Freigeben über

Bericht zu Regeln zur Verringerung der Angriffsfläche

  • Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Der Bericht Regeln zur Verringerung der Angriffsfläche bietet detaillierte Einblicke in die Regeln, die auf Geräten in Ihrem organization erzwungen werden. Darüber hinaus enthält dieser Bericht Informationen zu:

  • Erkannte Bedrohungen
  • blockierte Bedrohungen
  • Geräte, die nicht für die Verwendung der Standardschutzregeln konfiguriert sind, um Bedrohungen zu blockieren

Darüber hinaus bietet der Bericht eine benutzerfreundliche Schnittstelle, die Folgendes ermöglicht:

  • Anzeigen von Bedrohungserkennungen
  • Anzeigen der Konfiguration der ASR-Regeln
  • Konfigurieren (Hinzufügen) von Ausschlüssen
  • Drilldown zum Sammeln detaillierter Informationen

Weitere Informationen zu einzelnen Regeln zur Verringerung der Angriffsfläche finden Sie unter Referenz zu Regeln zur Verringerung der Angriffsfläche.

Voraussetzungen

  • Für den Zugriff auf den Bericht zur Verringerung der Angriffsfläche sind Leseberechtigungen für das Microsoft Defender-Portal erforderlich.
  • Damit Windows Server 2012 R2 und Windows Server 2016 im Bericht mit den Regeln zur Verringerung der Angriffsfläche angezeigt werden, müssen diese Geräte mithilfe des modernen einheitlichen Lösungspakets integriert werden. Weitere Informationen finden Sie unter Neue Funktionalität in der modernen einheitlichen Lösung für Windows Server 2012 R2 und 2016.

Unterstützte Betriebssysteme

  • Windows

Unterstützte Betriebssysteme

  • Windows

Berichtszugriffsberechtigungen

Für den Zugriff auf den Bericht zur Verringerung der Angriffsfläche im Microsoft Defender-Portal sind die folgenden Berechtigungen erforderlich:

Berechtigungsname Berechtigungstyp
Daten anzeigen Sicherheitsvorgänge

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So weisen Sie diese Berechtigungen zu:

  1. Melden Sie sich beim Microsoft Defender-Portal an.

  2. Wählen Sie im Navigationsbereich Einstellungen>Endpunktrollen>(unterBerechtigungen) aus.

  3. Wählen Sie die Rolle aus, die Sie bearbeiten möchten, und wählen Sie dann Bearbeiten aus.

  4. Geben Sie unter Rolle bearbeiten auf der Registerkarte Allgemein unter Rollenname einen Namen für die Rolle ein.

  5. Geben Sie unter Beschreibung eine kurze Zusammenfassung der Rolle ein.

  6. Wählen Sie unter Berechtigungen die Option Daten anzeigen und unter Daten anzeigen die Option Sicherheitsvorgänge aus.

So navigieren Sie zu den Zusammenfassungskarten für den Bericht zu Den Regeln zur Verringerung der Angriffsfläche

  1. Öffnen Sie das Microsoft Defender-Portal.

  2. Wählen Sie im Navigationsbereich Berichte aus. Wählen Sie im Hauptabschnitt unter Berichte die Option Sicherheitsbericht aus.

  3. Scrollen Sie nach unten zu Geräte , um die Zusammenfassungskarten für Regeln zur Verringerung der Angriffsfläche zu finden. Die Sammelberichtskarten für ASR-Regeln ähneln der folgenden Abbildung:

    Zeigt die Zusammenfassungskarten für ASR-Regeln an.

Zusammenfassungskarten für ASR-Regeln

Die Zusammenfassung des Berichts zu ASR-Regeln ist in zwei Karten unterteilt:

Zusammenfassung der Karte zur Erkennung von ASR-Regeln

Die Zusammenfassung der Erkennung von ASR-Regeln Karte zeigt eine Zusammenfassung der Anzahl der erkannten Bedrohungen, die von ASR-Regeln blockiert werden. Diese Karte enthält zwei Aktionsschaltflächen:

  • Erkennungen anzeigen: Öffnet die Registerkarte "Erkennungen ".
  • Ausschlüsse hinzufügen: Öffnet die Registerkarte "Ausschlüsse "

Screenshot: Zusammenfassungserkennungen für ASR-Regeln Karte.

Wenn Sie oben im Karte den Link ASR-Regelerkennungen auswählen, wird auch die Hauptregisterkarte Erkennungen der Angriffsfläche geöffnet.

Zusammenfassung der konfiguration von ASR-Regeln Karte

Der obere Abschnitt konzentriert sich auf drei empfohlene Regeln, die vor gängigen Angriffstechniken schützen. In diesem Karte werden Aktuelle Statusinformationen zu den Computern in Ihrem organization angezeigt, für die die folgenden drei Standardschutzregeln (ASR) im Blockmodus, Überwachungsmodus oder aus (nicht konfiguriert) festgelegt sind. Die Schaltfläche Geräte schützen zeigt nur für die drei Regeln vollständige Konfigurationsdetails an. Kunden können schnell Maßnahmen ergreifen, um diese Regeln zu aktivieren.

Im unteren Abschnitt werden sechs Regeln basierend auf der Anzahl der nicht geschützten Geräte pro Regel angezeigt. Über die Schaltfläche Konfiguration anzeigen werden alle Konfigurationsdetails für alle ASR-Regeln angezeigt. Die Schaltfläche Ausschlüsse hinzufügen zeigt die Seite Ausschluss hinzufügen mit allen erkannten Datei-/Prozessnamen an, die für Security Operation Center (SOC) zur Auswertung aufgelistet sind. Die Seite Ausschluss hinzufügen ist mit Microsoft Intune verknüpft.

Die Karte enthält auch zwei Aktionsschaltflächen:

  • Ansichtskonfiguration: Öffnet die Registerkarte "Erkennungen "
  • Ausschlüsse hinzufügen: Öffnet die Registerkarte "Ausschlüsse "

Zeigt die Zusammenfassungskonfiguration des ASR-Regelberichts Karte an.

Wenn Sie oben im Karte den Link konfiguration der ASR-Regeln auswählen, wird auch die Hauptregisterkarte Konfiguration der Angriffsfläche geöffnet.

Vereinfachte Standardschutzoption

Die Konfigurationszusammenfassung Karte enthält eine Schaltfläche zum Schützen von Geräten mit den drei Standardschutzregeln. Microsoft empfiehlt mindestens, diese drei Standardschutzregeln für die Verringerung der Angriffsfläche zu aktivieren:

So aktivieren Sie die drei Standardschutzregeln:

  1. Wählen Sie Geräte schützen aus. Die Hauptregisterkarte Konfiguration wird geöffnet.

  2. Auf der Registerkarte Konfiguration schaltet Standardregeln automatisch von Alle Regeln auf Standard aktivierten Schutzregeln um.

  3. Wählen Sie in der Liste Geräte die Geräte aus, für die die Standardschutzregeln gelten sollen, und wählen Sie dann Speichern aus.

Diese Karte verfügt über zwei weitere Navigationsschaltflächen:

  • Konfiguration anzeigen: Öffnet die Registerkarte Konfiguration .
  • Ausschlüsse hinzufügen: Öffnet die Registerkarte Ausschlüsse .

Wenn Sie oben im Karte den Link konfiguration der ASR-Regeln auswählen, wird auch die Hauptregisterkarte Konfiguration der Angriffsfläche geöffnet.

Regeln zur Verringerung der Angriffsfläche – Hauptregisterkarten

Während die Berichtsübersichtskarten für ASR-Regeln nützlich sind, um eine schnelle Zusammenfassung Ihrer ASR-Regeln status zu erhalten, bieten die Hauptregisterkarten ausführlichere Informationen mit Filter- und Konfigurationsfunktionen:

Suchfunktionen

Die Suchfunktion wird den Hauptregisterkarten Erkennung, Konfiguration und Ausschluss hinzufügen hinzugefügt. Mit dieser Funktion können Sie mithilfe der Geräte-ID, des Dateinamens oder des Prozessnamens suchen.

Zeigt die Suchfunktion für ASR-Regeln für Berichte an.

Filtern

Filterung bietet ihnen eine Möglichkeit, anzugeben, welche Ergebnisse zurückgegeben werden:

  • Mit Date können Sie einen Datumsbereich für Datenergebnisse angeben.
  • Filters

Hinweis

Beim Filtern nach Regel ist die Anzahl der einzelnen erkannten Elemente, die in der unteren Hälfte des Berichts aufgeführt sind, derzeit auf 200 Regeln beschränkt. Sie können exportieren verwenden, um die vollständige Liste der Erkennungen in Excel zu speichern.

Tipp

Da der Filter derzeit in diesem Release funktioniert, müssen Sie jedes Mal, wenn Sie nach "gruppieren" möchten, zuerst bis zur letzten Erkennung in der Liste scrollen, um das gesamte Dataset zu laden. Nachdem Sie das gesamte Dataset geladen haben, können Sie die Filterung "Sortieren nach" starten. Wenn Sie nicht nach unten zur letzten Erkennung scrollen, die bei jeder Verwendung oder beim Ändern von Filteroptionen aufgeführt ist (z. B. die ASR-Regeln, die auf die aktuelle Filterausführung angewendet werden), sind die Ergebnisse für jedes Ergebnis mit mehr als einer sichtbaren Seite mit aufgelisteten Erkennungen falsch.

Screenshot: Suchfunktion für ASR-Regeln auf der Registerkarte

Screenshot: Filter der Erkennung von Regeln zur Verringerung der Angriffsfläche nach Regeln

Hauptregisterkarte "Erkennungen" mit Regeln zur Verringerung der Angriffsfläche

  • Überwachungserkennungen: Zeigt an, wie viele Bedrohungserkennungen von Regeln erfasst werden, die im Überwachungsmodus festgelegt sind.

  • Blockierte Erkennungen: Zeigt an, wie viele Bedrohungserkennungen durch im Blockierungsmodus festgelegte Regeln blockiert werden.

  • Großes, konsolidiertes Diagramm: Zeigt blockierte und überwachte Erkennungen an.

    Zeigt die Hauptregisterkarte

Die Diagramme stellen Erkennungsdaten für den angezeigten Datumsbereich bereit, mit der Möglichkeit, mit dem Mauszeiger auf einen bestimmten Ort zu zeigen, um datumsspezifische Informationen zu sammeln.

Im unteren Abschnitt des Berichts werden erkannte Bedrohungen auf Gerätebasis mit den folgenden Feldern aufgelistet:

Feldname Definition
Erkannte Datei Die Datei, die eine mögliche oder bekannte Bedrohung enthält
Erkannt am Das Datum, an dem die Bedrohung erkannt wurde
Blockiert/Überwacht? Gibt an, ob sich die Erkennungsregel für das jeweilige Ereignis im Block- oder Überwachungsmodus befand.
Regel Welche Regel hat die Bedrohung erkannt?
Quell-App Die Anwendung, die den Aufruf der fehlerhaften "erkannten Datei" vorgenommen hat
Gerät Der Name des Geräts, auf dem das Audit- oder Block-Ereignis aufgetreten ist
Gerätegruppe Die Active Directory-Gruppe, zu der das Gerät gehört
Benutzer Das für den Anruf zuständige Computerkonto
Publisher Das Unternehmen, das die .exe oder Anwendung veröffentlicht hat

Weitere Informationen zu ÜBERWACHUNGS- und Blockmodi für ASR-Regeln finden Sie unter Regelmodi zur Verringerung der Angriffsfläche.

Umsetzbares Flyout

Die Hauptseite "Erkennung" enthält eine Liste aller Erkennungen (Dateien/Prozesse) in den letzten 30 Tagen. Wählen Sie eine der Erkennungen aus, die mit Drilldownfunktionen geöffnet werden sollen.

Zeigt das Flyout der Haupterkennungsregisterkarte für ASR-Regeln an.

Im Abschnitt Möglicher Ausschluss und Auswirkung wird die Auswirkung der ausgewählten Datei oder des ausgewählten Prozesses angezeigt. Sie haben folgende Möglichkeiten:

  • Wählen Sie Gehe zur Suche aus, um die Abfrageseite Erweiterte Suche zu öffnen.
  • Die Dateiseite öffnen wird Microsoft Defender for Endpoint Erkennung geöffnet.
  • Die Schaltfläche Ausschluss hinzufügen ist mit der Hauptseite "Ausschluss hinzufügen" verknüpft.

Die folgende Abbildung zeigt, wie die Abfrageseite "Erweiterte Suche" über den Link im Flyout mit Aktionen geöffnet wird:

Zeigt den Flyout-Link zur Verringerung der Angriffsfläche für den Bericht

Weitere Informationen zur erweiterten Suche finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR

Regeln zur Verringerung der Angriffsfläche – Hauptregisterkarte "Konfiguration"

Die Hauptregisterkarte "Konfiguration " für ASR-Regeln enthält Eine Zusammenfassung und Details zur Konfiguration der ASR-Regeln pro Gerät. Die Registerkarte Konfiguration umfasst drei Hauptaspekte:

Grundregeln Stellt eine Methode zum Umschalten von Ergebnissen zwischen Grundlegenden Regeln und Allen Regeln bereit. Standardmäßig sind Grundlegende Regeln ausgewählt.

Übersicht über die Gerätekonfiguration Stellt eine aktuelle Momentaufnahme von Geräten in einem der folgenden Zustände bereit:

  • Alle verfügbar gemachten Geräte (Geräte mit fehlenden Voraussetzungen, Regeln im Überwachungsmodus, falsch konfigurierte Regeln oder nicht konfigurierte Regeln)
  • Geräte mit nicht konfigurierten Regeln
  • Geräte mit Regeln im Überwachungsmodus
  • Geräte mit Regeln im Blockmodus

Der untere, unbenannte Abschnitt der Registerkarte Konfiguration enthält eine Liste des aktuellen Zustands Ihrer Geräte (pro Gerät):

  • Gerät (Name)
  • Gesamtkonfiguration (Gibt an, ob Regeln aktiviert sind oder alle deaktiviert sind)
  • Regeln im Blockmodus (die Anzahl der Regeln pro Gerät, die auf Blockierung festgelegt sind)
  • Regeln im Überwachungsmodus (anzahl der Regeln im Überwachungsmodus)
  • Regeln deaktiviert (Regeln, die deaktiviert oder nicht aktiviert sind)
  • Geräte-ID (Geräte-GUID)

Diese Elemente sind in der folgenden Abbildung dargestellt.

Zeigt die Hauptkonfigurationsregisterkarte des Berichts für ASR-Regeln an.

So aktivieren Sie ASR-Regeln:

  1. Wählen Sie unter Gerät das Gerät aus, für das Sie ASR-Regeln anwenden möchten.

  2. Überprüfen Sie im Flyoutfenster Ihre Auswahl, und wählen Sie dann Zur Richtlinie hinzufügen aus. Die Registerkarte "Konfiguration " und das Flyout "Regel hinzufügen " sind in der folgenden Abbildung dargestellt.

    Zeigt das Flyout für ASR-Regeln zum Hinzufügen von ASR-Regeln zu Geräten an.

[HINWEIS!] Wenn Sie über Geräte verfügen, für die unterschiedliche ASR-Regeln angewendet werden müssen, sollten Sie diese Geräte einzeln konfigurieren.

Regeln zur Verringerung der Angriffsfläche Registerkarte "Ausschlüsse hinzufügen"

Auf der Registerkarte Ausschlüsse hinzufügen wird eine Liste der Erkennungen nach Dateinamen und eine Methode zum Konfigurieren von Ausschlüssen angezeigt. Standardmäßig werden Informationen zum Hinzufügen von Ausschlüssen für drei Felder aufgelistet:

  • Dateiname: Der Name der Datei, die das ASR-Regelereignis ausgelöst hat.
  • Erkennungen: Die Gesamtanzahl der erkannten Ereignisse für die benannte Datei. Einzelne Geräte können mehrere ASR-Regelereignisse auslösen.
  • Geräte: Die Anzahl der Geräte, auf denen die Erkennung aufgetreten ist.

Zeigt die Registerkarte zum Hinzufügen von Ausschlüssen im Bericht zu ASR-Regeln an.

Wichtig

Das Ausschließen von Dateien oder Ordnern kann den Schutz durch ASR-Regeln erheblich verringern. Ausgeschlossene Dateien dürfen ausgeführt werden, und es wird kein Bericht oder Ereignis aufgezeichnet. Wenn ASR-Regeln Dateien erkennen, von denen Sie glauben, dass sie nicht erkannt werden sollten, sollten Sie zuerst den Überwachungsmodus verwenden, um die Regel zu testen.

Wenn Sie eine Datei auswählen, wird das Flyout Summary & expected impact (Zusammenfassung & erwarteten Auswirkungen ) geöffnet, in dem die folgenden Arten von Informationen angezeigt werden:

  • Ausgewählte Dateien : Die Anzahl der Dateien, die Sie für den Ausschluss ausgewählt haben.
  • (Anzahl von) Erkennungen : Gibt die erwartete Verringerung der Erkennungen an, nachdem die ausgewählten Ausschlüsse hinzugefügt wurden. Die Verringerung der Erkennungen wird grafisch für Tatsächliche Erkennungen und Erkennungen nach Ausschlüssen dargestellt.
  • (Anzahl von) betroffenen Geräten : Gibt die erwartete Verringerung der Geräte an, die Erkennungen für die ausgewählten Ausschlüsse melden.

Die Seite Ausschluss hinzufügen verfügt über zwei Schaltflächen für Aktionen, die für alle erkannten Dateien (nach auswahl) verwendet werden können. Sie haben folgende Möglichkeiten:

  • Hinzufügen eines Ausschlusses , der die Microsoft Intune-ASR-Richtlinienseite öffnet. Weitere Informationen findest du unter Intune unter Aktivieren alternativer Konfigurationsmethoden für ASR-Regeln.

  • Ruft Ausschlusspfade ab , die Dateipfade in einem CSV-Format herunterlädt.

    Zeigt die Zusammenfassung der Flyoutauswirkungen im Bericht zu ASR-Regeln zum Hinzufügen von Ausschlüssen.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.

  • Last updated on