Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Att granska händelser i Loggboken är användbart när du utvärderar funktioner för minskning av attackytan. Du kan till exempel aktivera granskningsläge för funktioner eller inställningar och sedan granska vad som skulle hända om de var helt aktiverade. Du kan också se effekterna av funktioner för minskning av attackytan när de är helt aktiverade.
Den här artikeln beskriver hur du använder Windows Loggboken för att visa händelser från funktioner för minskning av attackytan (ASR), inklusive:
Om du vill visa händelser för minskning av attackytan har du följande alternativ enligt beskrivningen i resten av den här artikeln:
- Bläddra bland händelser för minskning av attackytan i Windows Loggboken: Så här navigerar du till händelser för minskning av attackytan i Loggboken och händelse-ID:t för varje funktion för minskning av attackytan.
- Använd anpassade vyer i Windows Loggboken för att visa händelser för minskning av attackytan: Så här skapar eller importerar du anpassade vyer för att filtrera Loggboken för specifika ASR-funktioner och redo att använda XML-frågemallar.
Tips
Du kan använda Vidarebefordran av Windows-händelser för att centralisera händelseinsamling för minskning av attackytan från flera enheter.
Microsoft Defender-portalen innehåller även rapporter om funktioner för minskning av attackytan som är enklare att använda än Windows Loggboken:
Bläddra bland händelser för minskning av attackytan i Windows Loggboken
Alla händelser för minskning av attackytan finns i program- och tjänstloggar. Om du vill visa händelser för minskning av attackytan gör du följande:
Välj Start, skriv Loggboken och tryck sedan på Retur för att öppna Loggboken.
I Loggboken expanderar du Program- och tjänstloggar>Microsoft>Windows.
Fortsätt att expandera sökvägen för de olika typerna av händelser för minskning av attackytan enligt beskrivningen i följande underavsnitt.
Hitta och filtrera de händelser som du vill se enligt beskrivningen i följande underavsnitt.
ASR-regelhändelser
ASR-regelhändelser finns iwindows Defender-driftloggen>:
| Händelse-ID | Beskrivning |
|---|---|
| 1121 | Händelse när regeln utlöses i blockeringsläge |
| 1122 | Händelse när regeln utlöses i granskningsläge |
| 1129 | Händelse när användaren åsidosätter blockering i varningsläge |
| 5007 | Händelse när inställningarna ändras |
Kontrollerade mappåtkomsthändelser
Kontrollerade mappåtkomsthändelser finns i Windows Defender>Operational.
| Händelse-ID | Beskrivning |
|---|---|
| 5007 | Händelse när inställningarna ändras |
| 1124 | Granskad kontrollerad mappåtkomsthändelse |
| 1123 | Blockerad kontrollerad mappåtkomsthändelse |
| 1127 | Skrivblockeringshändelse för blockerad kontrollerad mappåtkomstsektor |
| 1128 | Granskad händelse för kontrollerad mappåtkomstsektor för skrivblockering |
Händelser för exploateringsskydd
Följande sårbarhetsskyddshändelser finnsi loggarnaför kernelläge för säkerhetsreducering> och säkerhetsreducering:>
| Händelse-ID | Beskrivning |
|---|---|
| 1 | ACG-granskning |
| 2 | ACG-tillämpning |
| 3 | Tillåt inte granskning av underordnade processer |
| 4 | Tillåt inte blockering av underordnade processer |
| 5 | Blockera granskning av bilder med låg integritet |
| 6 | Blockera blockering av bilder med låg integritet |
| 7 | Blockera granskning av fjärrbilder |
| 8 | Blockera blockering av fjärrbilder |
| 9 | Inaktivera granskning av win32k-systemanrop |
| 10 | Inaktivera blockering av win32k-systemanrop |
| 11 | Granskning av kodintegritetsskydd |
| 12 | Blockering av kodintegritetsskydd |
| 13 | EAF-granskning |
| 14 | EAF-tillämpning |
| 15 | EAF+ granskning |
| 16 | EAF+ tillämpning |
| 17 | IAF-granskning |
| 18 | IAF-tillämpning |
| 19 | Granskning för ROP StackPivot |
| 20 | Tillämpning av ROP StackPivot |
| 21 | Granskning för ROP CallerCheck |
| 22 | Tillämpning av ROP CallerCheck |
| 23 | Granskning för ROP SimExec |
| 24 | Tillämpning av ROP SimExec |
Följande händelse för sårbarhetsskydd finns iloggen för wer-diagnostik>:
| Händelse-ID | Beskrivning |
|---|---|
| 5 | CFG-blockering |
Följande händelse för sårbarhetsskydd finns iwin32k-driftloggen>:
| Händelse-ID | Beskrivning |
|---|---|
| 260 | Teckensnitt som inte är betrott |
Nätverksskyddshändelser
Nätverksskyddshändelser finns i Windows Defender>Operational.
| Händelse-ID | Beskrivning |
|---|---|
| 5007 | Händelse när inställningarna ändras |
| 1125 | Händelse när nätverksskyddet utlöses i granskningsläge |
| 1126 | Händelse när nätverksskyddet utlöses i blockeringsläge |
Använda anpassade vyer i Windows Loggboken för att visa händelser för minskning av attackytan
Du kan skapa anpassade vyer i Windows Loggboken för att bara se händelser för specifika funktioner för minskning av attackytan. Det enklaste sättet är att importera en anpassad vy som en XML-fil. Du kan också kopiera XML direkt till Loggboken.
Information om xml-mallar som är redo att användas finns i avsnittet Anpassade XML-mallar för händelser för minskning av attackytan .
Importera en befintlig anpassad XML-vy
Skapa en tom .txt fil och kopiera XML-filen för den anpassade vy som du vill använda till den .txt filen. Gör det här steget för var och en av de anpassade vyer som du vill använda. Byt namn på filerna enligt följande (se till att du ändrar typen från .txt till .xml):
- Anpassad vy för kontrollerade mappåtkomsthändelser: cfa-events.xml
- Anpassad vy för exploateringsskyddshändelser: ep-events.xml
- Anpassad vy för minskning av attackytan: asr-events.xml
- Anpassad vy för nätverksskyddshändelser: np-events.xml
Välj Start, skriv Loggboken och tryck sedan på Retur för att öppna Loggboken.
Välj Anpassad vyför åtgärdsimport...>
Gå till XML-filen för den anpassade vy som du vill använda och välj den.
Välj Öppna.
Den anpassade vyn filtrerar för att endast visa de händelser som är relaterade till den funktionen.
Kopiera XML-koden direkt
Välj Start, skriv Loggboken och tryck sedan på Retur för att öppna Loggboken.
I fönstret Åtgärder väljer du Skapa anpassad vy...
Gå till fliken XML och välj Redigera fråga manuellt. En varning anger att du inte kan redigera frågan med hjälp av fliken Filter när du använder XML-alternativet. Välj Ja.
Klistra in XML-koden för funktionen som du vill filtrera händelser från i XML-avsnittet.
Välj OK. Ange ett namn för filtret. Den anpassade vyn filtrerar för att endast visa de händelser som är relaterade till den funktionen.
Anpassade XML-mallar för händelser för minskning av attackytan
XML för regelhändelser för minskning av attackytan
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML för kontrollerade mappåtkomsthändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML för exploateringsskyddshändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML för nätverksskyddshändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>