regler slået fra: Nogle regler på enheden er slået fra.

• Regler i bloktilstand

• Regler i overvågningstilstand

• Regler i advarselstilstand

  Du kan få flere oplysninger om de forskellige ASR-regeltilstande i ASR-regeltilstande.

• Regler slået fra

• Regler er ikke gældende: F.eks. reglen Block Webshell creation for Servers på klientarbejdsstationer.

• Unknown

• Enheds-id: Det entydige SHA-1-hashværdi-id for enheden i Microsoft Defender for Endpoint. Du kan få flere oplysninger under Computerressourcetype.

Vælg en kolonneoverskrift, der skal sorteres efter denne værdi.

Brug søgefeltet til at finde en bestemt enhed i detaljetabellen efter værdi for enhed eller enheds-id. Delvise forekomster understøttes.

Enhedsdetaljer

Når du vælger en post på en enhed i detaljetabellen under fanen Konfiguration på rapportsiden Regler for reduktion af angrebsoverfladen ved at klikke et vilkårligt sted i rækken, åbnes et pop op-vindue med enhedsdetaljer med følgende oplysninger:

• En liste over alle tilgængelige ASR-regler og deres tilstande på enheden:

• Ud

• Overvågning

• Bloker

• Advare

• Ikke relevant

• Føj til politik nederst i pop op-vinduet åbner Microsoft Intune Administration. Du kan finde flere oplysninger om de forskellige måder at konfigurere ASR-regler på under Udrulnings- og konfigurationsmetoder til ASR-regler.

Fanen Tilføj udeladelser

Hvis du vil gå direkte til fanen Tilføj udeladelser på rapportsiden Regler for reduktion af angrebsoverfladen , skal du bruge https://security.microsoft.com/asr?viewid=exclusions.

Fanen Tilføj udeladelser viser filregistreringer efter ASR-regler på tværs af alle enheder.

Filter > Med regler eller filter kan du filtrere resultaterne på siden. Som standard er Standard beskyttelse valgt til kun at vise data for standardbeskyttelsesregler, men du kan skifte til Alle for at få vist data for alle ASR-regler.

Detaljetabellen viser følgende oplysninger:

• Filnavn: Navnet på den fil, der udløste ASR-regelhændelsen.
• Registreringer: Det samlede antal registrerede hændelser for filen. Individuelle enheder kan udløse flere ASR-regelhændelser.
• Enheder: Antallet af enheder, hvor registreringen fandt sted.

Vælg en kolonneoverskrift, der skal sorteres efter denne værdi.

Brug søgefeltet til at finde poster efter filnavn.

Oversigt & den forventede effektrude

Når du vælger en eller flere filposter i detaljetabellen under fanen Tilføj udeladelser i rapporten Regler for reduktion af angrebsoverfladen ved at markere afkrydsningsfelterne ud for kolonnen Filnavn , udfyldes & forventede effektrude med oplysninger og handlinger for de valgte filer:

• Oversigtsafsnit : Antallet af filer, du har valgt.

• <afsnittet n> registreringer : Hvad sker der med ASR-regelregistreringer for de valgte filer, hvis du udelukker dem fra ASR-regler:

  • Hvor mange regelregistreringer udelades (<n> registreringer mindre efter udeladelser)
  • En graf, der viser antallet af faktiske registreringer og registreringer efter udeladelser.

• <n> afsnit om berørte enheder: Hvad sker der med REGISTRERINGer af ASR-regler på enheder, hvis du udelader de valgte filer fra ASR-regler:

  • <n> berørte enheder: Hvor mange enheder der påvirkes (<n> enheder mindre efter udelukkelser)
  • En graf, der viser antallet af enheder, der fortsat har registreringer , og som ikke længere har registreringer.

• Følgende handlinger er tilgængelige nederst i ruden Oversigt & forventede virkning :

  • Tilføj udeladelser: Åbner Microsoft Intune Administration. Du kan finde flere oplysninger om de forskellige måder at udelade filer og mapper fra ASR-regler på under Filer- og mappeudeladelser for ASR-regler.

  • Hent valgte udeladelsesstier: Genererer en AsrExclusionPaths.csv fil med de fuldstændige stier til de berørte filer til download.

Relateret indhold

• Udrulningsvejledning til reduktion af angrebsoverflade (ASR)
• Planlæg installation af asr-regler (Attack Surface Reduction)
• Test installationen af asr-regler (Attack Surface Reduction)
• Aktiver regler for reduktion af angrebsoverflade
• Administrer og overvåg udrulningen af asr-regler (Attack Surface Reduction)
• Henvisning til regler for reduktion af angrebsoverflade