Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het controleren van gebeurtenissen in Logboeken is handig wanneer u functies voor het verminderen van kwetsbaarheid voor aanvallen evalueert. U kunt bijvoorbeeld de controlemodus voor functies of instellingen inschakelen en vervolgens controleren wat er zou gebeuren als ze volledig zijn ingeschakeld. U kunt ook de effecten van functies voor het verminderen van kwetsbaarheid voor aanvallen bekijken wanneer deze volledig zijn ingeschakeld.
In dit artikel wordt beschreven hoe u Windows Logboeken gebruikt om gebeurtenissen weer te geven van de mogelijkheden van attack surface reduction (ASR), waaronder:
- Regels voor het verminderen van kwetsbaarheid voor aanvallen
- Beheerde maptoegang
- Bescherming tegen misbruik
- Netwerkbeveiliging
Als u gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen wilt bekijken, hebt u de volgende opties, zoals uitgelegd in de rest van dit artikel:
- Bladeren door gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen in Windows Logboeken: Navigeren naar gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen in Logboeken en de gebeurtenis-id's voor elke mogelijkheid voor het verminderen van kwetsbaarheid voor aanvallen.
- Aangepaste weergaven gebruiken in Windows Logboeken om gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen te bekijken: aangepaste weergaven maken of importeren om Logboeken te filteren op specifieke ASR-mogelijkheden en kant-en-klare XML-querysjablonen.
Tip
U kunt Windows Event Forwarding gebruiken om de gebeurtenisverzameling van meerdere apparaten te centraliseren.
De Microsoft Defender portal biedt ook rapportage over functies voor het verminderen van kwetsbaarheid voor aanvallen die gemakkelijker te gebruiken zijn dan Windows Logboeken:
Bladeren door gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen in Windows Logboeken
Alle gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bevinden zich in de logboeken toepassingen en services. Voer de volgende stappen uit om gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen te bekijken:
Selecteer Start, typ Logboeken en druk op Enter om Logboeken te openen.
Vouw in Logboeken Toepassingen en services-logboeken>Microsoft>Windows uit.
Ga door met het uitbreiden van het pad voor de verschillende typen gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen, zoals beschreven in de volgende subsecties.
Zoek en filter de gebeurtenissen die u wilt zien, zoals beschreven in de volgende subsecties.
ASR-regel gebeurtenissen
ASR-regel gebeurtenissen bevinden zich in hetoperationele logboek van Windows Defender>:
| Gebeurtenis-id | Omschrijving |
|---|---|
| 1121 | Gebeurtenis wanneer regel wordt geactiveerd in de blokmodus |
| 1122 | Gebeurtenis wanneer regel wordt geactiveerd in de controlemodus |
| 1129 | Gebeurtenis wanneer de gebruiker het blokkeren overschrijft in de waarschuwingsmodus |
| 5007 | Gebeurtenis wanneer instellingen worden gewijzigd |
Gebeurtenissen voor gecontroleerde toegang tot mappen
Gebeurtenissen voor gecontroleerde toegang tot mappen bevinden zich in Windows Defender>Operational.
| Gebeurtenis-id | Omschrijving |
|---|---|
| 5007 | Gebeurtenis wanneer instellingen worden gewijzigd |
| 1124 | Gecontroleerde beheerde maptoegangsgebeurtenis |
| 1123 | Gebeurtenis voor geblokkeerde beheerde maptoegang |
| 1127 | Geblokkeerde gebeurtenis voor schrijfblok voor gecontroleerde maptoegang in de sector |
| 1128 | Schrijfblokgebeurtenis voor gecontroleerde toegang tot mappen in de sector |
Exploit Protection-gebeurtenissen
De volgende beveiligingsgebeurtenissen bevinden zich in de logboeken Beveiligingsbeperkings-kernelmodus> enBeveiligingsbeperkingsgebruikersmodus>:
| Gebeurtenis-id | Omschrijving |
|---|---|
| 1 | ACG-controle |
| 2 | ACG afdwingen |
| 3 | Geen controle van onderliggende processen toestaan |
| 4 | Blokkeren van onderliggende processen niet toestaan |
| 5 | Controle van afbeeldingen met lage integriteit blokkeren |
| 6 | Blokkeren van afbeeldingen met lage integriteit blokkeren |
| 7 | Blokkeren van controle externe afbeeldingen |
| 8 | Blokkeren van blokkering externe afbeeldingen |
| 9 | Controle van systeemoproepen van Win32k uitschakelen |
| 10 | Blokkeren van systeemoproepen van Win32k uitschakelen |
| 11 | Controle van beveiliging van code-integriteit |
| 12 | Blokkeren van beveiliging van code-integriteit |
| 13 | EAF-controle |
| 14 | EAF afdwingen |
| 15 | EAF + controle |
| 16 | EAF + afdwingen |
| 17 | IAF-controle |
| 18 | IAF afdwingen |
| 19 | ROP StackPivot-controle |
| 20 | ROP StackPivot afdwingen |
| 21 | ROP CallerCheck-controle |
| 22 | ROP CallerCheck afdwingen |
| 23 | ROP SimExec-controle |
| 24 | ROP SimExec afdwingen |
De volgende exploit protection-gebeurtenis bevindt zich in hetoperationeel logboek van WER-Diagnostics>:
| Gebeurtenis-id | Omschrijving |
|---|---|
| 5 | CFG blokkeren |
De volgende exploit protection-gebeurtenis bevindt zich in hetoperationelewin32k-logboek>:
| Gebeurtenis-id | Omschrijving |
|---|---|
| 260 | Niet-vertrouwd lettertype |
Gebeurtenissen voor netwerkbeveiliging
Gebeurtenissen voor netwerkbeveiliging bevinden zich in Windows Defender>Operationeel.
| Gebeurtenis-id | Omschrijving |
|---|---|
| 5007 | Gebeurtenis wanneer instellingen worden gewijzigd |
| 1125 | Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de controlemodus |
| 1126 | Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de blokmodus |
Aangepaste weergaven gebruiken in Windows Logboeken om gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen te bekijken
U kunt aangepaste weergaven maken in Windows Logboeken om alleen de gebeurtenissen voor specifieke mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen te bekijken. De eenvoudigste manier is om een aangepaste weergave te importeren als een XML-bestand. U kunt de XML ook rechtstreeks naar Logboeken kopiëren.
Zie de sectie Aangepaste XML-sjablonen voor het verminderen van kwetsbaarheidsgebeurtenissen voor aanvallen voor gebruiksklare XML-sjablonen.
Een bestaande aangepaste XML-weergave importeren
Maak een leeg .txt-bestand en kopieer de XML voor de aangepaste weergave die u wilt gebruiken in het .txt-bestand. Voer deze stap uit voor elk van de aangepaste weergaven die u wilt gebruiken. Wijzig de naam van de bestanden als volgt (zorg ervoor dat u het type wijzigt van .txt in .xml):
- Aangepaste weergave voor beheerde maptoegangsevenementen: cfa-events.xml
- Aangepaste weergave voor misbruikbeveiligingsevenementen: ep-events.xml
- Aangepaste weergave voor het verminderen van kwetsbaarheid voor aanvallen: asr-events.xml
- Aangepaste weergave voor netwerkbeveiligingsevenementen: np-events.xml
Selecteer Start, typ Logboeken en druk op Enter om Logboeken te openen.
Selecteer Actie>Aangepaste weergave importeren...
Navigeer naar het XML-bestand voor de gewenste aangepaste weergave en selecteer het.
Selecteer Openen.
De aangepaste weergave filtert om alleen de gebeurtenissen weer te geven die betrekking hebben op die functie.
De XML rechtstreeks kopiëren
Selecteer Start, typ Logboeken en druk op Enter om Logboeken te openen.
Selecteer in het deelvenster Actiesde optie Aangepaste weergave maken...
Ga naar het tabblad XML en selecteer Query handmatig bewerken. Een waarschuwing geeft aan dat u de query niet kunt bewerken met behulp van het tabblad Filter wanneer u de xml-optie gebruikt. Selecteer Ja.
Plak de XML-code voor de functie waaruit u gebeurtenissen wilt filteren in de sectie XML.
Selecteer OK. Geef een naam op voor het filter. De aangepaste weergave filtert om alleen de gebeurtenissen weer te geven die betrekking hebben op die functie.
Aangepaste XML-sjablonen voor het verminderen van kwetsbaarheid voor aanvallen
XML voor regel gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML voor beheerde maptoegangsevenementen
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML voor exploit protection-gebeurtenissen
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML voor netwerkbeveiligingsevenementen
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>